Habilitar criptografia de infraestrutura para criptografia dupla de dados

O Armazenamento do Azure criptografa automaticamente todos os dados em uma conta de armazenamento no nível do serviço por meio da AES de 256 bits com criptografia de modo GCM, uma das codificações de bloco mais fortes disponíveis, e é compatível com o FIPS 140-2. Os clientes que precisam de níveis mais altos de garantia de que seus dados estejam seguros também podem habilitar a AES de 256 bits com criptografia CBC no nível da infraestrutura do Armazenamento do Azure para criptografia dupla. A criptografia dupla de dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia pode ser comprometido. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.

A criptografia de infraestrutura pode ser habilitada para toda a conta de armazenamento ou para um escopo de criptografia dentro de uma conta. Quando a criptografia de infraestrutura é habilitada em uma conta de armazenamento ou em um escopo de criptografia, os dados são criptografados duas vezes: uma vez no nível do serviço e outra no nível da infraestrutura, com dois algoritmos de criptografia diferentes e duas chaves distintas.

A criptografia no nível do serviço dá suporte ao uso de chaves gerenciadas pela Microsoft ou de chaves gerenciadas pelo cliente com o Azure Key Vault ou com o HSM (Modelo de Segurança de Hardware) Gerenciado do Key Vault. A criptografia no nível da infraestrutura depende de chaves gerenciadas pela Microsoft e sempre usa uma chave separada. Para obter mais informações sobre o gerenciamento de chaves com a criptografia do Armazenamento do Azure, confira Sobre o gerenciamento de chaves de criptografia.

Para criptografar os seus dados duplamente, primeiro crie uma conta de armazenamento ou um escopo de criptografia que seja configurado para criptografia de infraestrutura. Este artigo descreve como habilitar a criptografia de infraestrutura.

Importante

A criptografia de infraestrutura é recomendada para cenários em que a criptografia dupla de dados é necessária para requisitos de conformidade. Na maioria dos outros cenários, a criptografia do Armazenamento do Azure fornece um algoritmo de criptografia suficientemente poderoso e é improvável que haja um benefício no uso da criptografia de infraestrutura.

Criar uma conta com criptografia de infraestrutura habilitada

Para habilitar a criptografia de infraestrutura para uma conta de armazenamento, você deve configurar uma conta de armazenamento para usar a criptografia de infraestrutura no momento em que criar a conta. A criptografia de infraestrutura não pode ser habilitada nem desabilitada após a criação da conta. A conta de armazenamento deve ser de tipo uso geral v2 ou de blob de blocos premium.

Se você quiser usar o portal do Azure para criar uma conta de armazenamento com a criptografia de infraestrutura habilitada, siga estas etapas:

  1. No portal do Azure, navegue até a página Contas de armazenamento.

  2. Escolha o botão Adicionar para adicionar uma nova conta de armazenamento de uso geral v2 ou de blob de blocos premium.

  3. Na guia Criptografia, localize Habilitar criptografia de infraestrutura e selecione Habilitada.

  4. Selecione Examinar + criar para concluir a criação da conta de armazenamento.

    Screenshot showing how to enable infrastructure encryption when creating account.

Para verificar se a criptografia de infraestrutura está habilitada em uma conta de armazenamento com o portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento no portal do Azure.

  2. Em Segurança + rede, escolha Criptografia.

    Screenshot showing how to verify that infrastructure encryption is enabled for account.

O Azure Policy fornece uma política interna para exigir que a criptografia de infraestrutura seja habilitada para uma conta de armazenamento. Para obter mais informações, consulte a seção Armazenamento nas Definições de política interna do Azure Policy.

Criar um escopo de criptografia com criptografia de infraestrutura habilitada

Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração da criptografia de infraestrutura para um escopo de criptografia não pode ser alterada depois que o escopo é criado. Para obter mais informações, veja Criar um escopo de criptografia.

Próximas etapas