Segurança e criptografia de dados no Azure Data Manager for Energy
Este artigo fornece uma visão geral dos recursos de segurança no Gerenciador de Dados do Azure para Energia. Ele abrange as principais áreas de criptografia em repouso, criptografia em trânsito, TLS, https, chaves gerenciadas pela Microsoft e chave gerenciada pelo cliente.
Criptografar dados em repouso
O Gerenciador de Dados do Azure para Energia usa vários recursos de armazenamento para armazenar metadados, dados do usuário, dados na memória, etc. A plataforma usa a criptografia do lado do serviço para criptografar automaticamente todos os dados quando eles são mantidos na nuvem. A criptografia de dados em repouso protege seus dados para ajudar você a atender aos compromissos de conformidade e segurança de sua organização. Todos os dados no Gerenciador de Dados do Azure para Energia são criptografados, por padrão, com chaves gerenciadas pela Microsoft. Além da chave gerenciada pela Microsoft, você pode usar sua própria chave de criptografia para proteger os dados no Gerenciador de Dados do Azure para Energia. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave gerenciada pela Microsoft que criptografa os dados.
Criptografar dados em trânsito
O Gerenciador de Dados do Azure para Energia oferece suporte ao protocolo TLS (TLS 1.2) para proteger os dados durante a viagem entre os serviços de nuvem e os clientes. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de violação, interceptação e falsificação de mensagens), interoperabilidade e flexibilidade de algoritmo.
Além do TLS, quando você interage com o Gerenciador de Dados do Azure para Energia, todas as transações ocorrem por HTTPS.
Configurar as Chaves Gerenciadas pelo Cliente (CMK) na instância do Gerenciador de Dados do Azure para Energia
Importante
Não é possível editar as configurações do CMK depois que a instância do Gerenciador de Dados do Azure para Energia foi criada.
Pré-requisitos
Etapa 1: Configurar o cofre de chaves
Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. Para saber mais sobre o Azure Key Vault, confira Visão geral do Azure Key Vault e O que é o Azure Key Vault?
O uso de chaves gerenciadas pelo cliente com o Gerenciador de Dados do Azure para Energia exige que a proteção contra exclusão e limpeza seja habilitada no cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou após sua criação.
Para saber como criar um cofre de chaves com o portal do Azure, confira Início Rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Habilitar proteção contra limpeza.
Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:
- Navegue até o cofre de chaves no portal do Azure.
- Em Configurações, escolha Propriedades.
- Na seção de proteção contra limpeza, escolha Habilitar proteção contra limpeza.
Etapa 2: Adicionar uma chave
- Depois, adicione uma chave no cofre de chaves.
- Para saber como adicionar uma chave com o portal do Azure, confira Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.
- É recomendável que o tamanho da chave RSA seja 3072. Consulte Configurar chaves gerenciadas pelo cliente para sua conta do Azure Cosmos DB | Microsoft Learn.
Etapa 3: Escolher uma identidade gerenciada para autorizar o acesso ao cofre de chaves
- Ao habilitar chaves gerenciadas pelo cliente para uma instância existente do Gerenciador de Dados do Azure para Energia, você deve especificar uma identidade gerenciada que será usada para autorizar o acesso ao cofre de chaves que contiver a chave. A identidade gerenciada precisa ter permissões para acessar a chave no cofre de chaves.
- Você pode criar uma identidade gerenciada atribuída pelo usuário.
Configurar chaves gerenciadas pelo cliente para uma conta existente
- Crie uma instância do Gerenciador de Dados do Azure para Energia.
- Selecione a guia Criptografia.
Na guia de criptografia, selecione Chaves gerenciadas pelo cliente (CMK).
Para usar a CMK, você precisa selecionar o cofre de chaves em que a chave está armazenada.
Selecione Chave de criptografia em "Selecionar um cofre de chaves e uma chave".
Em seguida, selecione "Selecionar um cofre de chaves e uma chave".
Em seguida, selecione o cofre de chaves e a chave.
Em seguida, selecione a identidade gerenciada atribuída pelo usuário que será usada para autorizar o acesso ao cofre de chaves que contém a chave.
Selecione "Selecionar uma identidade de usuário". Selecione a identidade gerenciada atribuída pelo usuário que você criou nos pré-requisitos.
Essa identidade atribuída pelo usuário deve ter as permissões obter chave, listar chave, encapsular chave e desencapsular chave no cofre de chaves. Para obter mais informações sobre a designação das políticas de acesso do Azure Key Vault, confira Atribuir uma política de acesso ao cofre de chaves.
Você também pode selecionar Chave de criptografia como "Inserir chave do URI". É obrigatório que a Chave tenha a exclusão temporária e a proteção contra limpeza habilitadas. Você precisará confirmar isso marcando a caixa mostrada abaixo.
Em seguida, selecione "Examinar+Criar" depois de concluir outras guias.
Selecione o botão "Criar".
Uma instância do Gerenciador de Dados do Azure para Energia é criada com chaves gerenciadas pelo cliente.
Depois que a CMK estiver habilitada, você verá seu status na tela Visão geral.
Você pode navegar até Criptografia e ver essa CMK habilitada com a identidade gerenciada pelo usuário.
Próximas etapas
Saiba mais sobre Links Privados.