Habilitar criptografia dupla no nível de infraestrutura de Armazenamento do Azure
O Armazenamento do Azure criptografa automaticamente todos os dados em uma conta de armazenamento no nível de serviço usando criptografia AES de 256 bits, que é uma das cifras de bloco mais fortes disponíveis e é compatível com FIPS 140-2. Os clientes que exigem níveis mais altos de garantia de que seus dados estão seguros também podem habilitar a criptografia AES de 256 bits no nível de infraestrutura do Armazenamento do Azure para criptografia dupla. A criptografia dupla dos dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia pode ser comprometido. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.
A criptografia de infraestrutura pode ser habilitada para toda a conta de armazenamento ou para um escopo de criptografia dentro de uma conta. Quando a criptografia de infraestrutura é habilitada para uma conta de armazenamento ou um escopo de criptografia, os dados são criptografados duas vezes — uma no nível de serviço e outra no nível de infraestrutura — com dois algoritmos de criptografia diferentes e duas chaves diferentes.
A criptografia de nível de serviço dá suporte ao uso de chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente com o Azure Key Vault ou o Key Vault Managed Hardware Security Model (HSM). A criptografia no nível da infraestrutura depende de chaves gerenciadas pela Microsoft e sempre usa uma chave separada.
Para criptografar duplamente seus dados, você deve primeiro criar uma conta de armazenamento ou um escopo de criptografia configurado para criptografia de infraestrutura.
A criptografia de infraestrutura é recomendada para cenários em que a criptografia dupla de dados é necessária para os requisitos de conformidade. Para a maioria dos outros cenários, a criptografia do Armazenamento do Azure fornece um algoritmo de criptografia suficientemente poderoso e é improvável que haja um benefício em usar a criptografia de infraestrutura.
Criar uma conta com a criptografia de infraestrutura habilitada
Para habilitar a criptografia de infraestrutura para uma conta de armazenamento, você deve configurar uma conta de armazenamento para usar a criptografia de infraestrutura no momento em que criar a conta. A criptografia de infraestrutura não pode ser habilitada ou desabilitada após a criação da conta. A conta de armazenamento deve ser do tipo v2 de uso geral ou blob de bloco premium.
Para usar o portal do Azure para criar uma conta de armazenamento com a criptografia de infraestrutura habilitada, siga estas etapas:
No portal do Azure, navegue até a página Contas de armazenamento.
Escolha o botão Adicionar para adicionar uma nova conta de armazenamento de blob de bloco premium ou v2 de uso geral.
Na guia Criptografia, localize Habilitar criptografia de infraestrutura e selecione Habilitado.
Selecione Rever + criar para concluir a criação da conta de armazenamento.
Para verificar se a criptografia de infraestrutura está habilitada para uma conta de armazenamento com o portal do Azure, siga estas etapas:
Navegue até sua conta de armazenamento no portal do Azure,
Em Configurações, escolha Criptografia.
A Política do Azure fornece uma política interna para exigir que a criptografia de infraestrutura seja habilitada para uma conta de armazenamento.
Criar um escopo de criptografia com a criptografia de infraestrutura habilitada
Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração de criptografia de infraestrutura para um escopo de criptografia não pode ser alterada depois que o escopo é criado.