Partilhar via

Criptografia no Azure

  • Artigo

As salvaguardas tecnológicas no Azure, como comunicações encriptadas e processos operacionais, ajudam a manter os seus dados seguros. Também tem a flexibilidade de implementar funcionalidades de encriptação adicionais e gerir as suas próprias chaves criptográficas. Independentemente da configuração do cliente, a Microsoft aplica a encriptação para proteger os dados dos clientes no Azure. A Microsoft também lhe permite controlar os seus dados alojados no Azure através de uma série de tecnologias avançadas para encriptar, controlar e gerir chaves criptográficas e controlar e auditar o acesso aos dados. Além disso, o Armazenamento do Azure fornece um conjunto abrangente de capacidades de segurança que, em conjunto, permitem aos programadores criar aplicações seguras.

O Azure oferece muitos mecanismos para proteger dados à medida que se move de uma localização para outra. A Microsoft utiliza o TLS para proteger os dados quando viajam entre os serviços cloud e os clientes. Os datacenters da Microsoft negoceiam uma ligação TLS com sistemas cliente que se ligam aos serviços do Azure. O Segredo de Reencaminhamento (FS) protege as ligações entre os sistemas cliente dos clientes e os serviços cloud da Microsoft por chaves exclusivas. Connections também utilizam comprimentos de chave de encriptação de 2048 bits baseados em RSA. Esta combinação dificulta a interceção e o acesso a dados em trânsito.

Os dados podem ser protegidos em trânsito entre uma aplicação e o Azure através da encriptação do lado do cliente, HTTPS ou SMB 3.0. Pode ativar a encriptação para o tráfego entre as suas próprias máquinas virtuais (VMs) e os seus utilizadores. Com as Redes Virtuais do Azure, pode utilizar o protocolo IPsec padrão da indústria para encriptar o tráfego entre o gateway de VPN empresarial e o Azure, bem como entre as VMs localizadas no seu Rede Virtual.

Para dados inativos, o Azure oferece muitas opções de encriptação, como suporte para AES-256, permitindo-lhe escolher o cenário de armazenamento de dados que melhor se adequa às suas necessidades. Os dados podem ser encriptados automaticamente quando escritos no Armazenamento do Microsoft Azure com a Encriptação do Serviço de Armazenamento (SSE) e os discos de sistema operativo e dados utilizados pelas VMs podem ser encriptados. Para obter mais informações, veja Recomendações de segurança para máquinas virtuais do Windows no Azure. Além disso, o acesso delegado a objetos de dados no Armazenamento do Azure pode ser concedido através de Assinaturas de Acesso Partilhado. O Azure também fornece encriptação para dados inativos através da Encriptação de Dados Transparente para SQL do Azure Base de Dados e Data Warehouse.

Para obter mais informações sobre a encriptação no Azure, veja Descrição geral da encriptação do Azure e Azure Data Encryption-at-Rest.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Azure Disk Encryption

O Azure Disk Encryption permite-lhe encriptar os discos de VM IaaS (Infraestrutura como Serviço) do Windows e Linux. O Azure Disk Encryption utiliza a funcionalidade BitLocker do Windows e a funcionalidade DM-Crypt do Linux para fornecer encriptação ao nível do volume para o sistema operativo e os discos de dados. Também garante que todos os dados nos discos da VM são encriptados inativos no armazenamento do Azure. O Azure Disk Encryption está integrado no Azure Key Vault para o ajudar a controlar, gerir e auditar a utilização das chaves de encriptação e dos segredos.

Para obter mais informações, veja Recomendações de segurança para máquinas virtuais do Windows no Azure.

Criptografia do Serviço de Armazenamento do Azure

Com a Encriptação do Serviço de Armazenamento do Azure, o Armazenamento do Azure encripta automaticamente os dados antes de os manter no armazenamento e desencripta os dados antes da obtenção. Os processos de encriptação, desencriptação e gestão de chaves são totalmente transparentes para os utilizadores. O Azure Storage Service Encryption pode ser utilizado para Armazenamento de Blobs do Azure e Arquivos do Azure. Também pode utilizar chaves de encriptação geridas pela Microsoft com a Encriptação do Serviço de Armazenamento do Azure ou pode utilizar as suas próprias chaves de encriptação. (Para obter informações sobre como utilizar as suas próprias chaves, veja Encriptação do Serviço de Armazenamento com chaves geridas pelo cliente no Azure Key Vault. Para obter informações sobre como utilizar chaves geridas pela Microsoft, veja Encriptação do Serviço de Armazenamento para Dados Inativos.) Além disso, pode automatizar a utilização da encriptação. Por exemplo, pode ativar ou desativar programaticamente a Encriptação do Serviço de Armazenamento numa conta de armazenamento com a API REST do Fornecedor de Recursos de Armazenamento do Azure, a Biblioteca de Cliente do Fornecedor de Recursos de Armazenamento para .NET, Azure PowerShell ou a CLI do Azure.

Alguns serviços do Microsoft 365 utilizam o Azure para armazenar dados. Por exemplo, o SharePoint Online e OneDrive for Business armazenar dados no armazenamento de Blobs do Azure e o Microsoft Teams armazena dados do respetivo serviço de chat em tabelas, blobs e filas. Além disso, a funcionalidade Gestor de Conformidade no portal de conformidade do Microsoft Purview armazena dados introduzidos pelo cliente de forma encriptada no Azure Cosmos DB, uma base de dados de plataforma como serviço (PaaS), distribuída globalmente e com vários modelos. O Azure Storage Service Encryption encripta dados armazenados no armazenamento de Blobs do Azure e em tabelas e o Azure Disk Encryption encripta dados em filas, bem como discos de máquina virtual Do Windows e IaaS para fornecer encriptação de volume para o sistema operativo e o disco de dados. A solução garante que todos os dados nos discos da máquina virtual são encriptados inativos no armazenamento do Azure. A encriptação inativa no Azure Cosmos DB é implementada através de várias tecnologias de segurança, incluindo sistemas de armazenamento de chaves seguras, redes encriptadas e APIs criptográficas.

Azure Key Vault

A gestão segura de chaves não é apenas essencial para as melhores práticas de encriptação; também é essencial para proteger dados na cloud. O Azure Key Vault permite-lhe encriptar chaves e pequenos segredos, como palavras-passe que utilizam chaves armazenadas em módulos de segurança de hardware (HSMs). O Azure Key Vault é a solução recomendada da Microsoft para gerir e controlar o acesso a chaves de encriptação utilizadas pelos serviços cloud. As permissões para aceder a chaves podem ser atribuídas a serviços ou a utilizadores com contas Microsoft Entra. O Azure Key Vault alivia as organizações da necessidade de configurar, aplicar patches e manter HSMs e software de gestão de chaves. Com o Azure Key Vault, a Microsoft nunca vê as suas chaves e as aplicações não têm acesso direto às mesmas; mantém o controlo. Também pode importar ou gerar chaves em HSMs. As organizações que têm uma subscrição que inclui o Azure Proteção de Informações podem configurar o inquilino do Azure Proteção de Informações para utilizar uma chave gerida pelo cliente Bring Your Own Key (BYOK) e registar a respetiva utilização.