Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Azure inclui ferramentas para proteger os dados de acordo com as necessidades de segurança e conformidade da sua empresa. Este artigo foca-se em:
- Como os dados são protegidos em repouso em todo o Microsoft Azure.
- Os vários componentes que participam na implementação da proteção de dados.
- Os prós e contras de diferentes abordagens de proteção de gestão de chaves.
A encriptação em repouso é um requisito de segurança comum. No Azure, os dados são encriptados em descanso por padrão, utilizando chaves geridas pela plataforma. Esta abordagem oferece às organizações encriptação automática sem o risco ou custo de uma solução personalizada de gestão de chaves. As organizações podem contar com o Azure para gerir completamente a encriptação em repouso, utilizando chaves geridas pela plataforma, ou podem usar chaves geridas pelo cliente quando precisam de controlo extra sobre as chaves de encriptação e as políticas de gestão de chaves.
O que é a encriptação em repouso?
A encriptação é a codificação segura dos dados usada para proteger a confidencialidade dos mesmos. Os designs de encriptação em repouso no Azure utilizam encriptação simétrica para encriptar e desencriptar grandes quantidades de dados rapidamente, de acordo com um modelo conceptual simples:
- Uma chave de encriptação simétrica encripta os dados à medida que são escritos para armazenamento.
- A mesma chave de encriptação desencripta esses dados à medida que são preparados para uso na memória.
- Os dados podem ser particionados, e diferentes chaves podem ser usadas para cada partição.
- As chaves devem ser armazenadas em um local seguro com controle de acesso baseado em identidade e políticas de auditoria. Se as chaves de encriptação de dados forem armazenadas fora de locais seguros, são encriptadas usando uma chave de encriptação de chave que fica num local seguro.
Na prática, os principais cenários de gestão e controlo, bem como as garantias de escala e disponibilidade, requerem construções adicionais. As secções seguintes descrevem conceitos e componentes da encriptação em repouso do Microsoft Azure.
Propósito da encriptação em repouso
A encriptação em repouso protege os dados armazenados (em repouso). Os ataques a dados em repouso incluem tentativas de obter acesso físico ao hardware onde os dados estão armazenados e, posteriormente, comprometer os dados contidos. Num ataque deste tipo, o disco rígido do servidor pode ser mal manuseado durante a manutenção, o que permite ao atacante remover o disco rígido. Mais tarde, o atacante coloca o disco rígido num computador sob o seu controlo para tentar aceder aos dados.
A criptografia em repouso foi projetada para impedir que o invasor acesse os dados não criptografados, garantindo que os dados sejam criptografados quando estiverem no disco. Se um invasor obtiver um disco rígido com dados criptografados, mas não as chaves de criptografia, o invasor deverá derrotar a criptografia para ler os dados. Este ataque é muito mais complexo e consome recursos do que aceder a dados não encriptados num disco rígido. Por esse motivo, a criptografia em repouso é altamente recomendada e é um requisito de alta prioridade para muitas organizações.
A necessidade de uma organização de governança de dados e esforços de conformidade pode também exigir encriptação em repouso. Regulamentos da indústria e governamentais, como HIPAA, PCI e FedRAMP, estabelecem salvaguardas específicas relativas à proteção de dados e aos requisitos de encriptação. A encriptação em repouso é uma medida obrigatória necessária para o cumprimento de alguns desses regulamentos. Para mais informações sobre a abordagem da Microsoft à validação do FIPS 140, consulte Federal Information Processing Standard (FIPS) 140.
Além de satisfazer os requisitos normativos e de conformidade, a criptografia em repouso oferece proteção de defesa profunda. O Microsoft Azure fornece uma plataforma compatível para serviços, aplicações e dados. Ele também fornece instalações abrangentes e segurança física, controle de acesso a dados e auditoria. No entanto, é importante fornecer medidas de segurança adicionais "sobrepostas" caso alguma das outras medidas de segurança falhe. A encriptação em repouso fornece essa medida de segurança.
A Microsoft está comprometida com opções de encriptação em repouso em serviços cloud e dando aos clientes controlo sobre chaves de encriptação e registos de utilização de chaves. Além disso, a Microsoft está a trabalhar para encriptar todos os dados dos clientes em repouso por defeito.
Opções de gestão de chaves
O Azure fornece duas abordagens principais para gerir chaves de encriptação:
Chaves geridas pela plataforma (Padrão) (também chamadas por vezes chaves geridas por serviços): Azure trata automaticamente de todos os aspetos da gestão de chaves de encriptação, incluindo geração, armazenamento, rotação e backup de chaves. Esta abordagem fornece encriptação em repouso sem qualquer configuração necessária dos clientes e está ativada por defeito em todos os serviços Azure. As chaves geridas pela plataforma oferecem o mais alto nível de conveniência e não exigem custos adicionais nem custos de gestão.
Chaves geridas pelo cliente (Opcional): Os clientes que necessitem de maior controlo sobre as suas chaves de encriptação podem optar por gerir as suas próprias chaves usando Azure Key Vault ou Azure HSM Gerido. Esta abordagem permite aos clientes controlar o ciclo de vida das chaves, políticas de acesso e operações criptográficas. As chaves geridas pelo cliente proporcionam controlo adicional à custa de maior responsabilidade de gestão e complexidade.
A escolha entre estas abordagens depende dos requisitos de segurança, das necessidades de conformidade e das preferências operacionais da sua organização. A maioria das organizações pode confiar em chaves geridas pela plataforma para uma proteção robusta contra encriptação, enquanto organizações com requisitos regulatórios ou de segurança específicos podem optar por chaves geridas pelo cliente.
Componentes de encriptação em repouso do Azure
Como descrito anteriormente, o objetivo da encriptação em repouso é que os dados persistidos no disco sejam encriptados com uma chave secreta de encriptação. Para atingir esse objetivo, a criação segura de chaves, o armazenamento, o controle de acesso e o gerenciamento das chaves de criptografia devem ser fornecidos. Embora os detalhes possam variar, as implementações de encriptação em repouso dos serviços do Azure podem ser descritas em termos ilustrados no diagrama seguinte.
Azure Key Vault
O local de armazenamento das chaves de criptografia e o controle de acesso a essas chaves são fundamentais para um modelo de criptografia em repouso. É preciso proteger bem as chaves, mas torná-las geríveis por utilizadores específicos e disponíveis para serviços específicos. Para serviços Azure, Azure Key Vault (nível Premium) ou Azure Managed HSM é a solução recomendada de armazenamento de chaves e proporciona uma experiência de gestão comum entre os serviços. Armazena e gere chaves em cofres de chaves, e pode dar a utilizadores ou serviços acesso a um cofre de chaves. O Azure Key Vault suporta a criação ou importação de chaves pelo cliente para utilização em cenários de chave de encriptação gerida pelo cliente.
Microsoft Entra ID
Pode dar permissões às contas Microsoft Entra para usar as chaves armazenadas no Azure Key Vault, seja para gerir ou para aceder a elas para encriptação e desencriptação Encryption at Rest.
Encriptação de envelope com hierarquia de chaves
Utiliza-se mais do que uma chave de encriptação numa implementação de encriptação em repouso. Armazenar uma chave de encriptação no Azure Key Vault garante acesso seguro às chaves e gestão centralizada das chaves. No entanto, o acesso local do serviço às chaves de encriptação é mais eficiente para encriptação e desencriptação em massa do que interagir com o Key Vault em todas as operações de dados, permitindo uma encriptação mais forte e melhor desempenho. Limitar o uso de uma única chave de encriptação diminui o risco de a chave ser comprometida e o custo de reencriptação quando uma chave tem de ser substituída. Os modelos de encriptação em repouso do Azure utilizam encriptação por envelope, onde uma chave de encriptação de envelope encripta uma chave de encriptação de dados. Este modelo forma uma hierarquia de chaves que é mais capaz de atender aos requisitos de desempenho e segurança:
- Chave de Criptografia de Dados (DEK) – Uma chave simétrica AES256 usada para criptografar uma partição ou bloco de dados, às vezes também referida como simplesmente uma Chave de Dados. Um único recurso pode ter muitas partições e muitas Chaves de Encriptação de Dados. Criptografar cada bloco de dados com uma chave diferente torna os ataques de análise de criptografia mais difíceis. Manter os DEKs locais ao serviço que encripta e desencripta dados maximiza o desempenho.
- Chave de Encriptação de Chaves (KEK) – Uma chave de encriptação usada para encriptar as Chaves de Encriptação de Dados utilizando encriptação por envelope, também conhecida como encapsulamento. Ao usar uma Chave de Encriptação de Chaves que nunca sai do Key Vault, pode encriptar e controlar as chaves de encriptação dos dados. A entidade que tem acesso ao KEK pode ser diferente da entidade que necessita do DEK. Uma entidade pode intermediar o acesso ao DEK para limitar o acesso de cada DEK a uma partição específica. Como o KEK é necessário para desencriptar os DEKs, os clientes podem apagar criptograficamente os DEKs e dados desativando o KEK.
Os provedores de recursos e instâncias de aplicativos armazenam as chaves de criptografia de dados criptografadas como metadados. Somente uma entidade com acesso à Chave de Encriptação de Chave pode desencriptar essas Chaves de Encriptação de Dados. Diferentes modelos de armazenamento de chaves são suportados. Para obter mais informações, consulte Modelos de criptografia de dados.
Quando os serviços armazenam DEKs localmente para operações criptográficas ativas, as chaves em cache são protegidas por controlos de segurança Azure plataforma, incluindo isolamento de computação ao nível do host e proteções ao nível do processo. Chaves operacionais em cache são um mecanismo de disponibilidade e desempenho — o KEK no Key Vault continua a ser a raiz da confiança, e a revogação de chaves regula o acesso a dados encriptados.
Encriptação em repouso nos serviços cloud da Microsoft
Utiliza-se os serviços Microsoft Cloud nos três modelos cloud: IaaS, PaaS e SaaS. Os exemplos seguintes mostram como se encaixam em cada modelo:
- Serviços de software, referidos como Software como Serviço ou SaaS, que têm aplicações fornecidas pela cloud, como o Microsoft 365.
- Serviços de plataforma nos quais os clientes usam a nuvem para coisas como armazenamento, análise e funcionalidade de barramento de serviço em seus aplicativos.
- Serviços de infraestrutura, ou Infraestrutura como Serviço (IaaS), em que o cliente implanta sistemas operacionais e aplicativos hospedados na nuvem e, possivelmente, aproveita outros serviços de nuvem.
Criptografia em repouso para clientes SaaS
Os clientes de Software como Serviço (SaaS) normalmente têm a criptografia em repouso habilitada ou disponível em cada serviço. O Microsoft 365 oferece várias opções para os clientes verificarem ou ativarem a encriptação em repouso. Para informações sobre Microsoft 365 serviços, consulte Encriptação em Microsoft 365.
Criptografia em repouso para clientes PaaS
Os clientes de Plataforma como Serviço (PaaS) normalmente armazenam os seus dados num serviço de armazenamento como o Armazenamento de Blobs. No entanto, os dados também podem ser armazenados em cache ou armazenados no ambiente de execução da aplicação, como numa máquina virtual. Para ver as opções de criptografia em repouso disponíveis para você, examine os modelos de criptografia de dados para as plataformas de armazenamento e aplicativos que você usa.
Criptografia em repouso para clientes IaaS
Os clientes de Infraestrutura como Serviço (IaaS) podem utilizar uma variedade de serviços e aplicações. Os serviços IaaS podem permitir encriptação em repouso nas suas máquinas virtuais alojadas no Azure, utilizando encriptação no alojamento.
Armazenamento criptografado
Tal como o PaaS, as soluções IaaS podem aproveitar outros serviços do Azure que armazenam dados encriptados em repouso. Nestes casos, pode ativar o suporte de encriptação em repouso, conforme fornecido por cada serviço Azure consumido. Os modelos de encriptação de dados enumeram as principais plataformas de armazenamento, serviços e aplicações, bem como o modelo de encriptação em repouso suportados.
Computação criptografada
Todos os Discos Geridos, Snapshots e Imagens são cifrados por defeito utilizando o Serviço de Cifração de Armazenamento com chaves geridas pela plataforma. Esta encriptação por defeito não requer configuração do cliente nem custos adicionais. Uma solução de encriptação mais abrangente assegura que todos os dados nunca sejam mantidos em forma não encriptada. Durante o processamento de dados numa máquina virtual, o sistema pode persistir os dados para o ficheiro de página do Windows ou para o ficheiro de swap Linux, um crash dump, ou para um registo de aplicação. Para garantir que estes dados também são encriptados em repouso, as aplicações IaaS podem usar encriptação no host numa máquina virtual Azure IaaS, que por defeito utiliza chaves geridas pela plataforma, mas pode opcionalmente ser configurada com chaves geridas pelo cliente para controlo adicional.
Criptografia personalizada em repouso
Sempre que possível, as aplicações IaaS devem aproveitar as opções de encriptação no host e encriptação em repouso fornecidas por quaisquer serviços Azure consumidos. Em alguns casos, como requisitos irregulares de encriptação ou armazenamento não baseado em Azure, um programador de uma aplicação IaaS pode precisar de implementar encriptação em repouso por conta própria. Os desenvolvedores de soluções IaaS conseguem integrar-se melhor com a gestão do Azure e as expectativas dos clientes, aproveitando certos componentes do Azure. Especificamente, os programadores devem usar o serviço Azure Key Vault para fornecer armazenamento seguro de chaves, bem como disponibilizar aos seus clientes opções de gestão de chaves consistentes com os serviços da plataforma Azure. Além disso, as soluções personalizadas devem usar identidades de serviço geridas do Azure para permitir que as contas de serviço acedam às chaves de encriptação. Para informações para programadores sobre Azure Key Vault e Managed Service Identities, consulte os respetivos SDKs.
Suporte ao modelo de encriptação dos fornecedores de recursos Azure
Os Serviços Microsoft Azure suportam cada um um ou mais modelos de encriptação em repouso. No entanto, para alguns serviços, um ou mais modelos de encriptação podem não ser aplicáveis. Para serviços que suportam cenários de chave geridos pelo cliente, podem suportar apenas um subconjunto dos tipos de chaves que o Azure Key Vault suporta para chaves de encriptação de chaves. Além disso, os serviços podem liberar suporte para esses cenários e tipos de chave em agendas diferentes. Esta secção descreve o suporte à encriptação em repouso à data desta redação para cada um dos principais serviços de armazenamento de dados do Azure.
Encriptação de disco de VM Azure
Qualquer cliente que utilize funcionalidades do Azure Infrastructure as a Service (IaaS) pode encriptar em repouso os seus discos IaaS VM através da encriptação no host. Para obter mais informações, consulte Criptografia no host - Criptografia de ponta a ponta para sua VM.
Armazenamento Azure
Todos os serviços do Armazenamento do Azure (armazenamento de blobs, armazenamento em fila, armazenamento de tabela e Ficheiros do Azure) suportam encriptação do lado do servidor em repouso e alguns serviços suportam ainda encriptação do lado do cliente.
- Do lado do servidor (Padrão): Todos os Serviços de Armazenamento do Azure ativam automaticamente a encriptação do lado do servidor por padrão usando chaves geridas pela plataforma. Esta encriptação é transparente para a aplicação e não requer configuração. Para mais informações, consulte Serviço de Encriptação do Armazenamento do Azure para Dados em Repouso. Os clientes podem, opcionalmente, optar por usar chaves geridas pelo cliente no Azure Key Vault para controlo adicional. Para mais informações, consulte Encriptação do Serviço de Armazenamento usando chaves geridas pelo cliente no Azure Key Vault.
- Lado do Cliente (Opcional): Azure Blobs, Tabelas e Filas suportam encriptação do lado do cliente para clientes que precisam de encriptar dados antes de chegarem à Azure. Ao usar a criptografia do lado do cliente, os clientes criptografam os dados e carregam os dados como um blob criptografado. A gestão de chaves é feita pelo cliente. Para mais informações, consulte Encriptação no Lado do Cliente e Azure Key Vault para o Armazenamento do Microsoft Azure.
Base de Dados SQL do Azure
O Base de Dados SQL do Azure suporta atualmente encriptação em repouso para cenários de encriptação do lado do serviço gerido pela plataforma e do lado do cliente.
O suporte para encriptação de servidores é atualmente fornecido através da funcionalidade SQL chamada Encriptação de Dados Transparente. Assim que um cliente do Base de Dados SQL do Azure ativa o TDE, as chaves são automaticamente criadas e geridas para eles. Podes ativar a encriptação em repouso ao nível da base de dados e do servidor. Desde junho de 2017, Encriptação de Dados Transparente (TDE) está ativado por defeito nas bases de dados recém-criadas. Base de Dados SQL do Azure suporta chaves RSA geridas pelo cliente de 2048 bits no Azure Key Vault. Para mais informações, consulte Encriptação de Dados Transparente com suporte Bring Your Own Key para Base de Dados SQL do Azure e Data Warehouse.
A encriptação do lado do cliente dos dados Base de Dados SQL do Azure é suportada através da funcionalidade Sempre Encriptado. O Always Encrypted utiliza uma chave que o cliente cria e armazena. Os clientes podem armazenar a chave mestra numa loja de certificados Windows, Azure Key Vault ou num Módulo de Segurança de Hardware local. Usando o SQL Server Management Studio, os utilizadores de SQL escolhem que chave querem usar para encriptar cada coluna.
Conclusão
A proteção dos dados dos clientes armazenados nos Serviços Azure é de importância máxima para a Microsoft. Todos os serviços alojados no Azure comprometem-se a fornecer opções de encriptação em repouso. Os serviços Azure suportam chaves geridas pela plataforma, chaves geridas pelo cliente ou encriptação do lado do cliente. Os serviços do Microsoft Azure estão a melhorar significativamente a disponibilidade de encriptação dos dados em repouso, e estão previstas novas opções para versão prévia e disponibilidade geral nos próximos meses.
Próximos passos
- Consulte modelos de encriptação de dados para saber mais sobre chaves geridas pela plataforma e chaves geridas pelo cliente.
- Saiba como Azure utiliza dupla encriptação para mitigar ameaças associadas à encriptação de dados.
- Saiba o que Microsoft faz para garantir a integridade plataforma e segurança dos hosts que percorrem os pipelines de construção, integração, operacionalização e reparação de hardware e firmware.