Criptografia no Azure

As proteções tecnológicas no Azure, como comunicações criptografadas e processos operacionais, ajudam a manter seus dados seguros. Você também tem a flexibilidade de implementar recursos adicionais de criptografia e gerenciar suas próprias chaves criptográficas. Independentemente da configuração do cliente, a Microsoft aplica criptografia para proteger os dados do cliente no Azure. A Microsoft também permite controlar seus dados hospedados no Azure por meio de uma série de tecnologias avançadas para criptografar, controlar e gerenciar chaves criptográficas e controlar e auditar o acesso aos dados. Além disso, o Armazenamento do Azure fornece um conjunto abrangente de recursos de segurança que, juntos, permitem que os desenvolvedores criem aplicativos seguros.

O Azure oferece muitos mecanismos para proteger dados à medida que ele passa de um local para outro. A Microsoft usa o TLS para proteger dados quando ele está viajando entre os serviços de nuvem e os clientes. Os data centers da Microsoft negociam uma conexão TLS com sistemas cliente que se conectam aos serviços do Azure. O FS (Segredo de Encaminhamento) protege as conexões entre os sistemas cliente dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação dificulta a interceptação e o acesso de dados que estão em trânsito.

Os dados podem ser protegidos em trânsito entre um aplicativo e o Azure usando criptografia do lado do cliente, HTTPS ou SMB 3.0. Você pode habilitar a criptografia para o tráfego entre suas próprias VMs (máquinas virtuais) e seus usuários. Com as Redes Virtuais do Azure, você pode usar o protocolo IPsec padrão do setor para criptografar o tráfego entre o gateway de VPN corporativo e o Azure, bem como entre as VMs localizadas em seu Rede Virtual.

Para dados em repouso, o Azure oferece muitas opções de criptografia, como suporte para o AES-256, permitindo que você escolha o cenário de armazenamento de dados que melhor atenda às suas necessidades. Os dados podem ser criptografados automaticamente quando gravados no Armazenamento do Azure usando a Criptografia do Serviço de Armazenamento e os discos de dados e do sistema operacional usados por VMs podem ser criptografados. Para obter mais informações, confira Recomendações de segurança para máquinas virtuais do Windows no Azure. Além disso, o acesso delegado a objetos de dados no Armazenamento do Azure pode ser concedido usando assinaturas de acesso compartilhado. O Azure também fornece criptografia para dados em repouso usando a Criptografia de Dados Transparente para SQL do Azure Banco de Dados e Data Warehouse.

Para obter mais informações sobre criptografia no Azure, consulte Visão geral de criptografia do Azure e Azure Data Encryption-at-Rest.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Criptografia de Disco do Azure

A Criptografia de Disco do Azure permite criptografar seus discos de VM iaaS (Infraestrutura como serviço) do Windows e linux. A Criptografia de Disco do Azure usa o recurso BitLocker do Windows e o recurso DM-Crypt do Linux para fornecer criptografia em nível de volume para o sistema operacional e os discos de dados. Ele também garante que todos os dados nos discos de VM sejam criptografados em repouso no armazenamento do Azure. A Criptografia de Disco do Azure é integrada ao Azure Key Vault para ajudá-lo a controlar, gerenciar e auditar o uso das chaves e segredos de criptografia.

Para obter mais informações, confira Recomendações de segurança para máquinas virtuais do Windows no Azure.

Criptografia do Serviço de Armazenamento do Azure

Com a Criptografia do Serviço de Armazenamento do Azure, o Armazenamento do Azure criptografa automaticamente os dados antes de persistê-los no armazenamento e descriptografa dados antes da recuperação. Os processos de criptografia, descriptografia e gerenciamento de chaves são totalmente transparentes para os usuários. A Criptografia do Serviço de Armazenamento do Azure pode ser usada para Armazenamento de Blobs do Azure e Arquivos do Azure. Você também pode usar chaves de criptografia gerenciadas pela Microsoft com a Criptografia do Serviço de Armazenamento do Azure ou usar suas próprias chaves de criptografia. (Para obter informações sobre como usar suas próprias chaves, consulte Criptografia do Serviço de Armazenamento usando chaves gerenciadas pelo cliente no Azure Key Vault. Para obter informações sobre como usar chaves gerenciadas pela Microsoft, consulte Criptografia do Serviço de Armazenamento para Dados em Repouso.) Além disso, você pode automatizar o uso da criptografia. Por exemplo, você pode habilitar ou desabilitar programaticamente a Criptografia do Serviço de Armazenamento em uma conta de armazenamento usando a API REST do Provedor de Recursos de Armazenamento do Azure, a Biblioteca de Clientes do Provedor de Recursos de Armazenamento para .NET, Azure PowerShell ou a CLI do Azure.

Alguns serviços do Microsoft 365 usam o Azure para armazenar dados. Por exemplo, o SharePoint Online e OneDrive for Business armazenam dados no armazenamento de Blobs do Azure e o Microsoft Teams armazena dados para seu serviço de chat em tabelas, blobs e filas. Além disso, o recurso do Gerenciador de Conformidade no portal de conformidade do Microsoft Purview armazena dados inseridos pelo cliente em formulário criptografado no Azure Cosmos DB, um PaaS (Platform as a Service), banco de dados multi modelado distribuído globalmente. A Criptografia do Serviço de Armazenamento do Azure criptografa dados armazenados no Armazenamento de Blobs do Azure e em tabelas, e a Criptografia de Disco do Azure criptografa dados em filas, bem como discos de máquina virtual Do Windows e IaaS para fornecer criptografia de volume para o sistema operacional e o disco de dados. A solução garante que todos os dados nos discos da máquina virtual sejam criptografados em repouso no armazenamento do Azure. A criptografia em repouso no Azure Cosmos DB é implementada usando várias tecnologias de segurança, incluindo sistemas de armazenamento de chaves seguras, redes criptografadas e APIs criptográficas.

Azure Key Vault

O gerenciamento seguro de chaves não é apenas essencial para as práticas recomendadas de criptografia; também é essencial para proteger dados na nuvem. O Azure Key Vault permite criptografar chaves e pequenos segredos, como senhas que usam chaves armazenadas em HSMs (módulos de segurança de hardware). O Azure Key Vault é a solução recomendada da Microsoft para gerenciar e controlar o acesso a chaves de criptografia usadas pelos serviços de nuvem. As permissões para acessar chaves podem ser atribuídas a serviços ou a usuários com contas do Azure Active Directory. O Azure Key Vault alivia as organizações da necessidade de configurar, corrigir e manter HSMs e software de gerenciamento de chaves. Com o Azure Key Vault, a Microsoft nunca vê que suas chaves e aplicativos não têm acesso direto a elas; você mantém o controle. Você também pode importar ou gerar chaves em HSMs. As organizações que têm uma assinatura que inclui o Azure Proteção de Informações podem configurar seu locatário do Azure Proteção de Informações para usar uma chave gerenciada pelo cliente Bring Your Own Key (BYOK)) e registrar seu uso.