Segurança e criptografia de dados no Azure Data Manager for Energy

Este artigo fornece uma visão geral dos recursos de segurança no Azure Data Manager for Energy. Ele abrange as principais áreas de criptografia em repouso, criptografia em trânsito, TLS, https, chaves gerenciadas pela Microsoft e chave gerenciada pelo cliente.

Criptografar dados em repouso

O Azure Data Manager for Energy usa vários recursos de armazenamento para armazenar metadados, dados do usuário, dados na memória etc. A plataforma usa a criptografia do lado do serviço para criptografar automaticamente todos os dados quando eles são persistidos na nuvem. A criptografia de dados em repouso protege seus dados para ajudar você a atender aos compromissos de conformidade e segurança de sua organização. Todos os dados no Azure Data Manager para Energia são criptografados com chaves gerenciadas pela Microsoft por padrão. Além da chave gerenciada pela Microsoft, você pode usar sua própria chave de criptografia para proteger os dados no Azure Data Manager for Energy. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave gerenciada pela Microsoft que criptografa os dados.

Criptografar dados em trânsito

O Azure Data Manager for Energy dá suporte ao protocolo TLS 1.2 (Transport Layer Security) para proteger os dados ao viajar entre os serviços de nuvem e os clientes. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de violação, interceptação e falsificação de mensagens), interoperabilidade e flexibilidade de algoritmo.

Além do TLS, quando você interage com o Azure Data Manager for Energy, todas as transações ocorrem via HTTPS.

Configurar a CMK (Chaves Gerenciadas pelo Cliente) para a instância do Azure Data Manager for Energy

Importante

Não é possível editar as configurações de CMK depois que a instância do Azure Data Manager for Energy for criada.

Pré-requisitos

Etapa 1: Configurar o cofre de chaves

1. Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. Para saber mais sobre o Azure Key Vault, confira Visão geral do Azure Key Vault e O que é o Azure Key Vault?

2. O uso de chaves gerenciadas pelo cliente com o Azure Data Manager for Energy exige que a exclusão temporária e a proteção contra limpeza sejam habilitadas para o cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou após sua criação.

3. Para saber como criar um cofre de chaves com o portal do Azure, confira Início Rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Habilitar proteção contra limpeza.

   

4. Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

   1. Navegue até o cofre de chaves no portal do Azure.
   2. Em Configurações, escolha Propriedades.
   3. Na seção de proteção contra limpeza, escolha Habilitar proteção contra limpeza.

Etapa 2: Adicionar uma chave

1. Depois, adicione uma chave no cofre de chaves.
2. Para saber como adicionar uma chave com o portal do Azure, confira Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.
3. É recomendável que o tamanho da chave RSA seja 3072. Consulte Configurar chaves gerenciadas pelo cliente para sua conta do Azure Cosmos DB | Microsoft Learn.

Etapa 3: escolher uma identidade gerenciada para autorizar o acesso ao cofre de chaves

1. Ao habilitar chaves gerenciadas pelo cliente para uma instância existente do Azure Data Manager for Energy, você deve especificar uma identidade gerenciada que será usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada precisa ter permissões para acessar a chave no cofre de chaves.
2. Você pode criar uma identidade gerenciada atribuída pelo usuário.

Configurar chaves gerenciadas pelo cliente para uma conta existente

1. Crie uma instância do Azure Data Manager para Energia .
2. Selecione a guia Criptografia.

3. Na guia de criptografia, selecione Chaves gerenciadas pelo cliente (CMK).

4. Para usar a CMK, você precisa selecionar o cofre de chaves em que a chave está armazenada.

5. Selecione Chave de criptografia em "Selecionar um cofre de chaves e uma chave".

6. Em seguida, selecione "Selecionar um cofre de chaves e uma chave".

7. Em seguida, selecione o cofre de chaves e a chave.

   

8. Em seguida, selecione a identidade gerenciada atribuída pelo usuário que será usada para autorizar o acesso ao cofre de chaves que contém a chave.

9. Selecione "Selecionar uma identidade de usuário". Selecione a identidade gerenciada atribuída pelo usuário que você criou nos pré-requisitos.

10. Essa identidade atribuída pelo usuário deve ter as permissões obter chave, listar chave, encapsular chave e desencapsular chave no cofre de chaves. Para obter mais informações sobre a designação das políticas de acesso do Azure Key Vault, confira Atribuir uma política de acesso ao cofre de chaves.

    

11. Você também pode selecionar Chave de criptografia como "Inserir chave do URI". É obrigatório que a Chave tenha a exclusão temporária e a proteção contra limpeza habilitadas. Você precisará confirmar isso marcando a caixa mostrada abaixo.

    

12. Em seguida, selecione "Examinar+Criar" depois de concluir outras guias.

13. Selecione o botão "Criar".

14. Uma instância do Azure Data Manager for Energy é criada com chaves gerenciadas pelo cliente.

15. Depois que a CMK estiver habilitada, você verá seu status na tela Visão geral.

    

16. Você pode navegar até Criptografia e ver essa CMK habilitada com a identidade gerenciada pelo usuário.

    

Próximas etapas

Saiba mais sobre Links Privados.

Como configurar links privados