Segurança e encriptação de dados no Azure Data Manager for Energy

Este artigo apresenta uma visão geral das funcionalidades de segurança no Azure Data Manager for Energy. Ele abrange as principais áreas de criptografia em repouso, criptografia em trânsito, Transport Layer Security (TLS), https, chaves gerenciadas pela Microsoft e chave gerenciada pelo cliente.

Encriptar dados armazenados

O Azure Data Manager for Energy utiliza vários recursos de armazenamento para armazenar metadados, dados de utilizadores, dados em memória, etc. A plataforma utiliza encriptação do lado do serviço para encriptar e persistir automaticamente os dados na cloud. A criptografia de dados em repouso protege seus dados para ajudá-lo a cumprir seus compromissos organizacionais de segurança e conformidade. Todos os dados no Azure Data Manager for Energy são criptografados com chaves geridas pela Microsoft por padrão. Além da chave gerida pela Microsoft, pode usar a sua própria chave de encriptação armazenada no Azure Key Vault ou no Módulo de Segurança de Hardware Gerido pelo Azure Key Vault (HSM) para proteger os dados no Azure Data Manager for Energy. Quando especifica uma chave gerida pelo cliente, essa chave é usada para proteger e controlar o acesso à chave gerida pela Microsoft que encripta os seus dados.

Criptografar dados em trânsito

O Azure Data Manager for Energy suporta o protocolo Transport Layer Security (TLS 1.2) para proteger os dados quando viajam entre os serviços cloud e os clientes. O TLS fornece autenticação forte, privacidade e integridade de mensagens (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade e flexibilidade de algoritmos.

Além do TLS, quando interage com o Azure Data Manager for Energy, todas as transações ocorrem via HTTPS.

Configurar Customer Managed Keys (CMK) para Azure Data Manager para a instância Energy

Pré-requisitos

Etapa 1: Configurar o cofre de chaves

1. Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. Para saber mais sobre Azure Key Vault, consulte Azure Key Vault Visão Geral e O que é Azure Key Vault?

2. Usar chaves geridas pelo cliente com o Azure Data Manager for Energy exige que tanto a eliminação suave quanto a proteção contra purga estejam ativadas no cofre de chaves. A exclusão suave é ativada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode ativar a proteção contra limpeza ao criar o cofre de chaves ou posteriormente.

3. Para aprender a criar um cofre de chaves com o portal Azure, veja Quickstart: Criar um cofre de chaves usando o portal Azure. O cofre de chaves deve estar na mesma região do Azure Data Manager para a instância de Energia. Quando criar o cofre de chaves, selecione Ativar proteção contra eliminação.

   

4. Para ativar a proteção contra limpeza num cofre de chaves existente, siga estes passos:

   1. Navegue até ao seu cofre de chaves no portal Azure.
   2. Em Configurações, escolha Propriedades.
   3. Na seção Proteção contra limpeza, escolha Ativar proteção contra limpeza.

Etapa 2: adicionar uma chave

1. Para aprender a adicionar uma chave com o portal Azure, veja Quickstart: Definir e recuperar uma chave de Azure Key Vault usando o portal Azure.
2. O tamanho da chave RSA recomenda-se ser 3072, veja Configurar chaves geridas pelo cliente para a sua conta Azure Cosmos DB | Microsoft Aprende.

Etapa 3: escolha uma identidade gerenciada para autorizar o acesso ao cofre de chaves

1. Quando ativar chaves geridas pelo cliente para uma instância existente do Azure Data Manager for Energy, deve especificar uma identidade gerida que é usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada deve ter permissões para acessar a chave no cofre de chaves.
2. Você pode criar uma identidade gerenciada atribuída pelo usuário.

Configurar chaves gerenciadas pelo cliente para uma conta existente

1. Crie um Gestor de Dados Azure para uma instância de Energia.

2. Selecione o separador Encryption.

3. Na guia criptografia, selecione Chaves gerenciadas pelo cliente (CMK).

4. Para usar a CMK, você precisa selecionar o cofre de chaves onde a chave está armazenada.

5. Selecione Chave de criptografia como "Selecione um cofre de chaves e uma chave"

6. Em seguida, selecione "Selecione um cofre de chaves e uma chave"

7. Em seguida, selecione o cofre de chaves e a chave.

   

8. Em seguida, selecione a identidade gerenciada atribuída pelo usuário que é usada para autorizar o acesso ao cofre de chaves que contém a chave.

9. Selecione "Selecionar uma identidade de usuário" Selecione a identidade gerenciada atribuída pelo usuário que você criou nos pré-requisitos. A identidade gerida atribuída pelo utilizador deve ser criada na mesma região da instância Azure Data Manager for Energy.

10. Essa identidade atribuída ao usuário deve ter permissões get key, list key, wrap key e unwrap key no cofre de chaves. Para mais informações sobre a atribuição de políticas de acesso Azure Key Vault, consulte Atribuir uma Política de Acesso Key Vault.

    

11. Você também pode selecionar Chave de criptografia como "Digite a chave do Uri" e digite o "URI da chave" no formato https://<your-key-vault-name>.vault.azure.net/keys/<your-key-name> ou https://<your-hsm-key-vault-name>.managedhsm.azure.net/keys/<your-managed-hsm-key-name>. É obrigatório que a chave tenha proteção de exclusão suave e limpeza para ser ativada. Você tem que confirmar isso marcando a caixa como mostrado.

    

12. Em seguida, selecione "Rever+Criar" depois de preencher as outras guias.

13. Selecione o botão "Criar".

14. Uma instância Azure Data Manager for Energy é criada com chaves geridas pelo cliente.

15. Quando a CMK estiver ativada, você verá seu status na tela Visão geral .

    

16. Você pode navegar até Criptografia e ver que a CMK está habilitada com identidade gerenciada pelo usuário.

    

Próximos passos

Para saber mais sobre Links Privados.