Habilitar criptografia dupla no nível da infraestrutura do Armazenamento do Azure
O Armazenamento do Azure criptografa automaticamente todos os dados em uma conta de armazenamento no nível do serviço, usando a criptografia AES de 256 bits, que é uma das codificações de bloco mais robustas disponíveis e compatível com FIPS 140-2. Os clientes que precisam de níveis mais altos de garantia de que seus dados estejam seguros também podem habilitar a criptografia AES de 256 bits no nível da infraestrutura do Armazenamento do Azure para criptografia dupla. A criptografia dupla de dados do Armazenamento do Azure oferece proteção contra um cenário em que pode haver comprometimento de um dos algoritmos ou de uma das chaves de criptografia. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.
A criptografia de infraestrutura pode ser habilitada para toda a conta de armazenamento ou para um escopo de criptografia dentro de uma conta. Quando a criptografia de infraestrutura é habilitada em uma conta de armazenamento ou em um escopo de criptografia, os dados são criptografados duas vezes: uma vez no nível do serviço e outra no nível da infraestrutura, com dois algoritmos de criptografia diferentes e duas chaves distintas.
A criptografia no nível do serviço dá suporte ao uso de chaves gerenciadas pela Microsoft ou de chaves gerenciadas pelo cliente com o Azure Key Vault ou com o HSM (Modelo de Segurança de Hardware) Gerenciado do Key Vault. A criptografia no nível da infraestrutura depende de chaves gerenciadas pela Microsoft e sempre usa uma chave separada.
Para criptografar os seus dados duplamente, primeiro crie uma conta de armazenamento ou um escopo de criptografia que seja configurado para criptografia de infraestrutura.
A criptografia de infraestrutura é recomendada para cenários em que a criptografia dupla de dados é necessária para requisitos de conformidade. Para a maioria dos outros cenários, a criptografia do Armazenamento do Azure fornece um algoritmo de criptografia suficientemente poderoso, sendo improvável que haja um benefício em usar a criptografia de infraestrutura.
Criar uma conta com criptografia de infraestrutura habilitada
Para habilitar a criptografia de infraestrutura para uma conta de armazenamento, você deve configurar uma conta de armazenamento para usar a criptografia de infraestrutura no momento em que criar a conta. A criptografia de infraestrutura não pode ser habilitada ou desabilitada após a criação da conta. A conta de armazenamento deve ser de tipo uso geral v2 ou de blob de blocos premium.
Se você quiser usar o portal do Azure para criar uma conta de armazenamento com a criptografia de infraestrutura habilitada, siga estas etapas:
No portal do Azure, navegue até a página de Contas de armazenamento.
Escolha o botão Adicionar para adicionar uma nova conta de armazenamento de uso geral v2 ou de blob de blocos premium.
Na guia Criptografia, localize Habilitar criptografia de infraestrutura e selecione Habilitada.
Selecione Examinar + criar para concluir a criação da conta de armazenamento.
Para verificar se a criptografia de infraestrutura está habilitada em uma conta de armazenamento com o portal do Azure, siga estas etapas:
Acesse sua conta de armazenamento no portal do Azure,
Em Configurações, escolha Criptografia.
O Azure Policy fornece uma política interna para exigir que a criptografia de infraestrutura seja habilitada para uma conta de armazenamento.
Criar um escopo de criptografia com criptografia de infraestrutura habilitada
Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração da criptografia de infraestrutura para um escopo de criptografia não pode ser modificada após a criação do escopo.