Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece uma visão geral de como a criptografia é usada no Microsoft Azure. Ele abrange as principais áreas de criptografia, incluindo criptografia em repouso, criptografia em voo e gerenciamento de chaves com o Azure Key Vault.
Encriptação de dados inativos
Os dados em repouso incluem informações que residem em armazenamento persistente em mídia física, em qualquer formato digital. O Microsoft Azure oferece uma variedade de soluções de armazenamento de dados para atender a diferentes necessidades, incluindo armazenamento de arquivos, discos, blob e tabelas. A Microsoft também fornece criptografia para proteger o Banco de Dados SQL do Azure, o Azure Cosmos DB e o Azure Data Lake.
A criptografia de dados em repouso usando criptografia AES 256 está disponível para serviços em todos os modelos de nuvem de software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS).
Para obter uma discussão detalhada sobre como os dados em repouso são criptografados no Azure, consulte Criptografia de dados do Azure em repouso.
Modelos de criptografia do Azure
O Azure dá suporte a vários modelos de criptografia, incluindo criptografia do lado do servidor que usa chaves gerenciadas por serviço, chaves gerenciadas pelo cliente no Cofre da Chave ou chaves gerenciadas pelo cliente em hardware controlado pelo cliente. Com a encriptação do lado do cliente, pode gerir e armazenar chaves no local ou noutra localização segura.
Encriptação do lado do cliente
A criptografia do lado do cliente é executada fora do Azure. Inclui:
- Dados criptografados por um aplicativo em execução no datacenter do cliente ou por um aplicativo de serviço
- Dados que já estão criptografados quando são recebidos pelo Azure
Com a criptografia do lado do cliente, os provedores de serviços de nuvem não têm acesso às chaves de criptografia e não podem descriptografar esses dados. Você mantém o controle total das chaves.
Encriptação do lado do servidor
Os três modelos de criptografia do lado do servidor oferecem diferentes características de gerenciamento de chaves:
- Chaves gerenciadas por serviço: Fornece uma combinação de controle e conveniência com baixa sobrecarga
- Chaves geridas pelo cliente: Dá-lhe controlo sobre as chaves, incluindo suporte Bring Your Own Keys (BYOK), ou permite-lhe gerar novas chaves
- Chaves gerenciadas por serviço em hardware controlado pelo cliente: Permite gerenciar chaves em seu repositório proprietário, fora do controle da Microsoft (também chamado de Host Your Own Key ou HYOK)
Azure Disk Encryption
Importante
O Azure Disk Encryption está programado para ser descontinuado a 15 de setembro de 2028. Até essa data, pode continuar a usar o Azure Disk Encryption sem interrupções. A 15 de setembro de 2028, cargas de trabalho com ADE continuarão a funcionar, mas os discos encriptados não conseguirão desbloquear após o reinício da VM, resultando em interrupção do serviço.
Use encriptação no host para novas VMs. Todas as VMs habilitadas por ADE (incluindo backups) devem migrar para encriptação no host antes da data de desativação para evitar interrupções do serviço. Consulte Migrar de Encriptação de Disco Azure para Encriptação no Host para mais detalhes.
Todos os discos gerenciados, instantâneos e imagens são criptografados usando a criptografia do serviço de armazenamento usando uma chave gerenciada pelo serviço. O Azure também oferece opções para proteger discos temporários, caches e gerenciar chaves no Cofre de Chaves do Azure. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado.
Encriptação do Serviço de Armazenamento do Azure
Os dados em repouso no armazenamento de Blob do Azure e nos compartilhamentos de arquivos do Azure podem ser criptografados em cenários do lado do servidor e do lado do cliente.
A Criptografia do Serviço de Armazenamento do Azure (SSE) pode criptografar automaticamente os dados antes de serem armazenados e descriptografa automaticamente os dados quando você os recupera. A criptografia do serviço de armazenamento usa criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis.
Criptografia do Banco de Dados SQL do Azure
O Banco de Dados SQL do Azure é um serviço de banco de dados relacional de uso geral que dá suporte a estruturas como dados relacionais, JSON, espacial e XML. O Banco de dados SQL oferece suporte à criptografia do lado do servidor por meio do recurso TDE (Transparent Data Encryption) e à criptografia do lado do cliente por meio do recurso Always Encrypted.
Encriptação de Dados Transparente
O TDE criptografa arquivos de dados do SQL Server, do Banco de Dados SQL do Azure e do Azure Synapse Analytics em tempo real usando uma DEK (Chave de Criptografia de Banco de Dados). A TDE é habilitada por padrão em bancos de dados SQL do Azure recém-criados.
Sempre criptografado
O recurso Sempre Criptografado no SQL do Azure permite criptografar dados em aplicativos cliente antes de armazená-los no Banco de Dados SQL do Azure. Você pode habilitar a delegação da administração do banco de dados local a terceiros e manter a separação entre aqueles que possuem e podem exibir os dados e aqueles que os gerenciam.
Criptografia no nível da célula ou da coluna
Com o Banco de Dados SQL do Azure, você pode aplicar criptografia simétrica a uma coluna de dados usando o Transact-SQL. Essa abordagem é chamada de criptografia no nível da célula ou criptografia no nível da coluna (CLE), porque você pode usá-la para criptografar colunas ou células específicas com chaves de criptografia diferentes, oferecendo um recurso de criptografia mais granular do que o TDE.
Criptografia de banco de dados do Azure Cosmos DB
O Azure Cosmos DB é o banco de dados multimodelo distribuído globalmente da Microsoft. Os dados do usuário armazenados no Azure Cosmos DB em armazenamento não volátil (unidades de estado sólido) são criptografados por padrão usando chaves gerenciadas pelo serviço. Você pode adicionar uma segunda camada de criptografia com suas próprias chaves usando o recurso de chaves gerenciadas pelo cliente (CMK).
Criptografia do Azure Data Lake
O Azure Data Lake é um repositório de dados em toda a empresa. Armazenamento Data Lake suporta criptografia transparente "ativada por predefinição" de dados em repouso, que é configurada durante a criação da conta. Por padrão, o Repositório Azure Data Lake gerencia as chaves para você, mas você tem a opção de gerenciá-las por conta própria.
Encriptação de dados em trânsito
O Azure oferece muitos mecanismos para manter os dados privados à medida que se movem de um local para outro.
Criptografia da camada de ligação de dados
Sempre que o tráfego de clientes do Azure se move entre datacenters, fora dos limites físicos não controlados pela Microsoft, um método de criptografia de camada de link de dados usando os Padrões de Segurança MAC IEEE 802.1AE (também conhecido como MACsec) é aplicado ponto a ponto em todo o hardware de rede subjacente. Os pacotes são criptografados nos dispositivos antes de serem enviados, evitando ataques físicos "man-in-the-middle" ou espionagem/escutas telefônicas. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões.
Encriptação TLS
A Microsoft oferece aos clientes a capacidade de usar o protocolo TLS (Transport Layer Security) para proteger os dados quando eles estão viajando entre serviços de nuvem e clientes. Os datacenters da Microsoft negociam uma conexão TLS com sistemas cliente que se conectam aos serviços do Azure. O TLS fornece autenticação forte, privacidade de mensagens e integridade.
Importante
O Azure está em transição para exigir TLS 1.2 ou posterior para todas as conexões com os serviços do Azure. A maioria dos serviços do Azure concluiu essa transição até 31 de agosto de 2025. Certifique-se de que seus aplicativos usem TLS 1.2 ou posterior.
O Perfect Forward Secrecy (PFS) protege as conexões entre os sistemas clientes dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões suportam comprimentos de chave de 2.048 bits baseados em RSA, comprimentos de chave ECC de 256 bits, autenticação de mensagens SHA-384 e criptografia de dados AES-256.
Transações do Armazenamento do Azure
Quando interage com o Armazenamento do Azure através do portal do Azure, todas as transações ocorrem através de HTTPS. Você também pode usar a API REST de Armazenamento sobre HTTPS para interagir com o Armazenamento do Azure. Você pode impor o uso de HTTPS ao chamar as APIs REST habilitando o requisito de transferência segura para a conta de armazenamento.
As Assinaturas de Acesso Compartilhado (SAS), que podem ser usadas para delegar acesso a objetos de Armazenamento do Azure, incluem uma opção para especificar que somente o protocolo HTTPS pode ser usado.
Encriptação SMB
O SMB 3.0, usado para acessar compartilhamentos do Azure Files, dá suporte à criptografia e está disponível no Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. Permite acesso inter-regional e acesso no ambiente de trabalho.
Encriptação VPN
Você pode se conectar ao Azure por meio de uma rede virtual privada que cria um túnel seguro para proteger a privacidade dos dados que estão sendo enviados pela rede.
Gateways de VPN do Azure
O gateway de VPN do Azure pode enviar tráfego criptografado entre sua rede virtual e seu local local através de uma conexão pública ou entre redes virtuais. As VPNs de site para site usam IPsec para criptografia de transporte.
VPNs Ponto a site
As VPNs ponto a site permitem que computadores clientes individuais acessem uma rede virtual do Azure. O protocolo SSTP (Secure Socket Tunneling Protocol) é usado para criar o túnel VPN. Para obter mais informações, consulte Configurar uma conexão ponto a site com uma rede virtual.
VPNs site a site
Uma conexão de gateway VPN site a site conecta sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE. Para obter mais informações, consulte Criar uma conexão site a site.
Gerenciamento de chaves com o Key Vault
Sem proteção e gerenciamento adequados de chaves, a criptografia se torna inútil. O Azure Key Vault é a solução recomendada pela Microsoft para gerenciar e controlar o acesso às chaves de criptografia usadas pelos serviços de nuvem.
Com o Key Vault as organizações poupam tempo na configuração, aplicação de patches e manutenção dos módulos de segurança de hardware (HSMs) e software de gestão de chaves. Com o Cofre de Chaves, você mantém o controle — a Microsoft nunca vê suas chaves e os aplicativos não têm acesso direto a elas. Você também pode importar ou gerar chaves em HSMs.
Para obter mais informações sobre o gerenciamento de chaves no Azure, consulte Gerenciamento de chaves no Azure.
Próximos passos
- Visão geral da segurança do Azure
- Visão geral da segurança de rede do Azure
- Visão geral da segurança do banco de dados do Azure
- Visão geral da segurança das máquinas virtuais do Azure
- Encriptação de dados em repouso
- Práticas recomendadas de segurança e criptografia de dados
- Gerenciamento de chaves no Azure