Segurança e criptografia de dados no Azure Data Manager for Energy

Este artigo fornece uma visão geral dos recursos de segurança no Azure Data Manager for Energy. Ele abrange as principais áreas de criptografia em repouso, criptografia em trânsito, TLS (Transport Layer Security), https, chaves gerenciadas pela Microsoft e chave gerenciada pelo cliente.

Criptografar dados em repouso

Azure Data Manager for Energy usa vários recursos de armazenamento para armazenar metadados, dados do usuário, dados na memória etc. A plataforma usa criptografia do lado do serviço para criptografar e persistir dados automaticamente na nuvem. A criptografia de dados em repouso protege seus dados para ajudar você a atender aos compromissos de conformidade e segurança de sua organização. Todos os dados no Azure Data Manager for Energy são criptografados com chaves gerenciadas por Microsoft por padrão. Além da chave gerenciada por Microsoft, você pode usar sua própria chave de criptografia armazenada em Azure Key Vault ou Azure Key Vault HSM (Managed Hardware Security Module) para proteger os dados no Azure Data Manager for Energy. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave gerenciada por Microsoft que criptografa seus dados.

Criptografar dados em trânsito

Azure Data Manager for Energy dá suporte ao protocolo TLS 1.2 (Transport Layer Security) para proteger os dados durante a viagem entre os serviços de nuvem e os clientes. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de violação, interceptação e falsificação de mensagens), interoperabilidade e flexibilidade de algoritmo.

Além do TLS, quando você interage com Azure Data Manager for Energy, todas as transações ocorrem por HTTPS.

Configurar Chaves Gerenciadas pelo Cliente (CMK) para a instância do Azure Data Manager for Energy

Pré-requisitos

Etapa 1: Configurar o cofre de chaves

1. Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. Para saber mais sobre Azure Key Vault, confira Azure Key Vault Visão geral e O que é Azure Key Vault?

2. O uso de chaves gerenciadas pelo cliente com o Gerenciador de Dados do Azure para Energia exige que a proteção contra exclusão temporária e limpeza esteja habilitada para o cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou posterior.

3. Para saber como criar um cofre de chaves com o portal Azure, consulte Quickstart: Criar um cofre de chaves usando o portal Azure. O cofre de chaves deve estar na mesma região da instância do Gerenciador de Dados do Azure para Energia. Ao criar o cofre de chaves, selecione Habilitar proteção contra exclusão definitiva.

   

4. Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

   1. Navegue até o cofre de chaves no portal do Azure.
   2. Em Configurações, escolha Propriedades.
   3. Na seção de proteção contra limpeza, escolha Habilitar proteção contra limpeza.

Etapa 2: Adicionar uma chave

1. Para saber como adicionar uma chave com o portal Azure, consulte Quickstart: Definir e recuperar uma chave de Azure Key Vault usando o portal Azure.
2. É recomendável que o tamanho da chave RSA seja 3072, consulte Configurar chaves gerenciadas pelo cliente para sua conta Azure Cosmos DB | Microsoft Learn.

Etapa 3: Escolher uma identidade gerenciada para autorizar o acesso ao cofre de chaves

1. Ao habilitar chaves gerenciadas pelo cliente para uma instância existente do Data Manager para Energia Azure, você deve especificar uma identidade gerenciada usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada precisa ter permissões para acessar a chave no cofre de chaves.
2. Você pode criar uma identidade gerenciada atribuída pelo usuário.

Configurar chaves gerenciadas pelo cliente para uma conta existente

1. Crie uma instância Azure Data Manager for Energy.

2. Selecione a guia Criptografia.

3. Na guia de criptografia, selecione Chaves gerenciadas pelo cliente (CMK).

4. Para usar a CMK, você precisa selecionar o cofre de chaves em que a chave está armazenada.

5. Selecione a chave de criptografia como "Selecionar um cofre de chaves e uma chave"

6. Em seguida, selecione "Selecionar um cofre de chaves e uma chave"

7. Em seguida, selecione o cofre de chaves e a chave.

   

8. Em seguida, selecione a identidade gerenciada atribuída pelo usuário usada para autorizar o acesso ao cofre de chaves que contém a chave.

9. Selecione "Selecionar uma identidade de usuário" Selecione a identidade gerenciada atribuída pelo usuário que você criou nos pré-requisitos. A identidade gerenciada atribuída pelo usuário deve ser criada na mesma região que a instância do Azure Data Manager for Energy.

10. Essa identidade atribuída pelo usuário deve ter as permissões obter chave, listar chave, encapsular chave e desencapsular chave no cofre de chaves. Para obter mais informações sobre como atribuir políticas de acesso Azure Key Vault, consulte Assign a Key Vault Access Policy.

    

11. Você também pode selecionar a Chave de Criptografia como "Inserir chave do Uri" e inserir o "URI da chave" no formato https://<your-key-vault-name>.vault.azure.net/keys/<your-key-name> ou https://<your-hsm-key-vault-name>.managedhsm.azure.net/keys/<your-managed-hsm-key-name>. É obrigatório que a Chave tenha a exclusão temporária e a proteção contra limpeza habilitadas. Você precisa confirmar isso marcando a caixa, conforme mostrado.

    

12. Em seguida, selecione "Examinar+Criar" após concluir as tarefas nas outras guias.

13. Selecione o botão "Criar".

14. Uma instância do Azure Data Manager for Energy é criada com chaves gerenciadas pelo cliente.

15. Depois que o CMK estiver habilitado, você verá seu status na tela visão geral .

    

16. Você pode navegar até Criptografia e ver que a CMK está habilitada com identidades gerenciadas pelo usuário.

    

Próximas etapas

Saiba mais sobre Links Privados.