Partilhar via


Habilite a criptografia de infraestrutura para criptografia dupla de dados

O Armazenamento do Azure criptografa automaticamente todos os dados em uma conta de armazenamento no nível de serviço usando AES de 256 bits com criptografia de modo GCM, uma das cifras de bloco mais fortes disponíveis, e é compatível com FIPS 140-2. Os clientes que exigem níveis mais altos de garantia de que seus dados estão seguros também podem habilitar o AES de 256 bits com criptografia CBC no nível de infraestrutura do Armazenamento do Azure para criptografia dupla. A criptografia dupla dos dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia pode ser comprometido. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.

A criptografia de infraestrutura pode ser habilitada para toda a conta de armazenamento ou para um escopo de criptografia dentro de uma conta. Quando a criptografia de infraestrutura é habilitada para uma conta de armazenamento ou um escopo de criptografia, os dados são criptografados duas vezes — uma no nível de serviço e outra no nível de infraestrutura — com dois algoritmos de criptografia diferentes e duas chaves diferentes.

A criptografia de nível de serviço dá suporte ao uso de chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente com o Azure Key Vault ou o Key Vault Managed Hardware Security Model (HSM). A criptografia no nível da infraestrutura depende de chaves gerenciadas pela Microsoft e sempre usa uma chave separada. Para obter mais informações sobre o gerenciamento de chaves com a criptografia do Armazenamento do Azure, consulte Sobre o gerenciamento de chaves de criptografia.

Para criptografar duplamente seus dados, você deve primeiro criar uma conta de armazenamento ou um escopo de criptografia configurado para criptografia de infraestrutura. Este artigo descreve como habilitar a criptografia de infraestrutura.

Importante

A criptografia de infraestrutura é recomendada para cenários em que a criptografia dupla de dados é necessária para os requisitos de conformidade. Para a maioria dos outros cenários, a criptografia do Armazenamento do Azure fornece um algoritmo de criptografia suficientemente poderoso e é improvável que haja um benefício em usar a criptografia de infraestrutura.

Criar uma conta com a criptografia de infraestrutura habilitada

Para habilitar a criptografia de infraestrutura para uma conta de armazenamento, você deve configurar uma conta de armazenamento para usar a criptografia de infraestrutura no momento em que criar a conta. A criptografia de infraestrutura não pode ser habilitada ou desabilitada após a conta ter sido criada. A conta de armazenamento deve ser do tipo v2 de uso geral, blob de bloco premium, blob de página premium ou compartilhamentos de arquivos premium.

Para usar o portal do Azure para criar uma conta de armazenamento com a criptografia de infraestrutura habilitada, siga estas etapas:

  1. No portal do Azure, navegue até a página Contas de armazenamento .

  2. Escolha o botão Adicionar para adicionar uma nova v2 de uso geral, blob de bloco premium, blob de página premium ou conta de compartilhamento de arquivos premium.

  3. Na guia Criptografia, localize Habilitar criptografia de infraestrutura e selecione Habilitado.

  4. Selecione Rever + criar para concluir a criação da conta de armazenamento.

    Captura de tela mostrando como habilitar a criptografia de infraestrutura ao criar uma conta.

Para verificar se a criptografia de infraestrutura está habilitada para uma conta de armazenamento com o portal do Azure, siga estas etapas:

  1. Navegue para a sua conta de armazenamento no portal do Azure.

  2. Em Segurança + rede, escolha Criptografia.

    Captura de tela mostrando como verificar se a criptografia de infraestrutura está habilitada para a conta.

A Política do Azure fornece uma política interna para exigir que a criptografia de infraestrutura seja habilitada para uma conta de armazenamento. Para obter mais informações, consulte a seção Armazenamento em Definições de política interna da Política do Azure.

Criar um escopo de criptografia com a criptografia de infraestrutura habilitada

Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração de criptografia de infraestrutura para um escopo de criptografia não pode ser alterada após a criação do escopo. Para obter mais informações, consulte Criar um escopo de criptografia.

Próximos passos