Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Azure inclui ferramentas para proteger dados de acordo com as necessidades de segurança e conformidade da sua empresa. Este artigo se concentra em:
- Como os dados são protegidos em repouso em Microsoft Azure.
- Os vários componentes que participam da implementação da proteção de dados.
- Os prós e contras de diferentes abordagens de proteção de gerenciamento de chaves.
A criptografia em repouso é um requisito de segurança comum. Em Azure, os dados são criptografados em repouso por padrão usando chaves gerenciadas pela plataforma. Essa abordagem fornece às organizações criptografia automática sem o risco ou o custo de uma solução de gerenciamento de chave personalizada. As organizações podem contar com Azure para gerenciar completamente a criptografia em repouso usando chaves gerenciadas pela plataforma ou podem usar chaves gerenciadas pelo cliente quando precisam de controle extra sobre chaves de criptografia e políticas de gerenciamento de chaves.
O que é criptografia em repouso?
A criptografia é a codificação segura dos dados usados para proteger a confidencialidade dos dados. A criptografia em repouso no Azure usa criptografia simétrica para criptografar e descriptografar grandes quantidades de dados rapidamente de acordo com um modelo conceitual simples.
- Uma chave de criptografia simétrica criptografa os dados conforme são gravados no armazenamento.
- A mesma chave de criptografia descriptografa esses dados quando eles são preparados para uso na memória.
- Os dados podem ser particionados e chaves diferentes podem ser usadas para cada partição.
- As chaves devem ser armazenadas em uma localização segura com controle de acesso baseado em identidade e políticas de auditoria. Se as chaves de criptografia de dados forem armazenadas fora de locais seguros, elas serão criptografadas usando uma chave de criptografia de chave que é mantida em um local seguro.
Na prática, os principais cenários de controle e gerenciamento, assim como garantias de disponibilidade e escala, requerem construções adicionais. As seções a seguir descrevem os conceitos e componentes da criptografia em repouso do Microsoft Azure.
Finalidade da criptografia em repouso
A criptografia em repouso protege os dados armazenados (em repouso). Os ataques contra dados em repouso incluem tentativas de obter acesso físico ao hardware em que os dados são armazenados e, em seguida, comprometer os dados contidos. Nesse ataque, o disco rígido de um servidor pode ser mal tratado durante a manutenção, o que permite que um invasor remova o disco rígido. Mais tarde, o invasor coloca o disco rígido em um computador sob seu controle para tentar acessar os dados.
A criptografia em repouso é projetada para impedir que o invasor acesse os dados não criptografados, assegurando que os dados sejam criptografados quando em disco. Se um invasor tiver um disco rígido com os dados criptografados, mas não tiver as chaves de criptografia, ele precisará superar a criptografia para ler os dados. Esse ataque é muito mais complexo e consome mais recursos do que o acesso a dados não criptografados em um disco rígido. Por esse motivo, a criptografia em repouso é altamente recomendada e é um requisito de alta prioridade para muitas organizações.
A necessidade de uma organização em relação à governança de dados e aos esforços de conformidade também pode exigir criptografia em repouso. Regulamentações do setor e do governo, como HIPAA, PCI e FedRAMP, estabelecem proteções específicas em relação aos requisitos de proteção de dados e criptografia. A criptografia em repouso é uma medida obrigatória necessária para oferecer conformidade com alguns desses regulamentos. Para obter mais informações sobre a abordagem do Microsoft para a validação do FIPS 140, consulte Federal Information Processing Standard (FIPS) 140.
Além de atender a requisitos de regulamentação e conformidade, a criptografia em repouso fornece proteção com defesa em profundidade. Microsoft Azure fornece uma plataforma compatível para serviços, aplicativos e dados. Ele também fornece uma abrangente segurança física e das instalações, controle de acesso a dados e auditoria. No entanto, é importante fornecer medidas adicionais de segurança "sobrepostas" caso uma das outras medidas de segurança falhe. A criptografia em repouso fornece tal medida de segurança.
Microsoft está comprometida com as opções de criptografia em repouso nos serviços de nuvem e oferecendo aos clientes o controle de chaves de criptografia e logs de uso de chave. Além disso, Microsoft está trabalhando para criptografar todos os dados do cliente em repouso por padrão.
Opções de gerenciamento de chaves
Azure fornece duas abordagens primárias para gerenciar chaves de criptografia:
Chaves gerenciadas por plataforma (Padrão) (também às vezes chamadas de chaves gerenciadas pelo serviço): Azure manipula automaticamente todos os aspectos do gerenciamento de chaves de criptografia, incluindo geração de chaves, armazenamento, rotação e backup. Essa abordagem fornece criptografia em repouso com nenhuma configuração necessária dos clientes e é habilitada por padrão em serviços Azure. As chaves gerenciadas pela plataforma oferecem o nível mais alto de conveniência e não exigem custo adicional ou sobrecarga de gerenciamento.
Chaves gerenciadas porCustomer (opcional): os clientes que exigem maior controle sobre suas chaves de criptografia podem optar por gerenciar suas próprias chaves usando Azure Key Vault ou Azure HSM Gerenciado. Essa abordagem permite que os clientes controlem o ciclo de vida de chaves, as políticas de acesso e as operações criptográficas. As chaves gerenciadas pelo cliente fornecem controle adicional ao custo do aumento da responsabilidade e da complexidade do gerenciamento.
A escolha entre essas abordagens depende dos requisitos de segurança da sua organização, das necessidades de conformidade e das preferências operacionais. A maioria das organizações pode contar com chaves gerenciadas pela plataforma para proteção de criptografia robusta, enquanto organizações com requisitos regulatórios ou de segurança específicos podem optar por chaves gerenciadas pelo cliente.
Componentes da criptografia do Azure em repouso
Conforme descrito anteriormente, a meta de criptografia em repouso é que os dados persistentes no disco sejam criptografados com uma chave de criptografia secreta. Para atingir essa meta, é necessário fornecer criação de chave segura, armazenamento, controle de acesso e gerenciamento das chaves de criptografia. Embora os detalhes possam variar, a criptografia dos serviços do Azure em implementações de criptografia em repouso pode ser descrita em termos ilustrados no diagrama abaixo.
Azure Key Vault
O local de armazenamento das chaves de criptografia e controle de acesso a essas chaves é central para um modelo de criptografia em repouso. Você precisa proteger altamente as chaves, mas torná-las gerenciáveis por usuários especificados e disponíveis para serviços específicos. Para serviços Azure, Azure Key Vault (camada Premium) ou Azure HSM Gerenciado é a solução de armazenamento de chaves recomendada e fornece uma experiência de gerenciamento comum entre serviços. Você armazena e gerencia chaves em cofres de chaves e pode conceder aos usuários ou serviços acesso a um cofre de chaves. Azure Key Vault dá suporte à criação de chaves ou à importação de chaves do cliente para uso em cenários de chave de criptografia gerenciados pelo cliente.
Microsoft Entra ID
Você pode conceder permissões às contas do Microsoft Entra para usar as chaves armazenadas no Azure Key Vault, seja para gerenciá-las ou para acessá-las para criptografia e descriptografia em repouso.
Criptografia de envelope com uma hierarquia de chaves
Você usa mais de uma chave de criptografia em uma implementação de criptografia em repouso. Armazenar uma chave de criptografia em Azure Key Vault garante o acesso seguro à chave e o gerenciamento central de chaves. No entanto, o acesso local do serviço a chaves de criptografia é mais eficiente para criptografia e descriptografia em massa do que interagir com Key Vault para cada operação de dados, permitindo criptografia mais forte e melhor desempenho. Limitar o uso de uma única chave de criptografia diminui o risco de que a chave seja comprometida e o custo da reencritação quando uma chave deve ser substituída. Os modelos de criptografia em repouso do Azure usam criptografia de envelope, em que uma chave de criptografia de chave criptografa uma chave de criptografia de dados. Esse modelo forma uma hierarquia de chave que é mais capaz de atender aos requisitos de desempenho e segurança:
- DEK (Chave de criptografia de dados) – Uma chave AES256 simétrica usada para criptografar uma partição ou bloco de dados, às vezes também chamada simplesmente de Chave de Dados. Um único recurso pode ter muitas partições e muitas Chaves de Criptografia de Dados. Criptografar cada bloco de dados com uma chave diferente torna os ataques de análise de criptografia mais difíceis. Manter as DEKs locais ao serviço que criptografa e descriptografa os dados maximiza o desempenho.
- Key Encryption Key (KEK) – uma chave de criptografia usada para criptografar as Chaves de Criptografia de Dados usando a criptografia de envelope, também conhecida como empacotamento. Usando uma chave mestra que nunca sai do Azure Key Vault, você pode criptografar e controlar as chaves de criptografia de dados. A entidade que tem acesso ao KEK pode ser diferente da entidade que requer o DEK. Uma entidade pode intermediar o acesso ao DEK para limitar o acesso de cada DEK a uma partição específica. Como o KEK é necessário para descriptografar os DEKs, os clientes podem apagar criptograficamente DEKs e dados desabilitando o KEK.
Provedores de recursos e instâncias de aplicativos armazenam as chaves de criptografia de dados criptografadas como metadados. Somente uma entidade com acesso à chave de criptografia de chave pode descriptografar essas chaves de criptografia de dados. Há suporte para diferentes modelos de armazenamento de chaves. Para obter mais informações, confira modelos de criptografia de dados.
Quando os serviços armazenam em cache DEKs localmente para operações criptográficas ativas, as chaves armazenadas em cache são protegidas pelos controles de segurança da plataforma Azure, incluindo isolamento de computação em nível de host e proteções em nível de processo. As chaves operacionais armazenadas em cache são um mecanismo de disponibilidade e desempenho. A KEK no Key Vault continua sendo a raiz da confiança e a revogação de chave rege o acesso aos dados criptografados.
Criptografia em repouso nos serviços de nuvem Microsoft
Você usa Microsoft Cloud serviços em todos os três modelos de nuvem: IaaS, PaaS e SaaS. Os exemplos a seguir mostram como eles se encaixam em cada modelo:
- Serviços de software, conhecidos como Software como serviço ou SaaS, que têm aplicativos fornecidos pela nuvem, como Microsoft 365.
- Serviços de plataforma em que os clientes usam a nuvem para coisas como armazenamento, análise e funcionalidade de barramento de serviço em seus aplicativos.
- Serviços de infraestrutura, ou IaaS (Infraestrutura como Serviço), em que o cliente implanta sistemas operacionais e aplicativos hospedados na nuvem e que possivelmente usam outros serviços de nuvem.
Criptografia em repouso para clientes SaaS
Os clientes de Software como Serviço (SaaS), geralmente possuem criptografia em repouso habilitada ou disponível em cada serviço. Microsoft 365 tem várias opções para os clientes verificarem ou habilitarem a criptografia em repouso. Para obter informações sobre os serviços Microsoft 365, consulte Criptografia no Microsoft 365.
Criptografia em repouso para clientes de PaaS
Os clientes de PaaS (plataforma como serviço) normalmente armazenam seus dados em um serviço de armazenamento, como Armazenamento de Blobs. No entanto, os dados também podem ser armazenados em cache ou armazenados no ambiente de execução do aplicativo, como uma máquina virtual. Para ver as opções de criptografia em repouso disponíveis para você, examine os Modelos de criptografia de dados para as plataformas de armazenamento e aplicativos que você usa.
Criptografia em repouso para clientes de IaaS
Os clientes de IaaS (Infraestrutura como Serviço) podem usar uma variedade de serviços e aplicativos. Os serviços de IaaS podem habilitar a criptografia em repouso nas máquinas virtuais Azure hospedadas, utilizando a criptografia no host.
Armazenamento criptografado
Assim como o PaaS, as soluções de IaaS podem aproveitar outros serviços Azure que armazenam dados criptografados em repouso. Nesses casos, você pode habilitar o suporte à criptografia em repouso, conforme fornecido por cada serviço de Azure consumido. Os modelos de criptografia de dados enumeram as principais plataformas de armazenamento, serviços e aplicativos e o modelo de criptografia em repouso com suporte.
Computação criptografada
Todos os discos gerenciados, instantâneos e imagens são criptografados por padrão usando a criptografia do serviço de armazenamento com chaves gerenciadas pela plataforma. Essa criptografia padrão não requer nenhuma configuração do cliente ou custo adicional. Uma solução de criptografia mais abrangente garante que todos os dados nunca sejam mantidos de forma não criptografada. Ao processar dados em uma máquina virtual, o sistema pode persistir os dados no arquivo de paginação do Windows ou no arquivo de troca do Linux, em um despejo de memória em um log de aplicativos. Para garantir que esses dados também sejam criptografados em repouso, os aplicativos IaaS podem usar a criptografia no host em uma máquina virtual IaaS Azure, que por padrão usa chaves gerenciadas por plataforma, mas opcionalmente pode ser configurada com chaves gerenciadas pelo cliente para controle adicional.
Criptografia personalizada em repouso
Sempre que possível, os aplicativos IaaS devem aproveitar as opções de criptografia no host e criptografia em repouso fornecidas por quaisquer serviços do Azure consumidos. Em alguns casos, como requisitos de criptografia irregulares ou armazenamento não baseado no Azure, um desenvolvedor de um aplicativo IaaS pode precisar implementar a criptografia em repouso. Os desenvolvedores de soluções de IaaS podem se integrar melhor ao gerenciamento de Azure e às expectativas do cliente aproveitando determinados componentes Azure. Especificamente, os desenvolvedores devem usar o serviço Azure Key Vault para fornecer armazenamento seguro de chaves, bem como fornecer aos clientes opções de gerenciamento de chaves consistentes com as dos serviços de plataforma Azure. Além disso, as soluções personalizadas devem usar identidades de serviço gerenciadas do Azure para permitir que as contas de serviço acessem chaves de criptografia. Para obter informações do desenvolvedor sobre Azure Key Vault e identidades de serviço gerenciado, consulte seus respectivos SDKs.
suporte ao modelo de criptografia de provedores de recursos Azure
Microsoft Azure Services dão suporte a um ou mais modelos de criptografia em repouso. Para alguns serviços, no entanto, um ou mais dos modelos de criptografia podem não ser aplicáveis. Para serviços que dão suporte a cenários de chaves gerenciadas pelo cliente, eles podem dar suporte apenas a um subconjunto dos tipos de chave que o Azure Key Vault suporta para chaves de criptografia. Além disso, os serviços podem liberar suporte para esses cenários e tipos-chave em agendas diferentes. Esta seção descreve o suporte à criptografia em repouso no momento desta gravação para cada um dos principais serviços de armazenamento de dados Azure.
Criptografia de disco de VM do Azure
Qualquer cliente que use recursos de Infraestrutura como Serviço (IaaS) do Azure pode criptografar em repouso os seus discos de IaaS VM por meio da criptografia no host. Para obter mais informações, consulte Criptografia no host – Criptografia de ponta a ponta para sua VM.
armazenamento de Azure
Todos os serviços Armazenamento do Azure (Armazenamento de Blobs, Armazenamento de Filas, Armazenamento de Tabelas e Arquivos do Azure) dão suporte à criptografia do lado do servidor em repouso e alguns serviços dão suporte adicional à criptografia do lado do cliente.
- Server-side (Padrão): todos os Serviços Armazenamento do Azure habilitam automaticamente a criptografia do lado do servidor por padrão usando chaves gerenciadas pela plataforma. Essa criptografia é transparente para o aplicativo e não requer nenhuma configuração. Para obter mais informações, consulte Criptografia do Serviço de Armazenamento do Azure para Dados em Repouso. Opcionalmente, os clientes podem optar por usar chaves gerenciadas pelo cliente em Azure Key Vault para controle adicional. Para obter mais informações, consulte Storage Service Encryption usando chaves gerenciadas pelo cliente em Azure Key Vault.
- Client-side (opcional): Azure Blobs, Tabelas e Filas dão suporte à criptografia do lado do cliente para clientes que precisam criptografar dados antes de atingir Azure. Ao usar criptografia do cliente, os clientes criptografam os dados e carregam os dados como um blob criptografado. O gerenciamento de chaves é feito pelo cliente. Para obter mais informações, consulte Client-Side Encryption e Azure Key Vault for Microsoft Armazenamento do Azure.
Banco de Dados SQL do Azure
Banco de Dados SQL do Azure atualmente dá suporte à criptografia em repouso para cenários de criptografia do lado do serviço gerenciado pela plataforma e do lado do cliente.
Atualmente, o suporte à criptografia de servidor é fornecido por meio do recurso SQL chamado Transparent Data Encryption. Depois que um cliente Banco de Dados SQL do Azure habilita o TDE, as chaves são criadas e gerenciadas automaticamente para eles. Você pode habilitar a criptografia em repouso nos níveis de banco de dados e servidor. A partir de junho de 2017, Transparent Data Encryption (TDE) está habilitado por padrão em bancos de dados recém-criados. Banco de Dados SQL do Azure dá suporte a chaves gerenciadas pelo cliente RSA de 2048 bits no Azure Key Vault. Para obter mais informações, consulte Transparent Data Encryption com suporte para Bring Your Own Key para Banco de Dados SQL do Azure e Data Warehouse.
Há suporte para a criptografia do lado do cliente de dados Banco de Dados SQL do Azure por meio do recurso Always Encrypted. O Always Encrypted usa uma chave que o cliente cria e armazena. Os clientes podem armazenar a chave mestra em um repositório de certificados Windows, Azure Key Vault ou em um Módulo de Segurança de Hardware local. Usando SQL Server Management Studio, os usuários do SQL escolhem qual chave gostariam de usar para criptografar qual coluna.
Conclusão
A proteção dos dados do cliente armazenados no Azure Services é de suma importância para Microsoft. Todos os serviços hospedados Azure estão comprometidos em fornecer criptografia em opções de repouso. Azure serviços dão suporte a chaves gerenciadas pela plataforma, chaves gerenciadas pelo cliente ou criptografia do lado do cliente. Os serviços do Azure estão ampliando a disponibilidade da criptografia em repouso e novas opções estão planejadas para pré-visualização e disponibilidade geral nos próximos meses.
Próximas etapas
- Consulte modelos de criptografia de dados para saber mais sobre chaves gerenciadas pela plataforma e chaves gerenciadas pelo cliente.
- Saiba como Azure usa criptografia double para reduzir as ameaças que vêm com a criptografia de dados.
- Saiba o que a Microsoft faz para garantir a integridade da plataforma e a segurança dos hosts que atravessam o build de hardware e firmware, integração, operacionalização e pipelines de reparo.