Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A criptografia no Azure Data Lake Storage Gen1 ajuda você a proteger seus dados, implementar políticas de segurança corporativa e atender aos requisitos de conformidade regulamentar. Este artigo fornece uma visão geral do design e discute alguns dos aspetos técnicos da implementação.
O Data Lake Storage Gen1 suporta criptografia de dados em repouso e em trânsito. Para dados em repouso, o Data Lake Storage Gen1 suporta criptografia transparente "ativada por padrão". Aqui está o que esses termos significam em um pouco mais de detalhes:
- Ativado por padrão: quando você cria uma nova conta do Data Lake Storage Gen1, a configuração padrão habilita a criptografia. Depois disso, os dados armazenados no Data Lake Storage Gen1 são sempre criptografados antes de serem armazenados em mídia persistente. Esse é o comportamento de todos os dados e não pode ser alterado depois que uma conta é criada.
- Transparente: o Data Lake Storage Gen1 criptografa automaticamente os dados antes da persistência e descriptografa os dados antes da recuperação. A criptografia é configurada e gerenciada no nível da conta Data Lake Storage Gen1 por um administrador. Nenhuma alteração é feita nas APIs de acesso a dados. Assim, nenhuma alteração é necessária em aplicativos e serviços que interagem com o Data Lake Storage Gen1 devido à criptografia.
Os dados em trânsito (também conhecidos como dados em movimento) também são sempre criptografados no Data Lake Storage Gen1. Além de criptografar dados antes de armazenar em mídia persistente, os dados também são sempre protegidos em trânsito usando HTTPS. HTTPS é o único protocolo suportado para as interfaces REST do Data Lake Storage Gen1. O diagrama a seguir mostra como os dados se tornam criptografados no Data Lake Storage Gen1:
Configurar a criptografia com o Data Lake Storage Gen1
A criptografia para o Data Lake Storage Gen1 é configurada durante a criação da conta e está sempre habilitada por padrão. Você pode gerenciar as chaves sozinho ou permitir que o Data Lake Storage Gen1 as gerencie para você (esse é o padrão).
Para obter mais informações, consulte Introdução.
Como funciona a criptografia no Data Lake Storage Gen1
As informações a seguir abordam como gerenciar chaves mestras de criptografia e explicam os três tipos diferentes de chaves que você pode usar na criptografia de dados para o Data Lake Storage Gen1.
Chaves mestras de criptografia
O Data Lake Storage Gen1 fornece dois modos para gerenciamento de chaves mestras de criptografia (MEKs). Por enquanto, suponha que a chave de criptografia mestra seja a chave de nível superior. O acesso à chave de criptografia mestra é necessário para descriptografar todos os dados armazenados no Data Lake Storage Gen1.
Os dois modos para gerenciar a chave mestra de criptografia são os seguintes:
- Chaves gerenciadas pelo serviço
- Chaves geridas pelo cliente
Em ambos os modos, a chave de criptografia mestra é protegida armazenando-a no Cofre da Chave do Azure. O Cofre da Chave é um serviço totalmente gerenciado e altamente seguro no Azure que pode ser usado para proteger chaves criptográficas. Para obter mais informações, consulte Cofre de chaves.
Aqui está uma breve comparação dos recursos fornecidos pelos dois modos de gerenciamento dos MEKs.
| Pergunta | Chaves gerenciadas pelo serviço | Chaves geridas pelo cliente |
|---|---|---|
| Como são armazenados os dados? | Sempre criptografado antes de ser armazenado. | Sempre criptografado antes de ser armazenado. |
| Onde a Chave Mestra de Criptografia é armazenada? | Repositório de Chaves | Repositório de Chaves |
| Há alguma chave de encriptação armazenada no exterior do Cofre da Chave? | Não | Não |
| O MEK pode ser recuperado pelo Key Vault? | Não. Depois que o MEK é armazenado no Cofre da Chave, ele só pode ser usado para criptografia e descriptografia. | Não. Depois que o MEK é armazenado no Cofre da Chave, ele só pode ser usado para criptografia e descriptografia. |
| Quem é o proprietário da instância do Key Vault e do MEK? | O serviço Data Lake Storage Gen1 | Você possui a instância do Cofre da Chave, que pertence à sua própria assinatura do Azure. O MEK no Key Vault pode ser gerenciado por software ou hardware. |
| É possível revogar o acesso ao MEK para o serviço Data Lake Storage Gen1? | Não | Sim. Você pode gerenciar listas de controle de acesso no Cofre de Chaves e remover entradas de controle de acesso à identidade do serviço de Data Lake Storage Gen1. |
| Você pode excluir permanentemente o MEK? | Não | Sim. Se você excluir o MEK do Cofre de Chaves, os dados na conta do Data Lake Storage Gen1 não poderão ser descriptografados por ninguém, incluindo o serviço Data Lake Storage Gen1. Se você tiver feito backup explícito do MEK antes de excluí-lo do Cofre da Chave, o MEK poderá ser restaurado e os dados poderão ser recuperados. No entanto, se você não tiver feito backup do MEK antes de excluí-lo do Cofre da Chave, os dados na conta do Data Lake Storage Gen1 nunca poderão ser descriptografados posteriormente. |
Além dessa diferença de quem gerencia o MEK e a instância do Key Vault em que ele reside, o resto do design é o mesmo para ambos os modos.
É importante lembrar o seguinte ao escolher o modo para as chaves mestras de criptografia:
- Você pode escolher se deseja usar chaves gerenciadas pelo cliente ou chaves gerenciadas pelo serviço ao provisionar uma conta do Data Lake Storage Gen1.
- Depois que uma conta do Data Lake Storage Gen1 é provisionada, o modo não pode ser alterado.
Encriptação e desencriptação de dados
Existem três tipos de chaves que são usadas no design da criptografia de dados. A tabela a seguir fornece um resumo:
| Chave | Abreviatura | Associado a | Local de armazenamento | Tipo | Observações |
|---|---|---|---|---|---|
| Chave mestra de criptografia | MEK | Uma conta do Data Lake Storage Gen1 | Repositório de Chaves | Assimétrica | Ele pode ser gerenciado pelo Data Lake Storage Gen1 ou por você. |
| Chave de criptografia de dados | DEK | Uma conta do Data Lake Storage Gen1 | Armazenamento persistente, gerenciado pelo serviço Data Lake Storage Gen1 | Simétrica | O DEK é criptografado pelo MEK. O DEK criptografado é o que é armazenado em mídia persistente. |
| Bloquear chave de criptografia | BEK | Um bloco de dados | Nenhum | Simétrica | O BEK é derivado do DEK e do bloco de dados. |
O diagrama a seguir ilustra esses conceitos:
Pseudo algoritmo quando um ficheiro deve ser desencriptado:
- Verifique se a DEK da conta Data Lake Storage Gen1 está armazenada em cache e pronta para uso.
- Caso contrário, leia o DEK criptografado do armazenamento persistente e envie-o para o Cofre da Chave para ser descriptografado. Guarde em cache o DEK desencriptado na memória. Está agora pronto a ser utilizado.
- Para cada bloco de dados no ficheiro:
- Leia o bloco criptografado de dados do armazenamento persistente.
- Gere o BEK a partir do DEK e do bloco de dados criptografado.
- Use o BEK para desencriptar dados.
Pseudo-algoritmo quando um bloco de dados deve ser encriptado:
- Verifique se a DEK da conta Data Lake Storage Gen1 está armazenada em cache e pronta para uso.
- Caso contrário, leia o DEK criptografado do armazenamento persistente e envie-o para o Cofre da Chave para ser descriptografado. Guarde em cache o DEK desencriptado na memória. Está agora pronto a ser utilizado.
- Gere um BEK exclusivo para o bloco de dados da DEK.
- Criptografe o bloco de dados com o BEK, usando criptografia AES-256.
- Armazene o bloco de dados criptografados no armazenamento persistente.
Observação
O DEK é sempre armazenado criptografado pelo MEK, seja em mídia persistente ou armazenado em cache na memória.
Rotação de chaves
Quando você estiver usando chaves gerenciadas pelo cliente, poderá girar o MEK. Para saber como configurar uma conta do Data Lake Storage Gen1 com chaves gerenciadas pelo cliente, consulte Introdução.
Pré-requisitos
Ao configurar a conta do Data Lake Storage Gen1, você optou por usar suas próprias chaves. Esta opção não pode ser alterada após a criação da conta. As etapas a seguir pressupõem que você esteja usando chaves gerenciadas pelo cliente (ou seja, você escolheu suas próprias chaves do Cofre de Chaves).
Observe que, se você usar as opções padrão para criptografia, seus dados serão sempre criptografados usando chaves gerenciadas pelo Data Lake Storage Gen1. Nessa opção, você não tem a capacidade de girar chaves, pois elas são gerenciadas pelo Data Lake Storage Gen1.
Como girar o MEK no Data Lake Storage Gen1
Entre no portal do Azure.
Navegue até a instância do Cofre da Chave que armazena as chaves associadas à sua conta do Data Lake Storage Gen1. Selecione Chaves.
Selecione a chave associada à sua conta do Data Lake Storage Gen1 e crie uma nova versão dessa chave. Observe que, atualmente, o Data Lake Storage Gen1 suporta apenas a rotação de chaves para uma nova versão de uma chave. Não suporta a rotação para uma chave diferente.
Navegue até a conta Data Lake Storage Gen1 e selecione Criptografia.
Uma mensagem notifica que uma nova versão da chave está disponível. Clique Rotacionar chave para atualizar a chave para a nova versão.
Esta operação deve demorar menos de dois minutos e não há tempo de inatividade esperado devido à rotação das chaves. Após a conclusão da operação, a nova versão da chave está em uso.
Importante
Depois que a operação de rotação de chave for concluída, a versão antiga da chave não será mais usada ativamente para criptografar novos dados. No entanto, pode haver casos em que o acesso a dados mais antigos possa necessitar da chave antiga. Para permitir a leitura desses dados mais antigos, não exclua a chave antiga