Compartilhar via

Diretrizes de isolamento para cargas de trabalho de nível 5 de impacto

O Azure Government dá suporte a aplicativos que usam dados de Nível de Impacto 5 (IL5) em todas as regiões disponíveis. Os requisitos IL5 são definidos no Guia de Requisitos de Segurança de Computação em Nuvem (SRG) do Departamento de Defesa dos EUA (DoD). As cargas de trabalho IL5 têm um maior grau de impacto para o DoD e devem ser protegidas com um padrão mais alto. Ao implantar essas cargas de trabalho no Azure Government, você pode atender aos requisitos de isolamento delas de várias maneiras. As orientações neste documento abordam as configurações e definições necessárias para atender aos requisitos de isolamento do IL5. Atualizaremos este artigo à medida que habilitarmos novas opções de isolamento e a Agência de Sistemas de Informação de Defesa (DISA) autorizar novos serviços para dados IL5.

Contexto geral

Em janeiro de 2017, a DISA concedeu a Autorização Provisória (PA) IL5 ao Azure Government, tornando-a a primeira IL5 PA concedida a um provedor de nuvem de hiperescala. O PA abrangeu duas regiões do Azure Government US DoD Central e US DoD East (regiões do DoD dos EUA) dedicadas ao DoD. Com base nos comentários dos proprietários da missão do DoD e nos recursos de segurança em evolução, a Microsoft fez uma parceria com a DISA para expandir o limite de PA IL5 em dezembro de 2018 para cobrir as regiões restantes do Azure Government US Gov Arizona, US Gov Texas e US Gov Virginia (regiões US Gov). Para obter informações sobre a disponibilidade do serviço no Azure Government, consulte Produtos disponíveis por região.

O Azure Government está disponível para governos federais, estaduais, locais e tribais dos EUA e seus parceiros. A expansão do IL5 para o Azure Government honra os requisitos de isolamento exigidos pelo DoD. O Azure Government continua a fornecer mais serviços PaaS adequados para cargas de trabalho do DoD IL5 do que qualquer outro ambiente de serviços de nuvem.

Princípios e abordagem

Você precisa abordar duas áreas principais para os serviços do Azure no escopo IL5: isolamento de computação e isolamento de armazenamento. Neste artigo, vamos nos concentrar em como os serviços do Azure podem ajudá-lo a isolar os serviços de computação e armazenamento para dados IL5. O SRG permite uma gestão partilhada e uma infraestrutura de rede. Este artigo é focado nas abordagens de isolamento de computação e armazenamento do Azure Governo para as regiões Gov dos EUA: Arizona, Texas e Virgínia (regiões Gov dos EUA). Se um serviço do Azure estiver disponível nas regiões do DoD do Azure Government US DoD Central e US DoD East (regiões do DoD dos EUA) e autorizado no IL5, ele será, por padrão, adequado para cargas de trabalho IL5 sem necessidade de configuração de isolamento extra. As regiões do Azure Government para o DoD são reservadas para agências do DoD e seus parceiros, permitindo, por design, uma separação física dos locatários não pertencentes ao DoD. Para obter mais informações, consulte DoD no Azure Government.

Importante

Você é responsável por projetar e implantar seus aplicativos para atender aos requisitos de conformidade do DoD IL5. Ao fazer isso, você não deve incluir informações confidenciais ou restritas em nomes de recursos do Azure, conforme explicado em Considerações para nomear recursos do Azure.

Isolamento de computação

Os requisitos de separação IL5 são mencionados na secção 5.2.2.3 (página 51) do Cloud Computing SRG. O SRG se concentra na separação computacional durante o "processamento" de dados IL5. Essa separação garante que uma máquina virtual que possa comprometer o host físico não possa afetar uma carga de trabalho do DoD. Para remover o risco de ataques de tempo de execução e garantir que cargas de trabalho de longa execução não sejam comprometidas de outras cargas de trabalho no mesmo host, todas as máquinas virtuais IL5 e conjuntos de dimensionamento de máquinas virtuais devem ser isolados pelos proprietários de missões do DoD por meio do Host Dedicado do Azure ou máquinas virtuais isoladas. Isso fornece um servidor físico dedicado para hospedar suas Máquinas Virtuais (VMs) do Azure para Windows e Linux.

Para serviços onde os processos de computação são ofuscados do acesso pelo proprietário e são sem estado no processamento dos dados, deve-se realizar o isolamento concentrando-se nos dados que estão a ser processados e na forma como são guardados e conservados. Essa abordagem garante que os dados sejam armazenados em meios protegidos. Ele também garante que os dados não estejam presentes nesses serviços por longos períodos, a menos que sejam criptografados conforme necessário.

Isolamento de armazenamento

Os requisitos do DoD para criptografar dados em repouso são fornecidos na Seção 5.11 (Página 122) do Cloud Computing SRG. O DoD enfatiza a criptografia de todos os dados em repouso armazenados em discos rígidos virtuais de máquinas virtuais, instalações de armazenamento em massa no nível de bloco ou arquivo e registros de banco de dados em que o proprietário da missão não tem controle exclusivo sobre o serviço de banco de dados. Para aplicativos em nuvem onde não é possível criptografar dados em repouso com o controle de chave DoD, os proprietários de missão devem realizar uma análise de risco com proprietários de dados relevantes antes de transmitir dados para uma oferta de serviço de nuvem.

Em um PA recente para o Azure Government, a DISA aprovou a separação lógica do IL5 de outros dados por meio criptográfico. No Azure, essa abordagem envolve a criptografia de dados por meio de chaves que são mantidas no Cofre de Chaves do Azure e armazenadas em HSMs (Módulos de Segurança de Hardware) validados pelo FIPS 140 . As chaves pertencem e são gerenciadas pelo proprietário do sistema IL5, também conhecido como chaves gerenciadas pelo cliente (CMK).

Veja como essa abordagem se aplica aos serviços:

  • Se um serviço hospeda apenas dados IL5, o serviço pode controlar a chave para usuários finais. Mas ele deve usar uma chave dedicada para proteger os dados IL5 de todos os outros dados na nuvem.
  • Se um serviço hospedar dados IL5 e não DoD, o serviço deverá expor a opção para que os usuários finais usem suas próprias chaves de criptografia mantidas no Cofre de Chaves do Azure. Essa implementação dá aos consumidores do serviço a capacidade de implementar a separação criptográfica conforme necessário.

Essa abordagem garante que todo o material de chave para descriptografar dados seja armazenado separadamente dos próprios dados usando uma solução de gerenciamento de chaves baseada em hardware.

Aplicação destas orientações

As diretrizes do IL5 exigem que as cargas de trabalho sejam implantadas com um alto grau de segurança, isolamento e controle. As configurações a seguir são necessárias , além de quaisquer outras configurações ou controles necessários para atender aos requisitos IL5. O isolamento de rede, os controles de acesso e outras medidas de segurança necessárias não são necessariamente abordados neste artigo.

Observação

Este artigo rastreia os serviços do Azure que receberam o DoD IL5 PA e que exigem opções de configuração adicionais para atender aos requisitos de isolamento do IL5. Serviços com IL5 PA que não exigem nenhuma opção de configuração extra não são mencionados neste artigo. Para obter uma lista de serviços abrangidos pelo escopo do DoD IL5 PA em regiões governamentais dos EUA, consulte Serviços governamentais do Azure por escopo de auditoria.

Certifique-se de revisar a entrada para cada serviço que você está usando e garantir que todos os requisitos de isolamento sejam implementados.

IA + machine learning

Para saber a disponibilidade de serviços de IA e aprendizado de máquina no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Azure Machine Learning

Serviços de IA do Azure: Moderador de Conteúdo

Serviços de IA do Azure: Visão Personalizada

Serviços de IA do Azure: Face

Azure AI Language Understanding (LUIS)

O Azure AI Language Understanding (LUIS) faz parte do Azure AI Language.

Serviços de IA do Azure: Azure OpenAI

Serviços de IA do Azure: Personalizador

Serviços de IA do Azure: QnA Maker

O Azure AI QnA Maker faz parte da Linguagem de IA do Azure.

Azure AI Speech

Serviços de IA do Azure: Translator

Análises de Dados

Para saber a disponibilidade dos serviços do Google Analytics no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Azure Databricks

Azure Data Explorer

  • Os dados nos clusters do Azure Data Explorer no Azure são protegidos e criptografados com chaves gerenciadas pela Microsoft por padrão. Para obter controle extra sobre chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para usar para criptografia de dados e gerenciar a criptografia de seus dados no nível de armazenamento com suas próprias chaves.

Azure HDInsight

  • O Azure HDInsight pode ser implantado em contas de armazenamento existentes que habilitaram a criptografia apropriada do serviço de Armazenamento, conforme discutido nas diretrizes para o Armazenamento do Azure.
  • O Azure HDInsight habilita uma opção de banco de dados para determinadas configurações. Verifique se a configuração de banco de dados apropriada para criptografia de dados transparente (TDE) está habilitada na opção escolhida. Esse processo é discutido nas diretrizes do Banco de Dados SQL do Azure.

Azure Stream Analytics

Azure Synapse Analytics

  • Adicione criptografia de dados transparente com chaves gerenciadas pelo cliente por meio do Cofre de Chaves do Azure. Para obter mais informações, consulte Criptografia de dados transparente do SQL do Azure. As instruções para habilitar essa configuração para o Azure Synapse Analytics são as mesmas que as instruções para fazê-lo para o Banco de Dados SQL do Azure.

Data Factory

  • Proteja as credenciais de armazenamento de dados armazenando credenciais criptografadas em um repositório gerenciado pelo Data Factory. O Data Factory ajuda a proteger suas credenciais de armazenamento de dados criptografando-as com certificados gerenciados pela Microsoft. Para obter mais informações sobre a segurança do Armazenamento do Azure, consulte Visão geral da segurança do Armazenamento do Azure. Você também pode armazenar as credenciais do armazenamento de dados no Cofre de Chaves do Azure. O Data Factory recupera as credenciais durante a execução de uma atividade. Para obter mais informações, consulte Armazenar credenciais no Cofre da Chave do Azure.

Hubs de Eventos

Power BI

Computação

Para obter a disponibilidade de serviços de computação no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Batch

  • Habilite o modo de assinatura do usuário, que exigirá uma instância do Cofre da Chave para criptografia e armazenamento de chaves adequados. Para obter mais informações, consulte a documentação sobre configurações de conta em lote.

Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais

Você pode usar máquinas virtuais do Azure com várias mídias de implantação. Você pode fazer isso para máquinas virtuais únicas e para máquinas virtuais implantadas por meio do recurso de conjuntos de dimensionamento de máquina virtual do Azure.

Todas as máquinas virtuais devem usar a Criptografia de Disco para máquinas virtuais ou a Criptografia de Disco para conjuntos de dimensionamento de máquinas virtuais ou colocar discos de máquinas virtuais em uma conta de armazenamento que possa conter dados de Nível de Impacto 5, conforme descrito na seção Armazenamento do Azure.

Importante

Ao implantar VMs nas regiões do Governo do Azure Gov Arizona, US Gov Texas e US Gov Virginia, você deve usar o Host Dedicado do Azure, conforme descrito na próxima seção.

Host Dedicado do Azure

O Host Dedicado do Azure fornece servidores físicos que podem hospedar uma ou mais máquinas virtuais e que são dedicados a uma assinatura do Azure. Os anfitriões dedicados são os mesmos servidores físicos utilizados nos nossos datacenters, fornecidos como um recurso. Pode aprovisionar anfitriões dedicados numa região, zona de disponibilidade e domínio de avaria. Em seguida, você pode colocar VMs diretamente em seus hosts provisionados, em qualquer configuração que atenda às suas necessidades.

Essas VMs fornecem o nível necessário de isolamento necessário para suportar cargas de trabalho IL5 quando implantadas fora das regiões dedicadas do DoD. Quando você usa o Host Dedicado, suas VMs do Azure são colocadas em um servidor físico isolado e dedicado que executa apenas as cargas de trabalho da sua organização para atender às diretrizes e padrões de conformidade.

As SKUs de Host Dedicado Atuais (série de VM e Tipo de Host) que oferecem o isolamento de computação necessário incluem SKUs nas famílias de VMs listadas na página de preços de Host Dedicado.

Máquinas virtuais isoladas

Atualmente, não há suporte para conjuntos de dimensionamento de máquinas virtuais no Host Dedicado do Azure. Mas tipos específicos de VM, quando implantados, consomem todo o host físico para a VM. Os tipos de VM isolados podem ser implantados por meio de conjuntos de dimensionamento de máquinas virtuais para fornecer isolamento de computação adequado com todos os benefícios dos conjuntos de dimensionamento de máquinas virtuais em vigor. Ao configurar seu conjunto de escalas, selecione a SKU apropriada. Para criptografar os dados em repouso, consulte a próxima seção para opções de criptografia suportadas.

Importante

À medida que novas gerações de hardware se tornam disponíveis, alguns tipos de VM podem exigir reconfiguração (escalonamento ou migração para uma nova SKU de VM) para garantir que permaneçam em hardware dedicado adequado. Para obter mais informações, consulte Isolamento de máquina virtual no Azure.

Criptografia de disco para máquinas virtuais

Você pode criptografar o armazenamento que oferece suporte a essas máquinas virtuais de uma das duas maneiras de oferecer suporte aos padrões de criptografia necessários.

Encriptação de disco para escalões de máquinas virtuais

Você pode criptografar discos que dão suporte a conjuntos de dimensionamento de máquina virtual usando a Criptografia de Disco do Azure:

Contentores

Para a disponibilidade dos serviços de Contêineres no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Azure Kubernetes Service

Instâncias de contêiner

  • As Instâncias de Contêiner do Azure criptografam automaticamente os dados relacionados aos seus contêineres quando eles persistem na nuvem. Os dados em instâncias de contentor são criptografados e decifrados com criptografia AES de 256 bits e a proteção está ativada para todas as implementações de instâncias de contentor. Você pode confiar em chaves gerenciadas pela Microsoft para a criptografia de seus dados de contêiner ou pode gerenciar a criptografia usando suas próprias chaves. Para obter mais informações, consulte Criptografar dados de implantação.

Registro de contêiner

Bases de dados

Para a disponibilidade dos serviços de Bases de Dados no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Azure Cosmos DB

Base de Dados do Azure para MySQL

  • A encriptação de dados com chaves geridas pelo cliente da Base de Dados do Azure para MySQL permite-lhe trazer a sua própria chave (BYOK) para a proteção de dados em repouso. Essa criptografia é definida no nível do servidor. Para um determinado servidor, uma chave gerenciada pelo cliente, chamada chave de criptografia de chave (KEK), é usada para criptografar a chave de criptografia de dados (DEK) usada pelo serviço. Para obter mais informações, consulte Banco de Dados do Azure para criptografia de dados MySQL com uma chave gerenciada pelo cliente.

Base de Dados do Azure para PostgreSQL

Azure Healthcare APIs (anteriormente Azure API for FHIR)

As APIs do Azure Healthcare dão suporte a cargas de trabalho de Nível de Impacto 5 no Azure Government com esta configuração:

Banco de Dados SQL do Azure

SQL Server Stretch Database

Híbrido

Azure Stack Edge

  • Pode proteger os dados em repouso através de contas de armazenamento porque o seu dispositivo está associado a uma conta de armazenamento que é utilizada como destino para os seus dados no Azure. Você pode configurar sua conta de armazenamento para usar a criptografia de dados com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure. Para obter mais informações, consulte Proteger dados em contas de armazenamento.

Integração

Para obter a disponibilidade dos serviços de integração no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Service Bus

Internet das Coisas

Para saber a disponibilidade dos serviços da Internet das Coisas no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Hub IoT do Azure

  • O Hub IoT do Azure fornece criptografia de dados em repouso e em trânsito. O Hub IoT do Azure usa chaves gerenciadas pela Microsoft para criptografar os dados.

Gestão e governação

Para obter a disponibilidade dos serviços de gestão e governação no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria.

Automação

  • Por padrão, sua conta de Automação do Azure usa chaves gerenciadas pela Microsoft. Você pode gerenciar a criptografia de ativos seguros para sua conta de automação usando suas próprias chaves. Quando você especifica uma chave gerenciada pelo cliente no nível da conta de automação, essa chave é usada para proteger e controlar o acesso à chave de criptografia de conta para a conta de automação. Para obter mais informações, consulte Criptografia de ativos seguros na Automação do Azure.

Aplicações Geridas do Azure

Azure Monitor

Log Analytics

O Log Analytics, que é um recurso do Azure Monitor, destina-se a ser usado para monitorar a integridade e o status de serviços e infraestrutura. Os dados e logs de monitoramento armazenam principalmente logs e métricas que são gerados pelo serviço. Quando usado nessa capacidade primária, o Log Analytics dá suporte a cargas de trabalho de Nível de Impacto 5 no Azure Government sem necessidade de configuração extra.

O Log Analytics também pode ser usado para ingerir logs adicionais fornecidos pelo cliente. Esses logs podem incluir dados ingeridos como parte da operação do Microsoft Defender for Cloud ou do Microsoft Sentinel. Se os logs ingeridos ou as consultas gravadas nesses logs forem categorizados como dados IL5, você deverá configurar chaves gerenciadas pelo cliente (CMK) para seus espaços de trabalho do Log Analytics e componentes do Application Insights. Uma vez configurados, todos os dados enviados para seus espaços de trabalho ou componentes são criptografados com sua chave do Cofre da Chave do Azure. Para obter mais informações, consulte Azure Monitor chaves gerenciadas pelo cliente.

Azure Site Recovery

Microsoft Intune

  • O Intune suporta cargas de trabalho de Nível de Impacto 5 no Azure Government sem necessidade de configuração extra. Os aplicativos de linha de negócios devem ser avaliados quanto a restrições IL5 antes de serem carregados para o armazenamento do Intune. Embora o Intune criptografe aplicativos que são carregados no serviço para distribuição, ele não oferece suporte a chaves gerenciadas pelo cliente.

MÍDIA

Para saber a disponibilidade de serviços de mídia no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Serviços de Mídia

Migração

Para obter a disponibilidade dos serviços de migração no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Azure Data Box

Azure Migrate

Segurança

Para obter a disponibilidade dos serviços de segurança no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Proteção de Informações do Azure

Microsoft Sentinel (anteriormente Azure Sentinel)

Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security)

Armazenamento

Para saber a disponibilidade dos serviços de armazenamento no Azure Government, consulte Produtos disponíveis por região. Para obter uma lista de serviços no escopo do DoD IL5 PA, consulte Serviços governamentais do Azure por escopo de auditoria. As orientações abaixo são fornecidas apenas para serviços de PA IL5 que exigem configuração extra para suportar cargas de trabalho IL5.

Armazenamento de Arquivo do Azure

  • O Armazenamento de Arquivo do Azure é uma camada do Armazenamento do Azure. Ele ajuda automaticamente a proteger os dados em repouso usando criptografia AES de 256 bits. Assim como os níveis quentes e frios, o Archive Storage pode ser definido no nível de blob. Para habilitar o acesso ao conteúdo, você precisa reidratar o blob arquivado ou copiá-lo para uma camada online, momento em que você pode impor chaves gerenciadas pelo cliente que estão em vigor para suas camadas de armazenamento online. Ao criar uma conta de armazenamento de destino para dados IL5 no Archive Storage, adicione criptografia de armazenamento por meio de chaves gerenciadas pelo cliente. Para obter mais informações, consulte Criptografia de armazenamento com chaves gerenciadas do Cofre de Chaves.
  • A conta de armazenamento de destino para o Armazenamento Arquivo pode estar localizada em qualquer região do Azure para Governos.

Azure File Sync

Azure HPC Cache

Importar/Exportar do Azure

  • Por padrão, o serviço Importar/Exportar criptografará os dados gravados no disco rígido para transporte. Ao criar uma conta de armazenamento de destino para importação e exportação de dados IL5, adicione criptografia de armazenamento por meio de chaves gerenciadas pelo cliente. Para obter mais informações, consulte Criptografia de armazenamento com chaves gerenciadas do Cofre de Chaves neste artigo.
  • A conta de armazenamento de destino para importação e a conta de armazenamento de origem para exportação podem estar localizadas em qualquer região do Governo do Azure.

Azure NetApp Files

Azure Storage

O Armazenamento do Azure consiste em vários recursos de dados: armazenamento de Blob, armazenamento de arquivos, armazenamento de tabelas e armazenamento de filas. O armazenamento de Blob suporta armazenamento padrão e premium. O armazenamento Premium utiliza apenas SSDs, para proporcionar o desempenho mais rápido possível. O armazenamento também inclui configurações que modificam esses tipos de armazenamento, como hot and cool para fornecer velocidade de disponibilidade apropriada para cenários de dados.

O armazenamento de Blob e o armazenamento de ficheiros utilizam sempre a chave de criptografia da conta para criptografar dados. O armazenamento de filas e o armazenamento de tabelas podem ser configurados opcionalmente para criptografar dados com a chave de criptografia de conta quando a conta de armazenamento é criada. Você pode optar por usar chaves geridas pelo cliente para encriptar dados armazenados em todos os recursos do Armazenamento do Azure, incluindo armazenamento Blob, de Arquivos, de Tabelas e de Filas. Ao usar uma conta de Armazenamento do Azure, você deve seguir as etapas abaixo para garantir que os dados sejam protegidos com chaves gerenciadas pelo cliente.

Criptografia de armazenamento com chaves geridas pelo Cofre de Chaves

Para implementar controles compatíveis com o Nível de Impacto 5 em uma conta de Armazenamento do Azure executada no Azure Government fora das regiões dedicadas do DoD, você deve usar a criptografia em repouso com a opção de chave gerenciada pelo cliente habilitada. A opção de chave gerenciada pelo cliente também é conhecida como traga sua própria chave.

Para obter mais informações sobre como habilitar esse recurso de criptografia do Armazenamento do Azure, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure.

Observação

Ao usar esse método de criptografia, você precisa habilitá-lo antes de adicionar conteúdo à conta de armazenamento. Qualquer conteúdo adicionado antes da configuração da chave gerenciada pelo cliente será protegido com chaves gerenciadas pela Microsoft.

StorSimple

  • Para ajudar a garantir a segurança e a integridade dos dados movidos para a nuvem, o StorSimple permite definir chaves de criptografia de armazenamento em nuvem. Você especifica a chave de criptografia de armazenamento em nuvem ao criar um contêiner de volume.

Próximos passos

Saiba mais sobre o Azure Government:

Comece a usar o Azure Government: