Partilhar via

Criptografar dados em repouso usando chaves gerenciadas pelo cliente

Criptografar os dados do aplicativo Web em repouso requer uma Conta de Armazenamento do Azure e um Cofre da Chave do Azure. Esses serviços são usados quando você executa seu aplicativo a partir de um pacote de implantação.

  • O Armazenamento do Azure fornece criptografia em repouso. Você pode usar chaves fornecidas pelo sistema ou suas próprias chaves gerenciadas pelo cliente. É aqui que os dados do seu aplicativo são armazenados quando não estão em execução em um aplicativo Web no Azure.
  • A execução a partir de um pacote de implantação é um recurso de implantação do Serviço de Aplicativo. Ele permite que você implante o conteúdo do site a partir de uma Conta de Armazenamento do Azure usando uma URL de Assinatura de Acesso Compartilhado (SAS).
  • As referências do Cofre da Chave são um recurso de segurança do Serviço de Aplicativo. Ele permite que você importe segredos em tempo de execução como configurações do aplicativo. Use isso para criptografar a URL SAS da sua Conta de Armazenamento do Azure.

Configurar a encriptação em repouso

Criar uma conta de Armazenamento do Azure

Comece criando uma conta de armazenamento.

  1. Crie uma conta de Armazenamento do Azure e criptografe-a com chaves gerenciadas pelo cliente. Depois que a conta de armazenamento for criada, use o Gerenciador de Armazenamento do Azure para carregar arquivos de pacote.

  2. Use o Gerenciador de Armazenamento para gerar uma SAS.

Observação

Salve essa URL SAS, que será usada posteriormente para habilitar o acesso seguro do pacote de implantação em tempo de execução.

Configurar a execução a partir de um pacote da sua conta de armazenamento

Depois de carregar o arquivo para o armazenamento de Blob e ter uma URL SAS para o arquivo, defina a configuração do WEBSITE_RUN_FROM_PACKAGE aplicativo como a URL SAS. O exemplo a seguir faz isso usando Azure CLI:

az webapp config appsettings set --name <app-name> --resource-group <resource-group-name> --settings WEBSITE_RUN_FROM_PACKAGE="<your-SAS-URL>"

Adicionar essa configuração de aplicativo faz com que seu aplicativo Web seja reiniciado. Depois que o aplicativo for reiniciado, navegue até ele e verifique se o aplicativo começou a usar corretamente o pacote de implantação. Se o aplicativo não foi iniciado corretamente, consulte o guia de solução de problemas Executar a partir do pacote.

Criptografar a configuração do aplicativo usando referências do Cofre da Chave

Agora você pode substituir o WEBSITE_RUN_FROM_PACKAGE valor da configuração do aplicativo por uma referência do Cofre da Chave para a URL codificada em SAS. Isso mantém o URL SAS criptografado no Cofre da Chave, o que fornece uma camada extra de segurança.

  1. Use o comando a seguir az keyvault create para criar uma instância do Cofre da Chave.

    az keyvault create --name "Contoso-Vault" --resource-group <group-name> --location eastus

  2. Siga estas instruções para conceder ao seu aplicativo acesso ao cofre de chaves:

  3. Use o seguinte az keyvault secret set comando para adicionar seu URL externo como um segredo no cofre de chaves:

    az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"

  4. Use o comando a seguir az webapp config appsettings set para criar a configuração do WEBSITE_RUN_FROM_PACKAGE aplicativo com o valor como uma referência do Cofre da Chave para a URL externa:

    az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"

    O <secret-version> estará na saída do comando anterior az keyvault secret set .

A atualização dessa configuração de aplicativo faz com que seu aplicativo Web seja reiniciado. Depois que o aplicativo for reiniciado, navegue até ele para verificar se ele foi iniciado corretamente usando a referência do Cofre da Chave.

Como girar o token de acesso

É uma prática recomendada girar periodicamente a chave SAS da sua conta de armazenamento. Para garantir que o aplicativo Web não perca acesso inadvertidamente, você também deve atualizar a URL SAS no Cofre da Chave.

  1. Gire a chave SAS navegando até sua conta de armazenamento no portal do Azure. Em Configurações>Teclas de acesso, selecione o ícone para girar a tecla SAS.

  2. Copie a nova URL SAS e use o seguinte comando para definir a URL SAS atualizada no cofre de chaves:

    az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"

  3. Atualize a referência do cofre de chaves na configuração do aplicativo para a nova versão secreta:

    az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"

    O <secret-version> estará na saída do comando anterior az keyvault secret set .

Como revogar o acesso aos dados do aplicativo Web

Há dois métodos para revogar o acesso do aplicativo Web à conta de armazenamento.

Girar a chave SAS para a conta de Armazenamento do Azure

Se a chave SAS da conta de armazenamento for girada, o aplicativo Web não terá mais acesso à conta de armazenamento, mas continuará a ser executado com a última versão baixada do arquivo de pacote. Reinicie o aplicativo Web para limpar a última versão baixada.

Remover o acesso do aplicativo Web ao Cofre da Chave

Você pode revogar o acesso do aplicativo Web aos dados do site desativando o acesso do aplicativo Web ao Cofre da Chave. Para fazer isso, remova a política de acesso para a identidade do aplicativo Web. Essa é a mesma identidade que você criou anteriormente ao configurar referências do cofre de chaves.

Resumo

Os ficheiros da sua aplicação estão agora encriptados em repouso na sua conta de armazenamento. Quando o aplicativo Web é iniciado, ele recupera a URL SAS do cofre de chaves. Finalmente, o aplicativo Web carrega os arquivos do aplicativo da conta de armazenamento.

Se precisar revogar o acesso do aplicativo Web à sua conta de armazenamento, você pode revogar o acesso ao cofre de chaves ou girar as chaves da conta de armazenamento, o que invalida a URL SAS.

Perguntas Frequentes

Existe algum custo adicional para executar meu aplicativo Web a partir do pacote de implantação?

Apenas o custo associado à Conta de Armazenamento do Azure e quaisquer encargos de saída aplicáveis.

Como a execução do pacote de implantação afeta meu aplicativo Web?

  • A execução do aplicativo a partir do pacote de implantação torna wwwroot/ somente leitura. Seu aplicativo recebe um erro quando tenta gravar nesse diretório.
  • Os formatos TAR e GZIP não são suportados.
  • Esse recurso não é compatível com o cache local.

Conteúdo relacionado

  • Last updated on