Habilite a criptografia de infraestrutura para criptografia dupla de dados

O Armazenamento do Azure criptografa automaticamente todos os dados em uma conta de armazenamento no nível de serviço usando AES de 256 bits com criptografia de modo GCM, uma das cifras de bloco mais fortes disponíveis, e é compatível com FIPS 140-2. Os clientes que exigem níveis mais altos de garantia de que seus dados estão seguros também podem habilitar o AES de 256 bits com criptografia CBC no nível de infraestrutura do Armazenamento do Azure para criptografia dupla. A criptografia dupla dos dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia pode ser comprometido. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.

A criptografia de infraestrutura pode ser habilitada para toda a conta de armazenamento ou para um escopo de criptografia dentro de uma conta. Quando a criptografia de infraestrutura é habilitada para uma conta de armazenamento ou um escopo de criptografia, os dados são criptografados duas vezes — uma no nível de serviço e outra no nível de infraestrutura — com dois algoritmos de criptografia diferentes e duas chaves diferentes.

A criptografia de nível de serviço dá suporte ao uso de chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente com o Azure Key Vault ou o Key Vault Managed Hardware Security Model (HSM). A criptografia no nível da infraestrutura depende de chaves gerenciadas pela Microsoft e sempre usa uma chave separada. Para obter mais informações sobre o gerenciamento de chaves com a criptografia do Armazenamento do Azure, consulte Sobre o gerenciamento de chaves de criptografia.

Para criptografar duplamente seus dados, você deve primeiro criar uma conta de armazenamento ou um escopo de criptografia configurado para criptografia de infraestrutura. Este artigo descreve como habilitar a criptografia de infraestrutura.

Importante

A criptografia de infraestrutura é recomendada para cenários em que a criptografia dupla de dados é necessária para os requisitos de conformidade. Para a maioria dos outros cenários, a criptografia do Armazenamento do Azure fornece um algoritmo de criptografia suficientemente poderoso e é improvável que haja um benefício em usar a criptografia de infraestrutura.

Criar uma conta com a criptografia de infraestrutura habilitada

Para habilitar a criptografia de infraestrutura para uma conta de armazenamento, você deve configurar uma conta de armazenamento para usar a criptografia de infraestrutura no momento em que criar a conta. A criptografia de infraestrutura não pode ser habilitada ou desabilitada após a conta ter sido criada. A conta de armazenamento deve ser do tipo v2 de uso geral, blob de bloco premium, blob de página premium ou compartilhamentos de arquivos premium.

Portal do Azure

Para usar o portal do Azure para criar uma conta de armazenamento com a criptografia de infraestrutura habilitada, siga estas etapas:

1. No portal do Azure, navegue até a página Contas de armazenamento .

2. Escolha o botão Adicionar para adicionar uma nova v2 de uso geral, blob de bloco premium, blob de página premium ou conta de compartilhamento de arquivos premium.

3. Na guia Criptografia, localize Habilitar criptografia de infraestrutura e selecione Habilitado.

4. Selecione Rever + criar para concluir a criação da conta de armazenamento.

   

Para verificar se a criptografia de infraestrutura está habilitada para uma conta de armazenamento com o portal do Azure, siga estas etapas:

1. Navegue para a sua conta de armazenamento no portal do Azure.

2. Em Segurança + rede, escolha Criptografia.

   

PowerShell

Para usar o PowerShell para criar uma conta de armazenamento com a criptografia de infraestrutura habilitada, verifique se você instalou o módulo Az.Storage PowerShell, versão 2.2.0 ou posterior. Para obter mais informações, consulte Instalar o Azure PowerShell.

Em seguida, crie uma v2 de uso geral, blob de bloco premium, blob de página premium ou conta de armazenamento de compartilhamento de arquivos premium chamando o comando New-AzStorageAccount . Inclua a opção para habilitar a criptografia de -RequireInfrastructureEncryption infraestrutura.

O exemplo a seguir mostra como criar uma conta de armazenamento v2 de uso geral configurada para armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e com criptografia de infraestrutura habilitada para criptografia dupla de dados. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Para verificar se a criptografia de infraestrutura está habilitada para uma conta de armazenamento, chame o comando Get-AzStorageAccount . Este comando retorna um conjunto de propriedades da conta de armazenamento e seus valores. Recupere o RequireInfrastructureEncryption campo dentro da Encryption propriedade e verifique se ele está definido como True.

O exemplo a seguir recupera o valor da RequireInfrastructureEncryption propriedade. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

CLI do Azure

Para usar a CLI do Azure para criar uma conta de armazenamento que tenha a criptografia de infraestrutura habilitada, verifique se você instalou a CLI do Azure versão 2.8.0 ou posterior. Para obter mais informações, consulte Instalar a CLI do Azure.

Em seguida, crie uma v2 de uso geral, blob de bloco premium, blob de página premium ou conta de compartilhamento de arquivos premium chamando o comando az storage account create e inclua o para habilitar a --require-infrastructure-encryption option criptografia de infraestrutura.

O exemplo a seguir mostra como criar uma conta de armazenamento v2 de uso geral configurada para armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e com criptografia de infraestrutura habilitada para criptografia dupla de dados. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Para verificar se a criptografia de infraestrutura está habilitada para uma conta de armazenamento, chame o comando az storage account show . Este comando retorna um conjunto de propriedades da conta de armazenamento e seus valores. Procure o requireInfrastructureEncryption campo dentro da encryption propriedade e verifique se ele está definido como true.

O exemplo a seguir recupera o valor da requireInfrastructureEncryption propriedade. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Modelo

O exemplo JSON a seguir cria uma conta de armazenamento v2 de uso geral configurada para armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e tem criptografia de infraestrutura habilitada para criptografia dupla de dados. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

A Política do Azure fornece uma política interna para exigir que a criptografia de infraestrutura seja habilitada para uma conta de armazenamento. Para obter mais informações, consulte a seção Armazenamento em Definições de política interna da Política do Azure.

Criar um escopo de criptografia com a criptografia de infraestrutura habilitada

Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração de criptografia de infraestrutura para um escopo de criptografia não pode ser alterada após a criação do escopo. Para obter mais informações, consulte Criar um escopo de criptografia.

Próximos passos

• Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
• Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure
• Escopos de criptografia para armazenamento de Blob