Escopos de criptografia para armazenamento de Blob

Os escopos de criptografia permitem o gerenciamento da criptografia com uma chave que tem como escopo um contêiner ou um blob individual. É possível usar escopos de criptografia para criar limites seguros entre os dados que residem na mesma conta de armazenamento, mas pertencem a clientes diferentes.

Para obter mais informações sobre como trabalhar com escopos de criptografia, consulte Criar e gerenciar escopos de criptografia.

Como funcionam os escopos de criptografia

Por padrão, uma conta de armazenamento é criptografada com uma chave que tem como escopo toda a conta de armazenamento. Ao definir um escopo de criptografia, você especifica uma chave que pode ter como escopo um contêiner ou um blob individual. Quando o escopo de criptografia é aplicado a um blob, este é criptografado com essa chave. Quando o escopo de criptografia é aplicado a um contêiner, ele serve como o escopo padrão para blobs nesse contêiner, para que todos os blobs carregados nesse contêiner possam ser criptografados com a mesma chave. O contêiner pode ser configurado para reforçar o escopo de criptografia padrão para todos os blobs no contêiner ou para permitir que um blob individual seja carregado no contêiner com um escopo de criptografia que não o padrão.

As operações de leitura em um blob criado com um escopo de criptografia ocorrem de forma transparente, desde que o escopo de criptografia não esteja desabilitado.

Gerenciamento de chaves

Ao definir um escopo de criptografia, é possível especificar se o escopo é protegido com uma chave gerenciada pela Microsoft ou com uma chave gerenciada pelo cliente, a qual é armazenada no Azure Key Vault. Escopos de criptografia diferentes na mesma conta de armazenamento podem usar chaves gerenciadas pela Microsoft ou pelo cliente. Também é possível alternar o tipo de chave usada para proteger um escopo de criptografia de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft ou vice-versa a qualquer momento. Para obter mais informações, confira Chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure. Para obter mais informações sobre chaves gerenciadas pela Microsoft, consulte Sobre gerenciamento de chaves de criptografia.

Se definir um escopo de criptografia com uma chave gerenciada pelo cliente, você poderá optar por atualizar a versão da chave automaticamente ou manualmente. Se optar por atualizar automaticamente a versão de chave, o Armazenamento do Azure verificará o cofre de chaves ou o HSM gerenciado diariamente para obter uma nova versão da chave gerenciada pelo cliente e atualizará automaticamente a chave para a versão mais recente. Para obter mais informações sobre como atualizar a versão de chave para uma chave gerenciada pelo cliente, consulte Atualizar a versão da chave.

O Azure Policy fornece uma política interna para exigir que os escopos de criptografia usem chaves gerenciadas pelo cliente. Para obter mais informações, consulte a seção Armazenamento nas Definições de política interna do Azure Policy.

Uma conta de armazenamento pode ter até 10.000 escopos de criptografia protegidos com chaves gerenciadas pelo cliente para as quais a versão da chave é atualizada automaticamente. Se sua conta de armazenamento já tiver 10.000 escopos de criptografia protegidos com chaves gerenciadas pelo cliente que estão sendo atualizadas automaticamente, a versão da chave deverá ser atualizada manualmente para todos os escopos de criptografia adicionais protegidos por chaves gerenciadas pelo cliente.

Criptografia de infraestrutura

A criptografia de infraestrutura no Armazenamento do Azure permite a criptografia dupla de dados. Com a criptografia de infraestrutura, os dados são criptografados duas vezes — uma vez no nível do serviço e outra no nível da infraestrutura — com dois algoritmos de criptografia diferentes e duas chaves distintas.

A criptografia de infraestrutura tem suporte para um escopo de criptografia, bem como no nível da conta de armazenamento. Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração da criptografia de infraestrutura para um escopo de criptografia não pode ser alterada depois que o escopo é criado.

Para obter mais informações sobre criptografia de infraestrutura, confira Habilitar a criptografia de infraestrutura para criptografia dupla de dados.

Escopos de criptografia para contêineres e blobs

Ao criar um contêiner, você pode especificar um escopo de criptografia padrão para os blobs que serão carregados posteriormente nesse contêiner. Ao especificar um escopo de criptografia padrão para um contêiner, é possível decidir como o escopo de criptografia padrão é reforçado:

  • É possível exigir que todos os blobs carregados no contêiner usem o escopo de criptografia padrão. Nesse caso, cada blob no contêiner é criptografado com a mesma chave.
  • É possível permitir que um cliente substitua o escopo de criptografia padrão para o contêiner, para que um blob possa ser carregado com um escopo de criptografia diferente do escopo padrão. Nesse caso, os blobs no contêiner podem ser criptografados com chaves diferentes.

A tabela a seguir resume o comportamento de uma operação de carregamento de blobs, dependendo de como o escopo de criptografia padrão é configurado para o contêiner:

O escopo de criptografia definido no contêiner é... Carregar um blob com o escopo de criptografia padrão... Carregar um blob com um escopo de criptografia diferente do escopo padrão...
Um escopo de criptografia padrão com substituições permitidas Tem êxito Tem êxito
Um escopo de criptografia padrão com substituições permitidas Tem êxito Falhas

Um escopo de criptografia padrão deve ser especificado para um contêiner no momento em que o contêiner é criado.

Se nenhum escopo de criptografia padrão for especificado para o contêiner, será possível carregar um blob usando qualquer escopo de criptografia definido por você para a conta de armazenamento. O escopo de criptografia deve ser especificado no momento em que o blob é carregado.

Observação

Quando você carrega um novo blob com um escopo de criptografia, não pode alterar a camada de acesso padrão para ele. Você também não pode alterar a camada de acesso de um blob existente que usa um escopo de criptografia. Para saber mais sobre camadas de acesso, confira camadas de acesso frequente, esporádico e de arquivos para dados de blobs.

Desabilitar um escopo de criptografia

Quando um escopo de criptografia é desabilitado, todas as operações de leitura ou gravação subsequentes feitas com o escopo de criptografia falharão com o código de erro HTTP 403 (proibido). Caso reabilite o escopo de criptografia, as operações de leitura e gravação continuarão normalmente de novo.

Se o escopo de criptografia estiver protegido com uma chave gerenciada pelo cliente e você revogar a chave no cofre de chaves, os dados ficarão inacessíveis. Desabilite o escopo de criptografia antes de revogar a chave no cofre de chaves para evitar ser cobrado pelo escopo de criptografia.

Tenha em mente que as chaves gerenciadas pelo cliente são protegidas por exclusão temporária e pela proteção de limpeza no cofre de chaves, e uma chave excluída está sujeita ao comportamento definido por essas propriedades. Para obter mais informações, consulte um dos seguintes tópicos na documentação do Azure Key Vault:

Importante

Não é possível excluir um escopo de criptografia.

Cobrança para escopos de criptografia

Ao ativar um escopo de criptografia, você será cobrado por no mínimo 30 dias. Após 30 dias, as cobranças por um escopo de criptografia serão rateadas por hora.

Depois de ativar o escopo de criptografia, se você desativá-lo dentro de 30 dias, ainda será cobrado por 30 dias. Se você desabilitar o escopo de criptografia após 30 dias, será cobrado por esses 30 dias mais o número de horas em que o escopo de criptografia esteve em vigor após 30 dias.

Desabilite os escopos de criptografia que não são necessários para evitar cobranças desnecessárias.

Para saber mais sobre preços de escopos de criptografia, confira os Preços de Armazenamento de Blobs.

Suporte a recursos

O suporte para esse recurso pode ser afetado ao habilitar o Data Lake Storage Gen2, o protocolo NFS (Sistema de Arquivos de Rede) 3.0 ou o protocolo SFTP (Protocolo de Transferência de Arquivo SSH). Se você tiver habilitado qualquer um desses recursos, consulte o Suporte a recursos de Armazenamento de Blobs nas contas de Armazenamento do Azure para avaliar o suporte para esse recurso.

Próximas etapas