Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral de como a criptografia é usada no Microsoft Azure. Ele aborda as principais áreas da criptografia, incluindo criptografia em repouso, criptografia em trânsito e gerenciamento de chaves com o Azure Key Vault.
Criptografia de dados em repouso
Os dados em repouso incluem informações que residem no armazenamento persistente da mídia física, em qualquer formato digital. O Microsoft Azure oferece uma variedade de soluções de armazenamento de dados para atender às diferentes necessidades, incluindo armazenamento de arquivo, disco, blob e tabela. A Microsoft também fornece criptografia para proteger o Banco de Dados SQL do Azure, o Azure Cosmos DB e o Azure Data Lake.
Você pode usar a criptografia AES 256 para proteger dados inativos para serviços no SaaS (software como serviço), paaS (plataforma como serviço) e modelos de nuvem iaaS (infraestrutura como serviço).
Para obter uma discussão mais detalhada sobre como o Azure criptografa dados em repouso, consulte a Criptografia de Dados do Azure em repouso.
Modelos de criptografia do Azure
O Azure dá suporte a vários modelos de criptografia, incluindo criptografia no servidor que usa chaves gerenciadas pelo serviço, chaves gerenciadas pelo cliente no Key Vault ou chaves gerenciadas pelo cliente no hardware controlado pelo cliente. Usando a criptografia do lado do cliente, você pode gerenciar e armazenar chaves locais ou em outro local seguro.
Criptografia do cliente
Você executa a criptografia do lado do cliente fora do Azure. Ele inclui:
- Dados criptografados por um aplicativo em execução em seu datacenter ou por um aplicativo de serviço
- Dados que já estão criptografados quando o Azure os recebe
Usando a criptografia do lado do cliente, os provedores de serviços de nuvem não têm acesso às chaves de criptografia e não podem descriptografar esses dados. Você mantém total controle das chaves.
Criptografia no servidor
Os três modelos de criptografia do lado do servidor oferecem diferentes características de gerenciamento de chaves:
- Chaves gerenciadas pelo serviço: fornecem uma combinação de controle e conveniência com baixa sobrecarga.
- Chaves gerenciadas pelo cliente: proporcionam controle das chaves, incluindo o suporte a BYOK (Bring Your Own Key), ou permitem a geração de novas.
- Chaves gerenciadas pelo serviço em hardware controlado pelo cliente: permite que você gerencie chaves em seu repositório proprietário, fora do controle da Microsoft (também chamado de Host Sua Própria Chave ou HYOK).
Azure Disk Encryption
Importante
O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.
Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.
Todos os Discos Gerenciados, Instantâneos e Imagens são criptografados por padrão usando a Criptografia do Serviço de Armazenamento com uma chave gerenciada pelo serviço. Para máquinas virtuais, a criptografia no host fornece criptografia de ponta a ponta para seus dados de VM, incluindo discos temporários e caches de disco de dados/sistema operacional. O Azure também oferece opções para gerenciar chaves no Azure Key Vault. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado.
Criptografia do Serviço de Armazenamento do Azure
Você pode criptografar dados em repouso no Armazenamento de Blobs do Azure e compartilhamentos de arquivos do Azure para cenários do lado do servidor e do cliente.
A SSE (Criptografia do Serviço de Armazenamento do Azure) criptografa automaticamente os dados antes de serem armazenados e descriptografa automaticamente os dados quando você os recupera. A Criptografia do Serviço de Armazenamento usa criptografia AES de 256 bits, uma das criptografias de bloco mais fortes disponíveis.
Criptografia do Banco de Dados SQL do Azure
O Banco de Dados SQL do Azure é um serviço de banco de dados relacional de uso geral que dá suporte a estruturas como dados relacionais, JSON, espacial e XML. O Banco de Dados SQL dá suporte à criptografia do lado do servidor por meio do recurso TDE (Transparent Data Encryption) e à criptografia do lado do cliente por meio do recurso Always Encrypted.
Transparent Data Encryption
O TDE criptografa o SQL Server, o Banco de Dados SQL do Azure e os arquivos de dados do Azure Synapse Analytics em tempo real usando uma DEK (Chave de Criptografia de Banco de Dados). O TDE é habilitado por padrão em bancos de dados SQL do Azure recém-criados.
Sempre Criptografado
O recurso Always Encrypted no SQL do Azure permite criptografar dados em aplicativos cliente antes de armazená-los no Banco de Dados SQL do Azure. Você pode habilitar a delegação da administração de banco de dados local para terceiros, mantendo a separação entre aqueles que possuem e podem exibir os dados e aqueles que os gerenciam.
Criptografia em nível de célula ou de coluna
Com o Banco de Dados SQL do Azure, você pode aplicar a criptografia simétrica a uma coluna de dados usando o Transact-SQL. Essa abordagem é chamada de CRIPTOGRAFIA no nível da célula ou criptografia de nível de coluna (CLE), pois você pode usá-la para criptografar colunas ou células específicas com chaves de criptografia diferentes. Essa abordagem oferece mais funcionalidade de criptografia granular do que o TDE.
Criptografia de banco de dados Azure Cosmos DB
O Azure Cosmos DB é o banco de dados multimodelo globalmente distribuído da Microsoft. Os dados do usuário armazenados no Azure Cosmos DB no armazenamento não volátil (unidades de estado sólido) são criptografados por padrão usando chaves gerenciadas pelo serviço. Você pode adicionar uma segunda camada de criptografia com suas próprias chaves usando o recurso CMK (chaves gerenciadas pelo cliente ).
Criptografia em repouso no Azure Data Lake
O Azure Data Lake é um repositório para toda a empresa de todos os tipos de dados coletados em um único lugar antes de qualquer definição formal de requisitos ou esquema. O Data Lake Store dá suporte à criptografia transparente em repouso que está ativada por padrão e configurada durante a criação de sua conta. Por padrão, o Azure Data Lake Store gerencia as chaves para você, mas você pode optar por gerenciá-las por conta própria.
Três tipos de chave são usados na criptografia e descriptografia de dados: a MEK (Chave de Criptografia Mestra), DEK (Chave de Criptografia de Dados) e BEK (Chave de Criptografia de Bloco). O MEK criptografa o DEK, que é armazenado em mídia persistente, e o BEK é derivado do DEK e do bloco de dados. Se você gerenciar suas próprias chaves, poderá girar o MEK.
Criptografia de dados em trânsito
O Azure fornece muitos mecanismos para manter os dados privados à medida que eles se movem de um local para outro.
Criptografia de camada de link de dados
Sempre que o tráfego do cliente do Azure se move entre datacenters - fora dos limites físicos não controlados pela Microsoft - um método de criptografia de camada de vínculo de dados usando os Padrões de Segurança do MAC IEEE 802.1AE (também conhecidos como MACsec) é aplicado ponto a ponto no hardware de rede subjacente. Os dispositivos criptografam os pacotes antes de enviá-los, o que impede ataques físicos de "homem no meio" ou espionagem/escuta telefônica. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões.
Criptografia TLS
A Microsoft oferece aos clientes a capacidade de usar o protocolo TLS (Transport Layer Security) para proteger os dados quando ele estiver viajando entre os serviços de nuvem e os clientes. Os datacenters da Microsoft negociam uma conexão TLS com os sistemas cliente que se conectam aos serviços do Azure. O TLS fornece autenticação forte, privacidade de mensagens e integridade.
Importante
O Azure está fazendo a transição para exigir o TLS 1.2 ou posterior para todas as conexões com os serviços do Azure. A maioria dos serviços do Azure concluiu essa transição até 31 de agosto de 2025. Verifique se seus aplicativos usam o TLS 1.2 ou posterior.
O PFS (Perfect Forward Secrecy) protege as conexões entre os sistemas cliente dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões dão suporte a comprimentos de chave de 2.048 bits baseados em RSA, comprimentos de chave de 256 bits ECC, autenticação de mensagem SHA-384 e criptografia de dados AES-256.
Transações do Armazenamento do Microsoft Azure
Quando você interage com o Armazenamento do Microsoft Azure por meio do Portal do Azure, todas as transações ocorrem por HTTPS. Também é possível usar a API REST do Armazenamento por HTTPS para interagir com o Armazenamento do Microsoft Azure. Você pode impor o uso de HTTPS ao chamar as APIs REST habilitando o requisito de transferência segura para a conta de armazenamento.
As SAS (Assinaturas de Acesso Compartilhado), que você pode usar para delegar o acesso aos objetos do Armazenamento do Azure, incluem uma opção para especificar que somente o protocolo HTTPS possa ser usado.
Criptografia SMB
O SMB 3.0, usado para acessar compartilhamentos de Arquivos do Azure, dá suporte à criptografia e está disponível no Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. Ele dá suporte ao acesso entre regiões e ao acesso na área de trabalho.
Criptografia VPN
Você pode se conectar ao Azure por meio de uma rede virtual privada que cria um túnel seguro para proteger a privacidade dos dados enviados pela rede.
Gateways de VPN do Azure
O gateway de VPN do Azure envia tráfego criptografado entre sua rede virtual e sua localização local em uma conexão pública ou entre redes virtuais. As VPNs site a site usam o protocolo IPsec como a criptografia de transporte.
VPNs ponto a site
As VPNs ponto a site permitem que computadores cliente individuais acessem uma Rede Virtual do Azure. O Protocolo SSTP (Secure Socket Tunneling Protocol) cria o túnel VPN. Para obter mais informações, consulte Configurar uma conexão ponto a site com uma rede virtual.
VPNs site a site
Uma conexão de gateway de VPN site a site conecta sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE. Para obter mais informações, consulte Criar uma conexão site a site.
Gerenciamento de chaves com o Key Vault
Sem a proteção adequada e o gerenciamento de chaves, a criptografia é inútil. O Azure oferece várias soluções de gerenciamento de chaves, incluindo o Azure Key Vault, o HSM Gerenciado do Azure Key Vault, o Azure Cloud HSM e o HSM de Pagamento do Azure.
O Key Vault remove a necessidade de configurar, corrigir e manter HSMs (módulos de segurança de hardware) e software de gerenciamento de chaves. Usando o Key Vault, você mantém o controle. A Microsoft nunca vê suas chaves e os aplicativos não têm acesso direto a elas. Você também pode importar ou gerar chaves em HSMs.
Para obter mais informações sobre o gerenciamento de chaves no Azure, consulte o gerenciamento de chaves no Azure.
Próximas etapas
- Visão geral de segurança do Azure
- Visão geral da segurança de rede do Azure
- Visão geral de segurança do banco de dados do Azure
- Visão geral de segurança de máquinas virtuais do Azure
- Criptografia de dados em repouso
- Práticas recomendadas de segurança e criptografia de dados
- Gerenciamento de chaves no Azure