Descrição geral da encriptação do Azure

Este artigo fornece uma descrição geral de como a encriptação é utilizada no Microsoft Azure. Abrange as principais áreas de encriptação, incluindo encriptação inativa, encriptação em piloto e gestão de chaves com o Azure Key Vault. Cada secção inclui ligações para informações mais detalhadas.

Encriptação de dados inativos

Os dados inativos incluem informações que residem no armazenamento persistente em suportes de dados físicos, em qualquer formato digital. O suporte de dados pode incluir ficheiros em suportes de dados magnéticos ou óticos, dados arquivados e cópias de segurança de dados. O Microsoft Azure oferece uma variedade de soluções de armazenamento de dados para satisfazer diferentes necessidades, incluindo armazenamento de ficheiros, discos, blobs e tabelas. A Microsoft também fornece encriptação para proteger SQL do Azure Database, Azure Cosmos DB e Azure Data Lake.

A encriptação de dados inativos está disponível para serviços em todo o software como um serviço (SaaS), plataforma como serviço (PaaS) e modelos de infraestrutura como serviço (IaaS). Este artigo resume e fornece recursos para o ajudar a utilizar as opções de encriptação do Azure.

Para uma discussão mais detalhada sobre como os dados inativos são encriptados no Azure, veja Azure Data Encryption-at-Rest.

Modelos de encriptação do Azure

O Azure suporta vários modelos de encriptação, incluindo encriptação do lado do servidor que utiliza chaves geridas pelo serviço, chaves geridas pelo cliente em Key Vault ou chaves geridas pelo cliente em hardware controlado pelo cliente. Com a encriptação do lado do cliente, pode gerir e armazenar chaves no local ou noutra localização segura.

Encriptação do lado do cliente

A encriptação do lado do cliente é executada fora do Azure. Inclui:

  • Dados encriptados por uma aplicação em execução no datacenter do cliente ou por uma aplicação de serviço.
  • Dados que já estão encriptados quando são recebidos pelo Azure.

Com a encriptação do lado do cliente, os fornecedores de serviços cloud não têm acesso às chaves de encriptação e não podem desencriptar estes dados. Mantém o controlo total das chaves.

Encriptação do lado do servidor

Os três modelos de encriptação do lado do servidor oferecem diferentes características de gestão de chaves, que pode escolher de acordo com os seus requisitos:

  • Chaves geridas pelo serviço: fornece uma combinação de controlo e conveniência com baixa sobrecarga.

  • Chaves geridas pelo cliente: dá-lhe controlo sobre as chaves, incluindo o suporte BYOK (Bring Your Own Keys) ou permite-lhe gerar novas chaves.

  • Chaves geridas pelo serviço em hardware controlado pelo cliente: permite-lhe gerir chaves no seu repositório proprietário, fora do controlo da Microsoft. Esta característica chama-se Host Your Own Key (HYOK). No entanto, a configuração é complexa e a maioria dos serviços do Azure não suporta este modelo.

Encriptação de discos do Azure

Pode proteger os discos geridos com o Azure Disk Encryption para VMs do Linux, que utiliza o DM-Crypt ou o Azure Disk Encryption para VMs do Windows, que utiliza o Windows BitLocker, para proteger discos do sistema operativo e discos de dados com encriptação de volume completa.

As chaves de encriptação e os segredos são salvaguardados na sua subscrição do Azure Key Vault. Ao utilizar o serviço Azure Backup, pode fazer uma cópia de segurança e restaurar máquinas virtuais (VMs) encriptadas que utilizam a configuração da Chave de Encriptação de Chaves (KEK).

Encriptação do Serviço de Armazenamento do Azure

Os dados inativos no armazenamento de Blobs do Azure e nas partilhas de ficheiros do Azure podem ser encriptados em cenários do lado do servidor e do lado do cliente.

A Encriptação do Serviço de Armazenamento do Azure (SSE) pode encriptar automaticamente os dados antes de serem armazenados e desencripta automaticamente os dados quando os obtém. O processo é completamente transparente para os utilizadores. A Encriptação do Serviço de Armazenamento utiliza encriptação AES (Advanced Encryption Standard) de 256 bits, que é uma das cifras de bloco mais fortes disponíveis. O AES processa a encriptação, a desencriptação e a gestão de chaves de forma transparente.

Encriptação do lado do cliente dos blobs do Azure

Pode executar a encriptação do lado do cliente dos blobs do Azure de várias formas.

Pode utilizar a Biblioteca de Cliente do Armazenamento do Azure para o pacote NuGet .NET para encriptar dados nas aplicações cliente antes de os carregar para o armazenamento do Azure.

Para saber mais e transferir o pacote NuGet da Biblioteca de Cliente de Armazenamento do Azure para .NET, consulte Armazenamento do Windows Azure 8.3.0.

Quando utiliza a encriptação do lado do cliente com Key Vault, os seus dados são encriptados através de uma Chave de Encriptação de Conteúdo Simétrica (CEK) única gerada pelo SDK do cliente do Armazenamento do Azure. O CEK é encriptado com uma Chave de Encriptação de Chaves (KEK), que pode ser uma chave simétrica ou um par de chaves assimétricas. Pode geri-lo localmente ou armazená-lo no Key Vault. Em seguida, os dados encriptados são carregados para o Armazenamento do Azure.

Para saber mais sobre a encriptação do lado do cliente com Key Vault e introdução às instruções de procedimentos, consulte Tutorial: Encriptar e desencriptar blobs no Armazenamento do Azure com Key Vault.

Por fim, também pode utilizar a Biblioteca de Cliente de Armazenamento do Azure para Java para executar a encriptação do lado do cliente antes de carregar dados para o Armazenamento do Azure e desencriptar os dados quando os transferir para o cliente. Esta biblioteca também suporta a integração com Key Vault para a gestão de chaves de conta de armazenamento.

Encriptação de dados inativos com a Base de Dados SQL do Azure

SQL do Azure Base de Dados é um serviço de base de dados relacional para fins gerais no Azure que suporta estruturas como dados relacionais, JSON, espacial e XML. Base de Dados SQL suporta encriptação do lado do servidor através da funcionalidade Encriptação de Dados Transparente (TDE) e encriptação do lado do cliente através da funcionalidade Always Encrypted.

Encriptação de Dados Transparente

A TDE é utilizada para encriptar SQL Server, base de dados SQL do Azure e ficheiros de dados do Azure Synapse Analytics em tempo real, utilizando uma Chave de Encriptação de Base de Dados (DEK), que é armazenada no registo de arranque da base de dados para disponibilidade durante a recuperação.

A TDE protege os ficheiros de dados e de registo com algoritmos de encriptação AES e Triple Data Encryption Standard (3DES). A encriptação do ficheiro de base de dados é efetuada ao nível da página. As páginas numa base de dados encriptada são encriptadas antes de serem escritas no disco e são desencriptadas quando são lidas na memória. A TDE está agora ativada por predefinição em bases de dados SQL do Azure recentemente criadas.

Always Encrypted funcionalidade

Com a funcionalidade Always Encrypted no SQL do Azure pode encriptar dados em aplicações cliente antes de os armazenar na Base de Dados SQL do Azure. Também pode ativar a delegação da administração de bases de dados no local para terceiros e manter a separação entre os que possuem e podem ver os dados e aqueles que os gerem, mas não devem ter acesso aos mesmos.

Encriptação ao nível da célula ou ao nível da coluna

Com SQL do Azure Base de Dados, pode aplicar encriptação simétrica a uma coluna de dados com Transact-SQL. Esta abordagem chama-se encriptação ao nível da célula ou encriptação ao nível da coluna (CLE) porque pode utilizá-la para encriptar colunas específicas ou até células específicas de dados com chaves de encriptação diferentes. Fazê-lo dá-lhe uma capacidade de encriptação mais granular do que a TDE, que encripta dados em páginas.

A CLE tem funções incorporadas que pode utilizar para encriptar dados utilizando chaves simétricas ou assimétricas, a chave pública de um certificado ou uma frase de acesso com 3DES.

Encriptação da base de dados do Azure Cosmos DB

O Azure Cosmos DB é a base de dados multi-modelo distribuída globalmente pela Microsoft. Os dados de utilizador armazenados no Azure Cosmos DB em armazenamento não volátil (unidades de estado sólido) são encriptados por predefinição. Não existem controlos para a ativar ou desativar. A encriptação inativa é implementada através de várias tecnologias de segurança, incluindo sistemas de armazenamento de chaves seguras, redes encriptadas e APIs criptográficas. As chaves de encriptação são geridas pela Microsoft e são rodadas de acordo com as diretrizes internas da Microsoft. Opcionalmente, pode optar por adicionar uma segunda camada de encriptação com chaves que gere através das chaves geridas pelo cliente ou da funcionalidade CMK .

Encriptação inativa no Data Lake

O Azure Data Lake é um repositório empresarial de todos os tipos de dados recolhidos num único local antes de qualquer definição formal de requisitos ou esquema. O Data Lake Store suporta a encriptação transparente "ativada por predefinição" dos dados inativos, que é configurada durante a criação da sua conta. Por predefinição, o Azure Data Lake Store gere as chaves automaticamente, mas tem a opção de as gerir.

São utilizados três tipos de chaves na encriptação e desencriptação de dados: a Chave de Encriptação Mestra (MEK), a Chave de Encriptação de Dados (DEK) e a Chave de Encriptação de Blocos (BEK). O MEK é utilizado para encriptar o DEK, que é armazenado em suportes de dados persistentes, e o BEK é derivado do DEK e do bloco de dados. Se estiver a gerir as suas próprias chaves, pode rodar o MEK.

Encriptação de dados em trânsito

O Azure oferece muitos mecanismos para manter os dados privados à medida que se movem de uma localização para outra.

Sempre que o tráfego do Cliente do Azure se move entre datacenters-- limites físicos externos não controlados pela Microsoft (ou em nome da Microsoft)-- um método de encriptação de camada de ligação de dados com as Normas de Segurança MAC IEEE 802.1AE (também conhecido como MACsec) é aplicado de ponto a ponto no hardware de rede subjacente. Os pacotes são encriptados e desencriptados nos dispositivos antes de serem enviados, impedindo ataques físicos de "homem no meio" ou snooping/escutas telefónicas. Uma vez que esta tecnologia está integrada no próprio hardware de rede, fornece encriptação de taxa de linha no hardware de rede sem aumento de latência de ligação mensurável. Esta encriptação MACsec está ativada por predefinição para todo o tráfego do Azure que viaja numa região ou entre regiões e não é necessária nenhuma ação por parte dos clientes para ativar.

Encriptação TLS no Azure

A Microsoft dá aos clientes a capacidade de utilizarem o protocolo TLS ( Transport Layer Security ) para proteger os dados quando viajam entre os serviços cloud e os clientes. Os datacenters da Microsoft negoceiam uma ligação TLS com sistemas cliente que se ligam aos serviços do Azure. O TLS fornece autenticação forte, privacidade e integridade de mensagens (ativando a deteção de adulteração de mensagens, intercepção e falsificação), interoperabilidade, flexibilidade de algoritmos e facilidade de implementação e utilização.

O Perfect Forward Secrecy (PFS) protege as ligações entre os sistemas cliente dos clientes e os serviços cloud da Microsoft por chaves exclusivas. As ligações também utilizam comprimentos de chave de encriptação de 2048 bits baseados em RSA. Esta combinação dificulta a interceção e o acesso a dados em trânsito.

Transações do Armazenamento do Azure

Quando interage com o Armazenamento do Azure através do portal do Azure, todas as transações são realizadas através de HTTPS. Também pode utilizar a API REST de Armazenamento através de HTTPS para interagir com o Armazenamento do Azure. Pode impor a utilização de HTTPS quando chama as APIs REST para aceder a objetos em contas de armazenamento ao ativar a transferência segura necessária para a conta de armazenamento.

As Assinaturas de Acesso Partilhado (SAS), que podem ser utilizadas para delegar o acesso a objetos de Armazenamento do Azure, incluem uma opção para especificar que apenas o protocolo HTTPS pode ser utilizado quando utiliza Assinaturas de Acesso Partilhado. Esta abordagem garante que qualquer pessoa que envie ligações com tokens DE SAS utiliza o protocolo adequado.

O SMB 3.0, que costumava aceder a partilhas Ficheiros do Azure, suporta encriptação e está disponível no Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. Permite o acesso entre regiões e até mesmo o acesso no ambiente de trabalho.

A encriptação do lado do cliente encripta os dados antes de serem enviados para a instância do Armazenamento do Azure, para que sejam encriptados à medida que percorrem a rede.

Encriptação SMB através de redes virtuais do Azure

Ao utilizar o SMB 3.0 em VMs em execução Windows Server 2012 ou posterior, pode tornar as transferências de dados seguras ao encriptar dados em trânsito através das Redes Virtuais do Azure. Ao encriptar dados, ajuda a proteger-se contra ataques de adulteração e escuta. Os administradores podem ativar a encriptação SMB para todo o servidor ou apenas partilhas específicas.

Por predefinição, após a encriptação SMB estar ativada para uma partilha ou servidor, apenas os clientes SMB 3.0 têm permissão para aceder às partilhas encriptadas.

Encriptação em trânsito em VMs

Os dados em trânsito de, de e entre VMs que executam o Windows podem ser encriptados de várias formas, consoante a natureza da ligação.

Sessões RDP

Pode ligar e iniciar sessão numa VM com o Protocolo RDP (Remote Desktop Protocol) a partir de um computador cliente Windows ou a partir de um Mac com um cliente RDP instalado. Os dados em trânsito através da rede em sessões RDP podem ser protegidos pelo TLS.

Também pode utilizar o Ambiente de Trabalho Remoto para ligar a uma VM do Linux no Azure.

Proteger o acesso às VMs do Linux com SSH

Para gestão remota, pode utilizar o Secure Shell (SSH) para ligar a VMs do Linux em execução no Azure. O SSH é um protocolo de ligação encriptado que permite inícios de sessão seguros através de ligações não seguras. É o protocolo de ligação predefinido para VMs linux alojadas no Azure. Ao utilizar chaves SSH para autenticação, elimina a necessidade de as palavras-passe iniciarem sessão. O SSH utiliza um par de chaves pública/privada (encriptação assimétrica) para autenticação.

Encriptação de VPN do Azure

Pode ligar-se ao Azure através de uma rede privada virtual que cria um túnel seguro para proteger a privacidade dos dados que estão a ser enviados através da rede.

Gateways de VPN do Azure

Pode utilizar um gateway de VPN do Azure para enviar tráfego encriptado entre a rede virtual e a localização no local através de uma ligação pública ou para enviar tráfego entre redes virtuais.

As VPNs site a site utilizam IPsec para encriptação de transporte. Os gateways de VPN do Azure utilizam um conjunto de propostas predefinidas. Pode configurar gateways de VPN do Azure para utilizar uma política IPsec/IKE personalizada com algoritmos criptográficos específicos e pontos fortes de chave, em vez dos conjuntos de políticas predefinidos do Azure.

VPNs Ponto a site

As VPNs ponto a site permitem aos computadores cliente individuais aceder a uma rede virtual do Azure. O Protocolo SSTP (Secure Socket Tunneling Protocol) é utilizado para criar o túnel VPN. Pode atravessar firewalls (o túnel aparece como uma ligação HTTPS). Pode utilizar a sua própria autoridade de certificação de raiz (AC) de infraestrutura pública (PKI) interna para conectividade ponto a site.

Pode configurar uma ligação VPN ponto a site a uma rede virtual com o portal do Azure com a autenticação de certificados ou o PowerShell.

Para saber mais sobre as ligações VPN ponto a site às redes virtuais do Azure, veja:

Configurar uma ligação ponto a site a uma rede virtual com a autenticação de certificação: portal do Azure

Configurar uma ligação ponto a site a uma rede virtual com a autenticação de certificados: PowerShell

VPNs site a site

Pode utilizar uma ligação de gateway de VPN site a site para ligar a rede no local a uma rede virtual do Azure através de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Este tipo de ligação requer um dispositivo VPN no local que tenha um endereço IP público com acesso externo atribuído.

Pode configurar uma ligação VPN site a site a uma rede virtual com o portal do Azure, o PowerShell ou a CLI do Azure.

Para obter mais informações, consulte:

Criar uma ligação site a site no portal do Azure

Criar uma ligação site a site no PowerShell

Criar uma rede virtual com uma ligação VPN site a site com a CLI

Encriptação em trânsito no Data Lake

Os dados em trânsito (também denominados dados em movimento) também são sempre encriptados no Data Lake Store. Além de encriptar dados antes de os armazenar em suportes de dados persistentes, os dados também são sempre protegidos em trânsito através de HTTPS. O HTTPS é o único protocolo que as interfaces REST do Data Lake Store suportam.

Para saber mais sobre a encriptação de dados em trânsito no Data Lake, veja Encriptação de dados no Data Lake Store.

Gestão de chaves com Key Vault

Sem proteção e gestão adequadas das chaves, a encriptação é tornada inútil. Key Vault é a solução recomendada pela Microsoft para gerir e controlar o acesso às chaves de encriptação utilizadas pelos serviços cloud. As permissões para aceder a chaves podem ser atribuídas a serviços ou a utilizadores através de contas do Azure Active Directory.

Com o Key Vault as organizações poupam tempo na configuração, aplicação de patches e manutenção dos módulos de segurança de hardware (HSMs) e software de gestão de chaves. Quando utiliza Key Vault, mantém o controlo. A Microsoft nunca vê as suas chaves e as aplicações não têm acesso direto às mesmas. Também pode importar ou gerar chaves em HSMs.

Passos seguintes