Partilhar via


Descrição geral da encriptação do Azure

Este artigo fornece uma visão geral de como a criptografia é usada no Microsoft Azure. Ele abrange as principais áreas de criptografia, incluindo criptografia em repouso, criptografia em voo e gerenciamento de chaves com o Azure Key Vault. Cada seção inclui links para informações mais detalhadas.

Encriptação de dados inativos

Os dados em repouso incluem informações que residem em armazenamento persistente em mídia física, em qualquer formato digital. A mídia pode incluir arquivos em mídia magnética ou ótica, dados arquivados e backups de dados. O Microsoft Azure oferece uma variedade de soluções de armazenamento de dados para atender a diferentes necessidades, incluindo armazenamento de arquivos, discos, blob e tabelas. A Microsoft também fornece criptografia para proteger o Banco de Dados SQL do Azure, o Azure Cosmos DB e o Azure Data Lake.

A criptografia de dados em repouso usando criptografia de dados AES 256 está disponível para serviços em todos os modelos de nuvem de software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS). Este artigo resume e fornece recursos para ajudá-lo a usar as opções de criptografia do Azure.

Para obter uma discussão mais detalhada sobre como os dados em repouso são criptografados no Azure, consulte Criptografia de dados do Azure em repouso.

Modelos de criptografia do Azure

O Azure dá suporte a vários modelos de criptografia, incluindo criptografia do lado do servidor que usa chaves gerenciadas por serviço, chaves gerenciadas pelo cliente no Cofre da Chave ou chaves gerenciadas pelo cliente em hardware controlado pelo cliente. Com a encriptação do lado do cliente, pode gerir e armazenar chaves no local ou noutra localização segura.

Encriptação do lado do cliente

A criptografia do lado do cliente é executada fora do Azure. Inclui:

  • Dados criptografados por um aplicativo em execução no datacenter do cliente ou por um aplicativo de serviço.
  • Dados que já estão criptografados quando são recebidos pelo Azure.

Com a criptografia do lado do cliente, os provedores de serviços de nuvem não têm acesso às chaves de criptografia e não podem descriptografar esses dados. Você mantém o controle total das chaves.

Encriptação do lado do servidor

Os três modelos de criptografia do lado do servidor oferecem diferentes características de gerenciamento de chave, que você pode escolher de acordo com suas necessidades:

  • Chaves gerenciadas por serviço: Fornece uma combinação de controle e conveniência com baixa sobrecarga.

  • Chaves geridas pelo cliente: Dá-lhe controlo sobre as chaves, incluindo o suporte Bring Your Own Keys (BYOK), ou permite-lhe gerar novas.

  • Chaves gerenciadas por serviço em hardware controlado pelo cliente: Permite gerenciar chaves em seu repositório proprietário, fora do controle da Microsoft. Essa característica é chamada de Host Your Own Key (HYOK). No entanto, a configuração é complexa e a maioria dos serviços do Azure não oferece suporte a esse modelo.

Criptografia de disco do Azure

Todos os discos gerenciados, instantâneos e imagens são criptografados usando a criptografia do serviço de armazenamento usando uma chave gerenciada pelo serviço. O Azure também oferece opções para proteger discos temporários, caches e gerenciar chaves no Cofre de Chaves do Azure. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado.

Encriptação do Serviço de Armazenamento do Azure

Os dados em repouso no armazenamento de Blob do Azure e nos compartilhamentos de arquivos do Azure podem ser criptografados em cenários do lado do servidor e do lado do cliente.

A Criptografia do Serviço de Armazenamento do Azure (SSE) pode criptografar automaticamente os dados antes de serem armazenados e descriptografa automaticamente os dados quando você os recupera. O processo é completamente transparente para os usuários. O Storage Service Encryption usa criptografia AES (Advanced Encryption Standard) de 256 bits, que é uma das cifras de bloco mais fortes disponíveis. O AES lida com criptografia, descriptografia e gerenciamento de chaves de forma transparente.

Criptografia do lado do cliente de blobs do Azure

Você pode executar a criptografia do lado do cliente de blobs do Azure de várias maneiras.

Você pode usar o pacote NuGet da Biblioteca de Cliente de Armazenamento do Azure para .NET para criptografar dados em seus aplicativos cliente antes de carregá-los em seu armazenamento do Azure.

Para saber mais sobre e baixar o pacote NuGet da Biblioteca de Cliente de Armazenamento do Azure para .NET, consulte Armazenamento do Windows Azure 8.3.0.

Quando você usa a criptografia do lado do cliente com o Cofre da Chave, seus dados são criptografados usando uma Chave de Criptografia de Conteúdo simétrica única (CEK) gerada pelo SDK do cliente de Armazenamento do Azure. O CEK é criptografado usando uma chave de criptografia de chave (KEK), que pode ser uma chave simétrica ou um par de chaves assimétricas. Você pode gerenciá-lo localmente ou armazená-lo no Cofre da Chave. Os dados criptografados são então carregados no Armazenamento do Azure.

Para saber mais sobre a criptografia do lado do cliente com o Cofre da Chave e começar com instruções de instruções, consulte Tutorial: Criptografar e descriptografar blobs no Armazenamento do Azure usando o Cofre da Chave.

Por fim, você também pode usar a Biblioteca de Cliente de Armazenamento do Azure para Java para executar a criptografia do lado do cliente antes de carregar dados no Armazenamento do Azure e para descriptografar os dados quando você os baixa para o cliente. Esta biblioteca também suporta a integração com o Cofre de Chaves para gerenciamento de chaves de conta de armazenamento.

Criptografia de dados em repouso com o Banco de Dados SQL do Azure

O Banco de Dados SQL do Azure é um serviço de banco de dados relacional de uso geral no Azure que dá suporte a estruturas como dados relacionais, JSON, espacial e XML. O Banco de dados SQL oferece suporte à criptografia do lado do servidor por meio do recurso TDE (Transparent Data Encryption) e à criptografia do lado do cliente por meio do recurso Always Encrypted.

Encriptação de Dados Transparente

O TDE é usado para criptografar arquivos de dados do SQL Server, do Banco de Dados SQL do Azure e do Azure Synapse Analytics em tempo real, usando uma DEK (Chave de Criptografia de Banco de Dados), que é armazenada no registro de inicialização do banco de dados para disponibilidade durante a recuperação.

A TDE protege dados e ficheiros de registo, utilizando algoritmos de encriptação AES e Triple Data Encryption Standard (3DES). A criptografia do arquivo de banco de dados é realizada no nível da página. As páginas em um banco de dados criptografado são criptografadas antes de serem gravadas em disco e são descriptografadas quando são lidas na memória. A TDE agora está habilitada por padrão em bancos de dados SQL do Azure recém-criados.

Funcionalidade Sempre Encriptada

Com o recurso Sempre Criptografado no SQL do Azure, você pode criptografar dados em aplicativos cliente antes de armazená-los no Banco de Dados SQL do Azure. Você também pode habilitar a delegação da administração do banco de dados local a terceiros e manter a separação entre aqueles que possuem e podem exibir os dados e aqueles que os gerenciam, mas não devem ter acesso a eles.

Criptografia no nível da célula ou da coluna

Com o Banco de Dados SQL do Azure, você pode aplicar criptografia simétrica a uma coluna de dados usando o Transact-SQL. Essa abordagem é chamada de criptografia no nível da célula ou criptografia no nível da coluna (CLE), porque você pode usá-la para criptografar colunas específicas ou até mesmo células específicas de dados com chaves de criptografia diferentes. Isso oferece um recurso de criptografia mais granular do que o TDE, que criptografa dados em páginas.

O CLE tem funções internas que você pode usar para criptografar dados usando chaves simétricas ou assimétricas, a chave pública de um certificado ou uma frase secreta usando 3DES.

Criptografia de banco de dados do Azure Cosmos DB

O Azure Cosmos DB é o banco de dados multimodelo distribuído globalmente da Microsoft. Os dados do usuário armazenados no Azure Cosmos DB em armazenamento não volátil (unidades de estado sólido) são criptografados por padrão. Não há controles para ligá-lo ou desativá-lo. A criptografia em repouso é implementada usando várias tecnologias de segurança, incluindo sistemas de armazenamento de chaves seguras, redes criptografadas e APIs criptográficas. As chaves de criptografia são gerenciadas pela Microsoft e são alternadas de acordo com as diretrizes internas da Microsoft. Opcionalmente, você pode optar por adicionar uma segunda camada de criptografia com chaves gerenciadas usando as chaves gerenciadas pelo cliente ou o recurso CMK .

Criptografia em repouso no Data Lake

O Azure Data Lake é um repositório em toda a empresa de todos os tipos de dados coletados em um único local antes de qualquer definição formal de requisitos ou esquema. O Repositório Data Lake suporta criptografia transparente de dados em repouso "ativada", que é configurada durante a criação da sua conta. Por padrão, o Repositório Azure Data Lake gerencia as chaves para você, mas você tem a opção de gerenciá-las por conta própria.

Três tipos de chaves são usados para criptografar e descriptografar dados: a Chave Mestra de Criptografia (MEK), a Chave de Criptografia de Dados (DEK) e a Chave de Criptografia de Bloco (BEK). O MEK é usado para criptografar o DEK, que é armazenado em mídia persistente, e o BEK é derivado do DEK e do bloco de dados. Se você estiver gerenciando suas próprias chaves, você pode girar o MEK.

Encriptação de dados em trânsito

O Azure oferece muitos mecanismos para manter os dados privados à medida que se movem de um local para outro.

Sempre que o tráfego do Cliente do Azure se move entre datacenters, fora dos limites físicos não controlados pela Microsoft (ou em nome da Microsoft), um método de criptografia de camada de link de dados usando os Padrões de Segurança MAC IEEE 802.1AE (também conhecido como MACsec) é aplicado ponto a ponto em todo o hardware de rede subjacente. Os pacotes são criptografados nos dispositivos antes de serem enviados, evitando ataques físicos "man-in-the-middle" ou espionagem/escutas telefônicas. Como essa tecnologia é integrada no próprio hardware de rede, ela fornece criptografia de taxa de linha no hardware de rede sem aumento mensurável de latência de link. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões, e nenhuma ação é necessária por parte dos clientes para habilitar.

Criptografia TLS no Azure

A Microsoft oferece aos clientes a capacidade de usar o protocolo TLS (Transport Layer Security) para proteger os dados quando eles estão viajando entre os serviços de nuvem e os clientes. Os datacenters da Microsoft negociam uma conexão TLS com sistemas cliente que se conectam aos serviços do Azure. O TLS fornece autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.

O Perfect Forward Secrecy (PFS) protege as conexões entre os sistemas clientes dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões também suportam comprimentos de chave de 2.048 bits baseados em RSA, comprimentos de chave ECC de 256 bits, autenticação de mensagens SHA-384 e criptografia de dados AES-256. Essa combinação torna difícil para alguém intercetar e acessar dados que estão em trânsito.

Transações do Armazenamento do Azure

Quando interage com o Armazenamento do Azure através do portal do Azure, todas as transações ocorrem através de HTTPS. Você também pode usar a API REST de Armazenamento sobre HTTPS para interagir com o Armazenamento do Azure. Você pode impor o uso de HTTPS ao chamar as APIs REST para acessar objetos em contas de armazenamento habilitando a transferência segura necessária para a conta de armazenamento.

As Assinaturas de Acesso Compartilhado (SAS), que podem ser usadas para delegar acesso a objetos de Armazenamento do Azure, incluem uma opção para especificar que somente o protocolo HTTPS pode ser usado quando você usa Assinaturas de Acesso Compartilhado. Essa abordagem garante que qualquer pessoa que envie links com tokens SAS use o protocolo adequado.

O SMB 3.0, que costumava acessar compartilhamentos de Arquivos do Azure, oferece suporte à criptografia e está disponível no Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. Ele permite o acesso entre regiões e até mesmo o acesso na área de trabalho.

A criptografia do lado do cliente criptografa os dados antes de serem enviados para sua instância de Armazenamento do Azure, para que sejam criptografados à medida que viajam pela rede.

Criptografia SMB em redes virtuais do Azure

Usando o SMB 3.0 em VMs que executam o Windows Server 2012 ou posterior, você pode tornar as transferências de dados seguras criptografando dados em trânsito pelas Redes Virtuais do Azure. Ao criptografar dados, você ajuda a proteger contra ataques de adulteração e espionagem. Os administradores podem habilitar a criptografia SMB para todo o servidor ou apenas compartilhamentos específicos.

Por padrão, depois que a criptografia SMB é ativada para um compartilhamento ou servidor, somente os clientes SMB 3.0 têm permissão para acessar os compartilhamentos criptografados.

Criptografia em trânsito em VMs

Os dados em trânsito para, de e entre VMs que executam o Windows podem ser criptografados de várias maneiras, dependendo da natureza da conexão.

Sessões de PDR

Você pode se conectar e entrar em uma VM usando o protocolo RDP (Remote Desktop Protocol) de um computador cliente Windows ou de um Mac com um cliente RDP instalado. Os dados em trânsito pela rede em sessões RDP podem ser protegidos por TLS.

Você também pode usar a Área de Trabalho Remota para se conectar a uma VM Linux no Azure.

Acesso seguro a VMs Linux com SSH

Para gerenciamento remoto, você pode usar o Secure Shell (SSH) para se conectar a VMs Linux em execução no Azure. SSH é um protocolo de conexão criptografado que permite entradas seguras em conexões não seguras. É o protocolo de conexão padrão para VMs Linux hospedadas no Azure. Ao usar chaves SSH para autenticação, você elimina a necessidade de senhas para entrar. O SSH usa um par de chaves pública/privada (criptografia assimétrica) para autenticação.

Criptografia de VPN do Azure

Você pode se conectar ao Azure por meio de uma rede virtual privada que cria um túnel seguro para proteger a privacidade dos dados que estão sendo enviados pela rede.

Gateways de VPN do Azure

Você pode usar um gateway de VPN do Azure para enviar tráfego criptografado entre sua rede virtual e seu local em uma conexão pública ou para enviar tráfego entre redes virtuais.

As VPNs site a site usam IPsec para criptografia de transporte. Os gateways de VPN do Azure usam um conjunto de propostas padrão. Você pode configurar gateways de VPN do Azure para usar uma política IPsec/IKE personalizada com algoritmos criptográficos específicos e pontos fortes de chave, em vez dos conjuntos de políticas padrão do Azure.

VPNs Ponto a site

As VPNs ponto a site permitem que computadores clientes individuais acessem uma rede virtual do Azure. O protocolo SSTP (Secure Socket Tunneling Protocol) é usado para criar o túnel VPN. Ele pode atravessar firewalls (o túnel aparece como uma conexão HTTPS). Você pode usar sua própria autoridade de certificação (CA) raiz de infraestrutura de chave pública (PKI) interna para conectividade ponto a site.

Você pode configurar uma conexão VPN ponto a site com uma rede virtual usando o portal do Azure com autenticação de certificado ou PowerShell.

Para saber mais sobre conexões VPN ponto a site com redes virtuais do Azure, consulte:

Configurar uma conexão ponto a site com uma rede virtual usando a autenticação de certificação: portal do Azure

Configurar uma conexão ponto a site com uma rede virtual usando a autenticação de certificado: PowerShell

VPNs site a site

Você pode usar uma conexão de gateway VPN site a site para conectar sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Esse tipo de conexão requer um dispositivo VPN local que tenha um endereço IP público voltado para o exterior atribuído a ele.

Você pode configurar uma conexão VPN site a site para uma rede virtual usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para obter mais informações, consulte:

Criar uma conexão site a site no portal do Azure

Criar uma conexão site a site no PowerShell

Criar uma rede virtual com uma conexão VPN site a site usando a CLI

Criptografia em trânsito no Data Lake

Os dados em trânsito (também denominados dados em movimento) também são sempre encriptados no Data Lake Store. Além de criptografar dados antes de armazená-los em mídia persistente, os dados também são sempre protegidos em trânsito usando HTTPS. O HTTPS é o único protocolo que as interfaces REST do Data Lake Store suportam.

Para saber mais sobre a criptografia de dados em trânsito no Data Lake, consulte Criptografia de dados no Repositório Data Lake.

Gerenciamento de chaves com o Key Vault

Sem a devida proteção e gestão das chaves, a encriptação torna-se inútil. O Key Vault é a solução recomendada pela Microsoft para gerenciar e controlar o acesso a chaves de criptografia usadas por serviços de nuvem. As permissões para acessar chaves podem ser atribuídas a serviços ou a usuários por meio de contas do Microsoft Entra.

Com o Key Vault as organizações poupam tempo na configuração, aplicação de patches e manutenção dos módulos de segurança de hardware (HSMs) e software de gestão de chaves. Ao usar o Cofre de Chaves, você mantém o controle. A Microsoft nunca vê as suas chaves e as aplicações não têm acesso direto às mesmas. Você também pode importar ou gerar chaves em HSMs.

Próximos passos