Compartilhar via

Criptografia do Serviço de IA Bot do Azure para dados em repouso

APLICA-SE A: SDK v4

O Serviço de Bot de IA do Azure criptografa automaticamente seus dados quando eles são mantidos na nuvem para proteger os dados e atender aos compromissos de conformidade e segurança organizacional.

A criptografia e a descriptografia são transparentes, o que significa que a criptografia e o acesso são gerenciados para você. Como os dados são protegidos por padrão, você não precisa modificar seu código ou seus aplicativos para aproveitar a criptografia.

Sobre o gerenciamento de chaves de criptografia

Por padrão, sua assinatura usa chaves de criptografia gerenciadas pela Microsoft. Você pode gerenciar seu recurso de bot com suas próprias chaves chamadas chaves gerenciadas pelo cliente. As chaves gerenciadas pelo cliente oferecem maior flexibilidade para criar, alternar, desabilitar e revogar controles de acesso aos dados armazenados pelo Serviço de Bot de IA do Azure. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Ao criptografar dados, o Serviço de Bot de IA do Azure criptografa com dois níveis de criptografia. No caso em que as chaves gerenciadas pelo cliente não estão habilitadas, ambas as chaves usadas são chaves gerenciadas pela Microsoft. Quando as chaves gerenciadas pelo cliente são habilitadas, os dados são criptografados com a chave gerenciada pelo cliente e uma chave gerenciada pela Microsoft.

Chaves gerenciadas pelo cliente com o Azure Key Vault

Para utilizar o recurso de chaves gerenciadas pelo cliente, você deve armazenar e gerenciar chaves no Azure Key Vault. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O recurso de Bot do Azure e o cofre de chaves devem estar no mesmo locatário do Microsoft Entra ID, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?.

Ao usar uma chave gerenciada pelo cliente, o Serviço de Bot de IA do Azure criptografa seus dados em seu armazenamento. Se o acesso a essa chave for revogado ou a chave for excluída, o bot não poderá usar o Serviço de Bot de IA do Azure para enviar ou receber mensagens e você não poderá acessar ou editar a configuração do bot no portal do Azure.

Quando você cria um recurso de Bot do Azure por meio do portal, o Azure gera uma ID de aplicativo e uma senha, mas não os armazena no Azure Key Vault. Você pode usar o Key Vault com o Serviço de Bot de IA do Azure. Para obter informações, consulte Configurar o aplicativo Web para se conectar ao Key Vault. Para obter um exemplo sobre como armazenar e recuperar segredos com o Key Vault, consulte Início Rápido: biblioteca de clientes secretos do Azure Key Vault para .NET (SDK v4).

Importante

A equipe do Serviço de Bot de IA do Azure não pode recuperar um bot de chave de criptografia gerenciado pelo cliente sem acesso à chave.

Quais dados são criptografados?

O Serviço de Bot de IA do Azure armazena dados do cliente sobre o bot, os canais que ele usa, as configurações definidas pelo desenvolvedor e, quando necessário, um registro das conversas ativas no momento. Ele também armazena temporariamente, por um período inferior a 24 horas, as mensagens enviadas pelos canais Direct Line ou Web Chat e quaisquer anexos carregados.

Todos os dados do cliente são criptografados com duas camadas de criptografia no Serviço de Bot de IA do Azure; com chaves de criptografia gerenciadas pela Microsoft ou chaves de criptografia gerenciadas pelo cliente da Microsoft. O Serviço de Bot de IA do Azure criptografa dados armazenados transitóriamente usando as chaves de criptografia gerenciadas pela Microsoft e, dependendo da configuração do recurso de Bot do Azure, criptografa dados de longo prazo usando as chaves de criptografia gerenciadas pela Microsoft ou pelo cliente.

Observação

Como o Serviço de Bot de IA do Azure existe para fornecer aos clientes a capacidade de entregar mensagens de e para usuários em outros serviços fora do Serviço de Bot de IA do Azure, a criptografia não se estende a esses serviços. Isso significa que, no controle do Serviço de Bot de IA do Azure, os dados serão armazenados criptografados de acordo com as diretrizes deste artigo; no entanto, ao deixar o serviço para entregar a outro serviço, os dados são descriptografados e enviados usando a criptografia TLS 1.2 para o serviço de destino.

Como configurar sua instância do Azure Key Vault

O uso de chaves gerenciadas pelo cliente com o Serviço de Bot de IA do Azure exige que você habilite duas propriedades na instância do Azure Key Vault que você planeja usar para hospedar suas chaves de criptografia: exclusão suave e proteção contra remoção. Esses recursos garantem que, se por algum motivo sua chave for excluída acidentalmente, você poderá recuperá-la. Para obter mais informações sobre a exclusão suave e a proteção contra exclusão definitiva, consulte a visão geral de exclusão suave do Azure Key Vault.

Captura de tela da proteção contra exclusão e limpeza reversível habilitada.

Se estiver usando uma instância existente do Azure Key Vault, você poderá verificar se essas propriedades estão habilitadas examinando a seção Propriedades no portal do Azure. Se qualquer uma dessas propriedades não estiver habilitada, consulte a seção Key Vault em Como habilitar a exclusão reversível e a proteção contra limpeza.

Conceder ao Serviço de Bot de IA do Azure acesso a um cofre de chaves

Para que o Serviço de Bot de IA do Azure tenha acesso ao cofre de chaves que você criou para essa finalidade, uma política de acesso precisa ser definida, o que fornece à entidade de serviço do Serviço de Bot de IA do Azure o conjunto atual de permissões. Para obter mais informações sobre o Azure Key Vault, incluindo como criar um cofre de chaves, consulte Sobre o Azure Key Vault.

  1. Registre o provedor de recursos do Azure AI Bot Service em sua assinatura que contém o Key Vault.

    1. Acesse o portal do Azure.
    2. Abra a folha Assinaturas e selecione a assinatura que contém o cofre de chaves.
    3. Abra a folha Provedores de recursos e registre o provedor de recursos Microsoft.BotService .

    Microsoft.BotService registrado como um provedor de recursos

  2. O Azure Key Vault dá suporte a dois modelos de permissão: RBAC (controle de acesso baseado em função) do Azure ou política de acesso do cofre. Você pode optar por usar qualquer modelo de permissão. Verifique se os Firewalls e redes virtuais na folha Rede do Key Vault estão definidos para permitir o acesso público de todas as redes nesta etapa. Além disso, verifique se o operador recebeu a permissão de Operações de Gerenciamento de Chaves.

    Captura de tela dos dois modelos de permissão disponíveis para o cofre de chaves.

    1. Para configurar o modelo de permissão RBAC do Azure no cofre de chaves:

      1. Abra o painel cofre de chaves e selecione seu cofre de chaves.
      2. Acesse o painel Controle de Acesso (IAM) e atribua a função Usuário de Criptografia do Serviço Key Vault ao Bot Service CMEK Prod. Somente um usuário com a função de dono da assinatura pode realizar essa alteração.

      Captura de tela da configuração do cofre de chaves mostrando que a função de usuário de criptografia do serviço de criptografia foi adicionada.

    2. Para configurar o modelo de permissão da política de acesso do Key Vault no seu cofre de chaves:

      1. Abra o painel cofre de chaves e selecione seu cofre de chaves.
      2. Adicione o aplicativo CMEK Prod do Serviço de Bot como uma política de acesso e atribua-lhe as seguintes permissões:
      • Obter (operações de gerenciamento de chaves)
      • Desembrulhar chave (das operações criptográficas)
      • Chave de encapsulamento (das operações criptográficas)
      1. Selecione Salvar para salvar as alterações feitas.

      Bot Service CMEK Prod adicionado como política de acesso

  3. Permitir que o Key Vault ignore o firewall.

    1. Abra o painel cofre de chaves e selecione seu cofre de chaves.
    2. Abra o Painel de Rede e vá para a aba Firewalls e redes virtuais.
    3. Se Permitir acesso for definido como Desabilitar o acesso público, certifique-se de selecionar a opção Permitir que serviços confiáveis da Microsoft ignorem este firewall.
    4. Selecione Salvar para salvar as alterações feitas.

    Exceção de firewall adicionada para o Key Vault

Habilitar chaves gerenciadas pelo cliente

Para criptografar seu bot com uma chave de criptografia gerenciada pelo cliente, siga estas etapas:

  1. Abra o painel de recursos do Bot do Azure para seu bot.

  2. Abra a folha Criptografia do bot e selecione Customer-Managed Chaves para o tipo criptografia.

  3. Insira o URI completo da chave, incluindo a versão, ou clique em Selecionar um cofre de chaves e uma chave para localizar sua chave.

  4. Clique em Salvar na parte superior da folha.

    Recurso de bot usando criptografia gerenciada pelo cliente

Depois que essas etapas forem concluídas, o Serviço de Bot de IA do Azure iniciará o processo de criptografia, que pode levar até 24 horas para ser concluído. Seu bot permanece funcional durante esse período de tempo.

Fazer a rotação de chaves gerenciadas pelo cliente

Para alternar uma chave de criptografia gerenciada pelo cliente, você deve atualizar o recurso do Serviço de Bot de IA do Azure para utilizar o novo URI da nova chave (ou da nova versão da chave existente).

Como a nova criptografia com a nova chave ocorre de forma assíncrona, verifique se a chave antiga permanece disponível para que os dados possam continuar a ser descriptografados; caso contrário, seu bot poderia parar de funcionar. Você deve manter a chave antiga por pelo menos uma semana.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso, remova a política de acesso do principal de serviço Bot Service CMEK Prod do seu cofre de chaves.

Observação

A revogação do acesso interromperá a maior parte da funcionalidade associada ao bot. Para desabilitar o recurso de chaves gerenciadas pelo cliente, desative o recurso antes de revogar o acesso para garantir que o bot possa continuar funcionando.

Próximas etapas

Saiba mais sobre o Azure Key Vault