Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral de como a criptografia é usada no Microsoft Azure. Ele aborda as principais áreas da criptografia, incluindo criptografia em repouso, criptografia em trânsito e gerenciamento de chaves com o Azure Key Vault.
Criptografia de dados em repouso
Os dados em repouso incluem informações que residem no armazenamento persistente da mídia física, em qualquer formato digital. O Microsoft Azure oferece uma variedade de soluções de armazenamento de dados para atender às diferentes necessidades, incluindo armazenamento de arquivo, disco, blob e tabela. A Microsoft também fornece criptografia para proteger o Banco de Dados SQL do Azure, o Azure Cosmos DB e o Azure Data Lake.
A criptografia de dados em repouso usando a criptografia AES 256 está disponível para serviços em saaS (software como serviço), PaaS (plataforma como serviço) e modelos de nuvem iaaS (infraestrutura como serviço).
Para obter uma discussão detalhada sobre como os dados em repouso são criptografados no Azure, consulte a Criptografia de Dados do Azure em repouso.
Modelos de criptografia do Azure
O Azure dá suporte a vários modelos de criptografia, incluindo criptografia no servidor que usa chaves gerenciadas pelo serviço, chaves gerenciadas pelo cliente no Key Vault ou chaves gerenciadas pelo cliente no hardware controlado pelo cliente. Com a criptografia do lado do cliente, você pode gerenciar e armazenar chaves localmente ou em outro local seguro.
Criptografia do cliente
A criptografia no cliente é realizada fora do Azure. Ele inclui:
- Dados criptografados por um aplicativo em execução no datacenter do cliente ou por um aplicativo de serviço
- Dados que já estão criptografados quando são recebidos pelo Azure
Com a criptografia do lado do cliente, os provedores de serviços de nuvem não têm acesso às chaves de criptografia e não podem descriptografar esses dados. Você mantém total controle das chaves.
Criptografia no servidor
Os três modelos de criptografia do lado do servidor oferecem diferentes características de gerenciamento de chaves:
- Chaves gerenciadas pelo serviço: fornece uma combinação de controle e conveniência com baixa sobrecarga
- Chaves gerenciadas pelo cliente: fornece controle sobre as chaves, incluindo o suporte byOK (Bring Your Own Keys) ou permite que você gere novas chaves
- Chaves gerenciadas pelo serviço em hardware controlado pelo cliente: permite que você gerencie chaves em seu repositório proprietário, fora do controle da Microsoft (também chamado de Host Sua Própria Chave ou HYOK)
Azure Disk Encryption
Importante
O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.
Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.
Todos os Managed Disks, instantâneos e imagens são criptografados usando Criptografia do Serviço de Armazenamento usando uma chave gerenciada por serviço. O Azure também oferece opções para proteger discos temporários, caches e gerenciar chaves no Azure Key Vault. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado.
Criptografia do Serviço de Armazenamento do Azure
Os dados em repouso no Armazenamento de Blobs do Azure e nos compartilhamentos de arquivos do Azure podem ser criptografados em cenários do servidor e do lado do cliente.
A SSE (Criptografia do Serviço de Armazenamento) do Azure pode criptografar os dados automaticamente antes de serem armazenados, descriptografando-os automaticamente quando são recuperados. A Criptografia do Serviço de Armazenamento usa criptografia AES de 256 bits, uma das criptografias de bloco mais fortes disponíveis.
Criptografia do Banco de Dados SQL do Azure
O Banco de Dados SQL do Azure é um serviço de banco de dados relacional de uso geral que dá suporte a estruturas como dados relacionais, JSON, espacial e XML. O Banco de Dados SQL dá suporte à criptografia no servidor por meio do recurso TDE (Transparent Data Encryption) e à criptografia do lado do cliente por meio do recurso Always Encrypted.
Transparent Data Encryption
O TDE criptografa o SQL Server, o Banco de Dados SQL do Azure e os arquivos de dados do Azure Synapse Analytics em tempo real usando uma DEK (Chave de Criptografia de Banco de Dados). O TDE é habilitado por padrão em bancos de dados SQL do Azure recém-criados.
Sempre Criptografado
O recurso Always Encrypted no SQL do Azure permite criptografar dados em aplicativos cliente antes de armazená-los no Banco de Dados SQL do Azure. Você pode habilitar a delegação da administração de banco de dados local para terceiros e manter a separação entre aqueles que possuem e podem exibir os dados e aqueles que os gerenciam.
Criptografia em nível de célula ou de coluna
Com o Banco de Dados SQL do Azure, você pode aplicar a criptografia simétrica a uma coluna de dados usando o Transact-SQL. Essa abordagem é chamada de CRIPTOGRAFIA no nível da célula ou criptografia de nível de coluna (CLE), pois você pode usá-la para criptografar colunas ou células específicas com chaves de criptografia diferentes, oferecendo a você uma funcionalidade de criptografia mais granular do que o TDE.
Criptografia de banco de dados Azure Cosmos DB
O Azure Cosmos DB é o banco de dados multimodelo globalmente distribuído da Microsoft. Os dados do usuário armazenados no Azure Cosmos DB no armazenamento não volátil (unidades de estado sólido) são criptografados por padrão usando chaves gerenciadas pelo serviço. Você pode adicionar uma segunda camada de criptografia com suas próprias chaves usando o recurso CMK (chaves gerenciadas pelo cliente ).
Criptografia do Azure Data Lake
O Azure Data Lake é um repositório de dados em toda a empresa. O Data Lake Store dá suporte à criptografia transparente "ativada por padrão" de dados em repouso, que é configurada durante a criação da conta. Por padrão, o Azure Data Lake Store gerencia as chaves para você, mas você tem a opção de gerenciá-las por conta própria.
Criptografia de dados em trânsito
O Azure oferece muitos mecanismos para manter os dados privados à medida que eles são movidos de um local para outro.
Criptografia de camada de link de dados
Sempre que o tráfego do cliente do Azure se move entre datacenters , fora dos limites físicos não controlados pela Microsoft, um método de criptografia de camada de vínculo de dados usando os Padrões de Segurança do MAC IEEE 802.1AE (também conhecidos como MACsec) é aplicado ponto a ponto no hardware de rede subjacente. Os pacotes são criptografados nos dispositivos antes de serem enviados, impedindo ataques físicos de "homem no meio" ou espionagem/escuta telefônica. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões.
Criptografia TLS
A Microsoft oferece aos clientes a capacidade de usar o protocolo TLS (Transport Layer Security) para proteger os dados quando ele estiver viajando entre os serviços de nuvem e os clientes. Os datacenters da Microsoft negociam uma conexão TLS com os sistemas cliente que se conectam aos serviços do Azure. O TLS fornece autenticação forte, privacidade de mensagens e integridade.
Importante
O Azure está fazendo a transição para exigir o TLS 1.2 ou posterior para todas as conexões com os serviços do Azure. A maioria dos serviços do Azure concluiu essa transição até 31 de agosto de 2025. Verifique se seus aplicativos usam o TLS 1.2 ou posterior.
O PFS (Perfect Forward Secrecy) protege as conexões entre os sistemas cliente dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões dão suporte a comprimentos de chave de 2.048 bits baseados em RSA, comprimentos de chave de 256 bits ECC, autenticação de mensagem SHA-384 e criptografia de dados AES-256.
Transações do Armazenamento do Microsoft Azure
Quando você interage com o Armazenamento do Microsoft Azure por meio do Portal do Azure, todas as transações ocorrem por HTTPS. Também é possível usar a API REST do Armazenamento por HTTPS para interagir com o Armazenamento do Microsoft Azure. Você pode impor o uso de HTTPS ao chamar as APIs REST habilitando o requisito de transferência segura para a conta de armazenamento.
As SAS (Assinaturas de Acesso Compartilhado), que podem ser usadas para delegar o acesso aos objetos do Armazenamento do Azure, incluem uma opção para especificar que somente o protocolo HTTPS possa ser usado.
Criptografia SMB
O SMB 3.0, usado para acessar compartilhamentos de Arquivos do Azure, dá suporte à criptografia e está disponível no Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. O recurso permite acesso entre diferentes regiões e acesso no desktop.
Criptografia VPN
Você pode se conectar ao Azure por meio de uma rede virtual privada que cria um túnel seguro para proteger a privacidade dos dados que estão sendo enviados pela rede.
Gateways de VPN do Azure
O gateway de VPN do Azure pode enviar tráfego criptografado entre sua rede virtual e sua localização local em uma conexão pública ou entre redes virtuais. As VPNs site a site usam o protocolo IPsec como a criptografia de transporte.
VPNs ponto a site
As VPNs ponto a site permitem que computadores cliente individuais acessem uma Rede Virtual do Azure. O Protocolo SSTP (Secure Socket Tunneling Protocol) é usado para criar o túnel VPN. Para obter mais informações, consulte Configurar uma conexão ponto a site com uma rede virtual.
VPNs site a site
Uma conexão de gateway de VPN site a site conecta sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE. Para obter mais informações, consulte Criar uma conexão site a site.
Gerenciamento de chaves com o Key Vault
Sem a proteção e o gerenciamento adequados de chaves, a criptografia é tornada inútil. O Azure Key Vault é a solução recomendada pela Microsoft para gerenciar e controlar o acesso a chaves de criptografia usadas pelos serviços de nuvem.
O Key Vault alivia as organizações da necessidade de configurar, aplicar patch e manter HSMs (módulos de segurança de hardware) e um software de gerenciamento de chaves. Com o Key Vault, você mantém o controle— a Microsoft nunca vê suas chaves e os aplicativos não têm acesso direto a elas. Você também pode importar ou gerar chaves em HSMs.
Para obter mais informações sobre o gerenciamento de chaves no Azure, consulte o gerenciamento de chaves no Azure.
Próximas etapas
- Visão geral de segurança do Azure
- Visão geral da segurança de rede do Azure
- Visão geral de segurança do banco de dados do Azure
- Visão geral de segurança de máquinas virtuais do Azure
- Criptografia de dados em repouso
- Práticas recomendadas de segurança e criptografia de dados
- Gerenciamento de chaves no Azure