Compartilhar via

Criptografia de dados no Azure DocumentDB

Todos os dados gerenciados por um Azure DocumentDB são sempre criptografados em repouso. Esses dados incluem todos os bancos de dados de sistema e de usuário, arquivos temporários, logs e backups.

Criptografia inativa com chave gerenciada pelo serviço (SMK) ou chave gerenciada pelo cliente (CMK)

O Azure DocumentDB dá suporte a dois modos de criptografia de dados em repouso: SMK (chaves gerenciadas por serviço) e CMK (chaves gerenciadas pelo cliente). A criptografia de dados com chaves gerenciadas pelo serviço é o modo padrão para o Azure DocumentDB. Nesse modo, o serviço gerencia automaticamente as chaves de criptografia usadas para criptografar seus dados. Você não precisa executar nenhuma ação para habilitar ou gerenciar a criptografia nesse modo.

No modo chaves gerenciadas pelo cliente, você pode trazer sua própria chave de criptografia para criptografar seus dados. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa seus dados. As chaves gerenciadas pelo cliente oferecem maior flexibilidade para gerenciar controles de acesso. Você deve implantar seu próprio Azure Key Vault e configurá-lo para armazenar as chaves de criptografia usadas pelo cluster do Azure DocumentDB.

O modo de configuração só pode ser selecionado no momento da criação do cluster. Não é possível alterá-lo de um modo para outro durante o tempo de vida do cluster.

Para obter a criptografia de seus dados, o Azure DocumentDB usa a criptografia do lado do servidor do Armazenamento do Azure para dados em repouso. Ao usar CMK, você é responsável por fornecer as chaves para criptografar e descriptografar dados nos serviços do Armazenamento do Microsoft Azure. Essas chaves devem ser armazenadas no Azure Key Vault.

Benefícios fornecidos por cada modo (SMK ou CMK)

A criptografia de dados com chaves gerenciadas pelo serviço para o Azure DocumentDB oferece os seguintes benefícios:

  • O serviço controla automaticamente e totalmente o acesso a dados.
  • O serviço controla automaticamente e totalmente o ciclo de vida da chave, incluindo a rotação da chave.
  • Você não precisa se preocupar com o gerenciamento de chaves de criptografia de dados.
  • A criptografia de dados baseada em chaves gerenciadas pelo serviço não afeta negativamente o desempenho das suas cargas de trabalho.
  • Ela simplifica o gerenciamento de chaves de criptografia (incluindo sua rotação regular) e o gerenciamento das identidades usadas para acessar essas chaves.

A criptografia de dados com chaves gerenciadas pelo cliente para o Azure DocumentDB oferece os seguintes benefícios:

  • Você controla totalmente o acesso a dados. Você pode revogar uma chave para tornar um banco de dados inacessível.
  • Você controla totalmente o ciclo de vida de uma chave para alinhar com as políticas corporativas.
  • Você pode gerenciar e organizar centralmente todas as suas chaves de criptografia em suas próprias instâncias do Azure Key Vault.
  • A criptografia de dados baseada em chaves gerenciadas pelo cliente não afeta negativamente o desempenho das suas cargas de trabalho.
  • Você pode implementar a separação de tarefas entre agentes de segurança, administradores de banco de dados e administradores do sistema.

Requisitos do CMK

Com chave de criptografia gerenciada pelo cliente, você assume toda a responsabilidade por manter os componentes adequadamente configurados necessários para que a CMK funcione. Portanto, você deve implantar seu próprio Azure Key Vault e fornecer uma identidade gerenciada atribuída pelo usuário. Você deve gerar ou importar a sua própria chave. Você deve conceder permissões necessárias no Key Vault para que o Azure DocumentDB possa executar as ações necessárias na chave. Você precisa cuidar da configuração de todos os aspectos de rede do Azure Key Vault no qual a chave é mantida, para que sua instância do Azure DocumentDB possa acessar a chave. Auditar o acesso à chave também é sua responsabilidade.

Quando você configura chaves gerenciadas pelo cliente para um cluster do Azure DocumentDB para MonogDB, o Armazenamento do Azure encapsula a DEK (chave de criptografia de dados raiz) da conta com a chave gerenciada pelo cliente no cofre de chaves associado. A proteção da chave de criptografia raiz muda, mas os dados na sua conta do Armazenamento do Microsoft Azure sempre permanecem criptografados. Não há nenhuma ação adicional necessária de sua parte para garantir que os seus dados permaneçam criptografados. A proteção por chaves gerenciadas pelo cliente entra em vigor imediatamente.

O Azure Key Vault é um sistema de gerenciamento de chaves externo baseado em nuvem. Ele é altamente disponível e fornece armazenamento escalonável e seguro para chaves criptográficas RSA. Ele não permite acesso direto a uma chave armazenada, mas fornece serviços de criptografia e descriptografia para entidades autorizadas. O Key Vault pode gerar a chave, importá-la ou recebê-la transferida de um dispositivo HSM local.

Veja a seguir a lista de requisitos e recomendações para a configuração de criptografia de dados para o Azure DocumentDB:

Cofre de chaves criptográficas

O cofre de chaves usado para a configuração da CMK deve atender aos seguintes requisitos:

  • O Key Vault e o Azure DocumentDB devem pertencer ao mesmo locatário do Microsoft Entra.
  • Recomendação: defina a configuração Dias para reter cofres excluídos do Key Vault como 90 dias. Essa configuração só pode ser definida no momento da criação do cofre de chaves. Depois que uma instância é criada, não é possível modificar essa configuração.
  • Habilitar o recurso soft-delete no cofre de chaves para ajudar a proteger contra perda de dados, caso uma chave ou uma instância de cofre de chaves seja excluída acidentalmente. O cofre de chaves retém recursos com exclusão reversível por 90 dias, a menos que o usuário os recupere ou limpe nesse período. As ações de recuperação e limpeza têm permissões próprias associadas a um cofre de chaves, a uma função de controle de acesso baseado em função (RBAC) ou a uma permissão de política de acesso. O recurso de exclusão reversível está ativado por padrão. Se você tiver um cofre de chaves implantado há muito tempo, ele ainda poderá estar com a exclusão reversível desabilitada. Nesse caso, você poderá ativá-la.
  • Habilitar a proteção contra limpeza para impor um período de retenção obrigatório para cofres e objetos de cofre excluídos.
  • Configurar o acesso ao sistema de rede para permitir que o cluster acesse a chave de criptografia no cofre de chaves. Use uma das seguintes opções de configuração:
    • Permitir o acesso público de todas as redes permite que todos os hosts na Internet acessem o cofre de chaves.
    • Selecione Desabilitar acesso público e Permitir que serviços Microsoft confiáveis ignorem esse firewall para desabilitar todo o acesso público, mas permitir que o cluster acesse o cofre de chaves.

Chave de criptografia

A chave de criptografia selecionada para a configuração CMK deve atender aos seguintes requisitos:

  • A chave usada para criptografar a chave de criptografia de dados pode ser apenas assimétrica, RSA ou RSA-HSM. Os tamanhos de chave que têm suporte são 2.048, 3.072 e 4.096.
    • Recomendação: use uma chave de 4.096 bits para maior segurança.
  • A data e hora da ativação da chave (se definida) deve estar no passado. A data e hora de expiração (se estiver definida) deve estar no futuro.
  • A chave deve estar no estado Habilitado.
  • Se você estiver importando uma chave existente para o Azure Key Vault, forneça-a nos formatos de arquivo com suporte (.pfx, .byok ou .backup).

Permissions

Conceda à identidade gerenciada atribuída pelo usuário do Azure DocumentDB acesso à chave de criptografia:

Atualizações de versão de chave do CMK

O CMK no Azure DocumentDB dá suporte a atualizações automáticas de versão de chave, também conhecidas como chaves sem versão. O serviço Azure DocumentDB pega automaticamente a nova versão da chave e reenscriptografa a chave de criptografia de dados. Esta capacidade pode ser combinada com a autorotação de chaves do Azure Key Vault.

Considerações

Ao usar uma chave gerenciada pelo cliente para criptografia de dados, siga estas recomendações para configurar o Key Vault:

  • Para evitar a exclusão acidental ou não autorizada deste recurso crítico, defina um bloqueio de recurso do Azure no cofre de chaves.
  • Revise e habilite as opções de disponibilidade e redundância do Azure Key Vault.
  • Habilitar log e alerta na instância do Azure Key Vault usada para armazenar chaves. O cofre de chaves fornece logs que são fáceis de injetar em outras ferramentas de gerenciamento de eventos e informações de segurança (SIEM). Os Logs do Azure Monitor são um exemplo de serviço já integrado.
  • Habilitar autorotação de chaves. O serviço Azure DocumentDB sempre seleciona a versão mais recente da chave selecionada.
  • Restringir o acesso público ao Key Vault selecionando Desabilitar acesso público e Permitir que serviços Microsoft confiáveis ignorem este firewall.

Observação

Depois de selecionar Desabilitar acesso público e Permitir que serviços Microsoft confiáveis ignorem este firewall, você poderá receber um erro semelhante ao seguinte ao tentar usar o acesso público para administrar o Key Vault por meio do portal: "Você habilitou o controle de acesso à rede. Somente redes permitidas têm acesso a esse cofre de chaves. Esse erro não impede a capacidade de fornecer chaves durante a configuração de chaves gerenciadas pelo cliente ou buscar chaves no Key Vault durante operações de cluster.

  • Mantenha uma cópia da chave gerenciada pelo cliente em um local seguro ou deposite-a em caução em um serviço de caução.
  • Se o Key Vault gerar a chave, crie um backup da chave antes de usá-la pela primeira vez. Você só pode restaurar o backup para o Key Vault.

Conteúdo relacionado

  • Last updated on