Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Azure inclui ferramentas para proteger os dados de acordo com as necessidades de segurança e de conformidade da sua empresa. Este artigo se concentra em:
- Como os dados são protegidos em repouso no Microsoft Azure.
- Os vários componentes que participam da implementação da proteção de dados.
- Os prós e contras de diferentes abordagens de proteção de gerenciamento de chaves.
A criptografia em repouso é um requisito de segurança comum. No Azure, os dados são criptografados em repouso por padrão usando chaves gerenciadas pela plataforma. Essa abordagem fornece às organizações criptografia automática sem o risco ou o custo de uma solução de gerenciamento de chave personalizada. As organizações podem contar com o Azure para gerenciar completamente a criptografia em repouso usando chaves gerenciadas pela plataforma ou podem usar chaves gerenciadas pelo cliente quando precisam de controle extra sobre chaves de criptografia e políticas de gerenciamento de chaves.
O que é criptografia em repouso?
A criptografia é a codificação segura dos dados usados para proteger a confidencialidade dos dados. A criptografia de armazenamento em repouso no Azure usa criptografia simétrica para criptografar e descriptografar grandes quantidades de dados rapidamente, de acordo com um modelo conceitual simples.
- Uma chave de criptografia simétrica criptografa os dados conforme são gravados no armazenamento.
- A mesma chave de criptografia descriptografa esses dados enquanto são preparados para uso na memória.
- Os dados podem ser particionados e chaves diferentes podem ser usadas para cada partição.
- As chaves devem ser armazenadas em uma localização segura com controle de acesso baseado em identidade e políticas de auditoria. Se as chaves de criptografia de dados forem armazenadas fora de locais seguros, elas serão criptografadas usando uma chave de criptografia de chave que é mantida em um local seguro.
Na prática, os principais cenários de controle e gerenciamento, assim como garantias de disponibilidade e escala, requerem construções adicionais. As seções a seguir descrevem os conceitos e componentes da criptografia em repouso do Microsoft Azure.
Finalidade da criptografia em repouso
A criptografia em repouso protege os dados armazenados (em repouso). Os ataques contra dados em repouso incluem tentativas de obter acesso físico ao hardware em que os dados são armazenados e, em seguida, comprometer os dados contidos. Nesse ataque, o disco rígido de um servidor pode ser mal tratado durante a manutenção, o que permite que um invasor remova o disco rígido. Mais tarde, o invasor coloca o disco rígido em um computador sob seu controle para tentar acessar os dados.
A criptografia em repouso é projetada para impedir que o invasor acesse os dados não criptografados, assegurando que os dados sejam criptografados quando em disco. Se um invasor tiver um disco rígido com os dados criptografados, mas não tiver as chaves de criptografia, ele precisará superar a criptografia para ler os dados. Esse ataque é muito mais complexo e consome mais recursos do que o acesso a dados não criptografados em um disco rígido. Por esse motivo, a criptografia em repouso é altamente recomendada e é um requisito de alta prioridade para muitas organizações.
A necessidade de uma organização por governança de dados e esforços de conformidade pode também exigir criptografia de dados em repouso. Regulamentações do setor e do governo, como HIPAA, PCI e FedRAMP, estabelecem proteções específicas em relação aos requisitos de proteção de dados e criptografia. A criptografia em repouso é uma medida obrigatória necessária para oferecer conformidade com alguns desses regulamentos. Para obter mais informações sobre a abordagem da Microsoft para a validação do FIPS 140-2, consulte a Publicação 140-2 da Norma Federal de Processamento de Informações (FIPS).
Além de atender a requisitos de regulamentação e conformidade, a criptografia em repouso fornece proteção com defesa em profundidade. O Microsoft Azure fornece uma plataforma em conformidade com serviços, aplicativos e dados. Ele também fornece uma abrangente segurança física e das instalações, controle de acesso a dados e auditoria. No entanto, é importante fornecer medidas adicionais de segurança "sobrepostas" caso uma das outras medidas de segurança falhe. A criptografia em repouso fornece tal medida de segurança.
A Microsoft tem o compromisso de fornecer opções de criptografia em repouso nos serviços de nuvem e de proporcionar aos clientes controle das chaves de criptografia e dos logs de uso da chave. Além disso, a Microsoft está trabalhando para criptografar todos os dados do cliente em repouso por padrão.
Opções de gerenciamento de chaves
O Azure fornece duas abordagens primárias para gerenciar chaves de criptografia:
Chaves gerenciadas pela plataforma (Padrão) (também às vezes chamadas de chaves gerenciadas pelo serviço): o Azure lida automaticamente com todos os aspectos do gerenciamento de chaves de criptografia, incluindo geração de chaves, armazenamento, rotação e backup. Essa abordagem fornece criptografia em repouso com nenhuma configuração necessária dos clientes e é habilitada por padrão nos serviços do Azure. As chaves gerenciadas pela plataforma oferecem o nível mais alto de conveniência e não exigem custo adicional ou sobrecarga de gerenciamento.
Chaves gerenciadas pelo cliente (opcional): os clientes que exigem maior controle sobre suas chaves de criptografia podem optar por gerenciar suas próprias chaves usando o Azure Key Vault ou o HSM Gerenciado do Azure. Essa abordagem permite que os clientes controlem o ciclo de vida de chaves, as políticas de acesso e as operações criptográficas. As chaves gerenciadas pelo cliente fornecem controle adicional ao custo do aumento da responsabilidade e da complexidade do gerenciamento.
A escolha entre essas abordagens depende dos requisitos de segurança da sua organização, das necessidades de conformidade e das preferências operacionais. A maioria das organizações pode contar com chaves gerenciadas pela plataforma para proteção de criptografia robusta, enquanto organizações com requisitos regulatórios ou de segurança específicos podem optar por chaves gerenciadas pelo cliente.
Componentes de criptografia em repouso do Azure
Conforme descrito anteriormente, a meta de criptografia em repouso é que os dados persistentes no disco sejam criptografados com uma chave de criptografia secreta. Para atingir essa meta, é necessário fornecer criação de chave segura, armazenamento, controle de acesso e gerenciamento das chaves de criptografia. Embora os detalhes possam variar, as implementações de criptografia em repouso dos serviços do Azure podem ser descritas em termos ilustrados no diagrama a seguir.
Azure Key Vault
O local de armazenamento das chaves de criptografia e controle de acesso a essas chaves é central para um modelo de criptografia em repouso. Você precisa proteger altamente as chaves, mas torná-las gerenciáveis por usuários especificados e disponíveis para serviços específicos. Para os serviços do Azure, o Azure Key Vault é a solução de armazenamento de chave recomendada e fornece uma experiência de gerenciamento comum em todos os serviços. Você armazena e gerencia chaves em cofres de chaves e pode conceder aos usuários ou serviços acesso a um cofre de chaves. O Azure Key Vault fornece suporte à criação de chaves pelo cliente ou importação de chaves do cliente para uso em cenários de chaves de criptografia gerenciadas pelo cliente.
Microsoft Entra ID
Você pode conceder às contas do Microsoft Entra permissões para usar as chaves armazenadas no Azure Key Vault, seja para gerenciá-las ou acessá-las para criptografia em repouso e descriptografia.
Criptografia de envelope com uma hierarquia de chaves
Você usa mais de uma chave de criptografia em uma implementação de criptografia em repouso. O armazenamento de uma chave de criptografia no Azure Key Vault garante o acesso de chave seguro e o gerenciamento central de chaves. No entanto, o acesso local do serviço a chaves de criptografia é mais eficiente para criptografia e descriptografia em massa do que interagir com Key Vault para cada operação de dados, permitindo uma criptografia mais forte e melhor desempenho. Limitar o uso de uma única chave de criptografia diminui o risco de que a chave seja comprometida e o custo da reencritação quando uma chave deve ser substituída. Os modelos de criptografia em repouso do Azure usam criptografia de envelope, em que uma chave de criptografia de chave criptografa uma chave de criptografia de dados. Esse modelo forma uma hierarquia de chave que é mais capaz de atender aos requisitos de desempenho e segurança:
- DEK (Chave de criptografia de dados) – Uma chave AES256 simétrica usada para criptografar uma partição ou bloco de dados, às vezes também chamada simplesmente de Chave de Dados. Um único recurso pode ter muitas partições e muitas Chaves de Criptografia de Dados. Criptografar cada bloco de dados com uma chave diferente torna os ataques de análise de criptografia mais difíceis. Manter os DEKs no serviço que criptografa e descriptografa dados maximiza o desempenho.
- Key Encryption Key (KEK) – uma chave de criptografia usada para criptografar as Chaves de Criptografia de Dados usando a criptografia de envelope, também conhecida como empacotamento. Usando uma chave de criptografia de chave que nunca sai do Key Vault, você pode criptografar e controlar as chaves de criptografia de dados. A entidade que tem acesso ao KEK pode ser diferente da entidade que requer o DEK. Uma entidade pode intermediar o acesso ao DEK para limitar o acesso de cada DEK a uma partição específica. Como o KEK é necessário para descriptografar os DEKs, os clientes podem apagar criptograficamente DEKs e dados desabilitando o KEK.
Provedores de recursos e instâncias de aplicativos armazenam as chaves de criptografia de dados criptografadas como metadados. Somente uma entidade com acesso à chave de criptografia de chave pode descriptografar essas chaves de criptografia de dados. Há suporte para diferentes modelos de armazenamento de chaves. Para obter mais informações, confira modelos de criptografia de dados.
Criptografia em repouso em serviços em nuvem da Microsoft
Você usa os serviços da Microsoft Cloud em todos os três modelos de nuvem: IaaS, PaaS e SaaS. Os exemplos a seguir mostram como eles se encaixam em cada modelo:
- Serviços de software, chamados de Software como Serviço ou SaaS, que possuem aplicativos fornecidos pela nuvem como o Microsoft 365.
- Serviços de plataforma em que os clientes usam a nuvem para coisas como armazenamento, análise e funcionalidade de barramento de serviço em seus aplicativos.
- Serviços de infraestrutura, ou IaaS (Infraestrutura como Serviço), em que o cliente implanta sistemas operacionais e aplicativos hospedados na nuvem e que possivelmente usam outros serviços de nuvem.
Criptografia em repouso para clientes SaaS
Os clientes de Software como Serviço (SaaS), geralmente possuem criptografia em repouso habilitada ou disponível em cada serviço. O Microsoft 365 tem várias opções para que os clientes verifiquem ou habilitem criptografia em repouso. Para obter informações sobre Microsoft 365 serviços, consulte Criptografia em Microsoft 365.
Criptografia em repouso para clientes de PaaS
Os clientes PaaS (Plataforma como Serviço) normalmente armazenam seus dados em um serviço de armazenamento, como o Armazenamento de Blobs. No entanto, os dados também podem ser armazenados em cache ou armazenados no ambiente de execução do aplicativo, como uma máquina virtual. Para ver as opções de criptografia em repouso disponíveis para você, examine os Modelos de criptografia de dados para as plataformas de armazenamento e aplicativos que você usa.
Criptografia em repouso para clientes de IaaS
Os clientes de IaaS (Infraestrutura como Serviço) podem usar uma variedade de serviços e aplicativos. Os serviços de IaaS podem habilitar a criptografia em repouso em suas máquinas virtuais hospedadas no Azure usando criptografia no host.
Armazenamento criptografado
Como PaaS, as soluções de IaaS podem aproveitar outros serviços do Azure que armazenam dados criptografados em repouso. Nesses casos, você pode habilitar o suporte de criptografia em repouso, conforme fornecido por cada serviço consumido do Azure. Os modelos de criptografia de dados enumeram as principais plataformas de armazenamento, serviços e aplicativos e o modelo de criptografia em repouso com suporte.
Computação criptografada
Todos os Discos Gerenciados, Instantâneos e Imagens são criptografados por padrão usando a Criptografia do Serviço de Armazenamento com chaves gerenciadas pela plataforma. Essa criptografia padrão não requer nenhuma configuração do cliente ou custo adicional. Uma solução de criptografia mais abrangente garante que todos os dados nunca sejam mantidos de forma não criptografada. Durante o processamento de dados em uma máquina virtual, o sistema pode persistir os dados no arquivo de página do Windows, no arquivo de troca do Linux, em um despejo de memória ou em um log de aplicação. Para garantir que esses dados também sejam criptografados em repouso, os aplicativos IaaS podem usar criptografia no host em uma máquina virtual IaaS do Azure, que, por padrão, usa chaves gerenciadas por plataforma, mas opcionalmente pode ser configurada com chaves gerenciadas pelo cliente para controle adicional.
Criptografia personalizada em repouso
Sempre que possível, os aplicativos IaaS devem aproveitar opções de criptografia no host e criptografia em repouso fornecidas pelos serviços do Azure que são consumidos. Em alguns casos, como requisitos de criptografia irregulares ou armazenamento não baseado no Azure, um desenvolvedor de um aplicativo IaaS pode precisar implementar a criptografia em repouso. Os desenvolvedores das soluções de IaaS podem integra-se melhor com o gerenciamento do Azure e as expectativas dos clientes, aproveitando determinados componentes do Azure. Especificamente, os desenvolvedores devem usar o serviço do Azure Key Vault para fornecer armazenamento seguro de chaves, bem como fornecer aos clientes opções de gerenciamento de chaves consistentes com as dos serviços de plataforma do Azure. Além disso, as soluções personalizadas devem usar identidades de serviço gerenciado do Azure para permitir que contas de serviço acessem chaves de criptografia. Para obter informações de desenvolvedor sobre o Azure Key Vault e as Identidades de Serviço Gerenciado, confira seus respectivos SDKs.
Suporte ao modelo de criptografia dos provedores de recursos do Azure
Os serviços do Microsoft Azure oferecem suporte para um ou mais dos modelos de criptografia em repouso. Para alguns serviços, no entanto, um ou mais dos modelos de criptografia podem não ser aplicáveis. Para serviços que dão suporte a cenários de chave gerenciados pelo cliente, eles podem dar suporte apenas a um subconjunto dos tipos de chave que o Azure Key Vault dá suporte para chaves de criptografia de chave. Além disso, os serviços podem liberar suporte para esses cenários e tipos-chave em agendas diferentes. Esta seção descreve o suporte de criptografia em repouso no momento desta escrita para cada um dos principais serviços de armazenamento de dados do Azure.
Criptografia de disco de VM do Azure
Qualquer cliente que usa os recursos de IaaS (Infraestrutura como Serviço) do Azure pode criptografar em repouso seus discos de VM IaaS por meio da criptografia no host. Para obter mais informações, consulte Criptografia no host – Criptografia de ponta a ponta para sua VM.
Armazenamento do Azure
Todos os serviços de Armazenamento do Azure (Armazenamento de Blobs, Armazenamento de Filas, Armazenamento de Tabelas e Arquivos do Azure) dão suporte à criptografia do lado do servidor em repouso e alguns serviços também dão suporte à criptografia do lado do cliente.
- Lado do servidor (padrão): todos os Serviços de Armazenamento do Azure habilitam automaticamente a criptografia do lado do servidor por padrão usando chaves gerenciadas pela plataforma. Essa criptografia é transparente para o aplicativo e não requer nenhuma configuração. Para obter mais informações, consulte Criptografia de serviço do Armazenamento do Azure para dados em repouso. Opcionalmente, os clientes podem optar por usar chaves gerenciadas pelo cliente no Azure Key Vault para controle adicional. Para obter mais informações, consulte Criptografia do Serviço de Armazenamento usando chaves gerenciadas pelo cliente no Azure Key Vault.
- Lado do cliente (opcional): Blobs, Tabelas e Filas do Azure dão suporte à criptografia do lado do cliente para clientes que precisam criptografar dados antes de chegarem ao Azure. Ao usar criptografia do cliente, os clientes criptografam os dados e carregam os dados como um blob criptografado. O gerenciamento de chaves é feito pelo cliente. Para obter mais informações, consulte Criptografia do lado do cliente e Azure Key Vault para o Armazenamento do Microsoft Azure.
Banco de Dados SQL do Azure
Atualmente, o Banco de Dados SQL do Azure dá suporte à criptografia em repouso para cenários de criptografia do lado do serviço gerenciado pela plataforma e do lado do cliente.
O suporte para criptografia do servidor atualmente é fornecido através do recurso SQL chamado Transparent Data Encryption. Depois que um cliente do Banco de Dados SQL do Azure habilita o TDE, as chaves são criadas e gerenciadas automaticamente para ele. Você pode habilitar a criptografia em repouso nos níveis de banco de dados e servidor. A partir de junho de 2017, a TDE (Transparent Data Encryption) estará habilitada por padrão em bancos de dados criados recentemente. O Banco de Dados SQL do Azure dá suporte a chaves gerenciadas pelo cliente RSA de 2048 bits no Azure Key Vault. Para obter mais informações, consulte Transparent Data Encryption com suporte para Bring Your Own Key para Banco de Dados SQL do Azure e Data Warehouse.
A criptografia do cliente dos dados do Banco de Dados SQL do Azure tem suporte por meio do recurso Always Encrypted. O Always Encrypted usa uma chave que o cliente cria e armazena. Os clientes podem armazenar a chave mestre em um repositório de certificados do Windows, no Azure Key Vault ou em um Módulo de Segurança de Hardware local. Utilizando o SQL Server Management Studio, os usuários de SQL escolhem que chave gostariam de usar para criptografar determinada coluna.
Conclusão
A proteção dos dados do cliente armazenados nos Serviços do Azure é de fundamental importância para a Microsoft. Todos os serviços hospedados no Azure estão comprometidos em fornecer criptografia em opções de repouso. Os serviços do Azure dão suporte a chaves gerenciadas pela plataforma, chaves gerenciadas pelo cliente ou criptografia do lado do cliente. Os serviços do Azure estão aprimorando amplamente a criptografia em repouso e novas opções estão planejadas para prévia e disponibilidade geral nos próximos meses.
Próximas etapas
- Consulte modelos de criptografia de dados para saber mais sobre chaves gerenciadas pela plataforma e chaves gerenciadas pelo cliente.
- Saiba como o Azure usa criptografia dupla para reduzir ameaças que vêm com a criptografia de dados.
- Saiba o que a Microsoft faz para garantir a integridade da plataforma e a segurança dos hosts que passam por processos de construção de hardware e firmware, integração, operacionalização e reparo.