Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
68 lines (45 sloc) 6.95 KB
title description services author ms.service ms.topic ms.date ms.author ms.reviewer ms.subservice ms.openlocfilehash ms.sourcegitcommit ms.translationtype ms.contentlocale ms.lasthandoff ms.locfileid
Criptografia de armazenamento do Azure para dados em repouso | Microsoft Docs
O armazenamento do Azure protege seus dados criptografando-os automaticamente antes persisti-los para a nuvem. Todos os dados em um armazenamento do Azure são criptografados e descriptografados de maneira transparente usando criptografia AES de 256 bits e é compatível com o FIPS 140-2.
storage
tamram
storage
article
05/15/2019
tamram
cbrooks
common
1e95adbd1a564fb34d3f0506ac1cc25bc5a63c62
d4dfbc34a1f03488e1b7bc5e711a11b72c717ada
MT
pt-BR
06/13/2019
65790064

Criptografia de armazenamento do Azure para dados em repouso

O armazenamento do Azure criptografa automaticamente seus dados quando persisti-los para a nuvem. A criptografia protege seus dados e para ajudar você a atender aos seus compromissos de conformidade e segurança organizacionais. Dados no armazenamento do Azure são criptografados e descriptografados de maneira transparente usando 256 bits a criptografia AES, um dos codificadores de blocos potentes e é compatível com o FIPS 140-2. Criptografia de armazenamento do Azure é semelhante a criptografia do BitLocker no Windows.

Criptografia de armazenamento do Azure está habilitada para todas as contas de armazenamento novas e existentes e não pode ser desabilitada. Porque seus dados são protegidos por padrão, você não precisa modificar seu código ou aplicativos para tirar proveito da criptografia de armazenamento do Azure.

Contas de armazenamento são criptografadas independentemente do seu nível de desempenho (standard ou premium) ou o modelo de implantação (Azure Resource Manager ou clássico). Todas as opções de redundância de armazenamento do Azure dá suporte à criptografia, e todas as cópias de uma conta de armazenamento são criptografadas. Todos os recursos de armazenamento do Azure são criptografados, incluindo blobs, discos, arquivos, filas e tabelas. Todos os metadados de objeto também são criptografados.

A criptografia não afeta o desempenho do armazenamento do Azure. Não há nenhum custo adicional para a criptografia de armazenamento do Azure.

Para obter mais informações sobre os módulos criptográficos subjacente de criptografia de armazenamento do Azure, consulte Cryptography API: Próxima Geração.

Gerenciamento de chaves

Você pode contar com chaves gerenciadas pela Microsoft para a criptografia de sua conta de armazenamento, ou você pode gerenciar a criptografia com suas próprias chaves, junto com o Azure Key Vault.

Chaves gerenciadas pela Microsoft

Por padrão, sua conta de armazenamento usa chaves de criptografia gerenciadas pela Microsoft. Você pode ver as configurações de criptografia para sua conta de armazenamento do criptografia seção o portal do Azure, conforme mostrado na imagem a seguir.

Exibir conta criptografada com chaves gerenciadas pela Microsoft

Chaves gerenciadas pelo cliente

Você pode gerenciar a criptografia de armazenamento do Azure com chaves gerenciadas pelo cliente. Chaves gerenciadas pelo cliente oferecem mais flexibilidade para criar, girar, desabilitar e revogar os controles de acesso. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Use o Azure Key Vault para gerenciar suas chaves e auditar o uso. Você pode criar suas próprias chaves e armazená-los em um cofre de chaves, ou você pode usar as APIs do Azure Key Vault para gerar chaves. A conta de armazenamento e o cofre de chaves devem estar na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte o que é o Azure Key Vault?.

Para revogar o acesso a chaves gerenciadas pelo cliente, consulte PowerShell do Azure Key Vault e CLI do Azure Key Vault. Revogando o acesso efetivamente bloqueia o acesso a todos os dados na conta de armazenamento, pois a chave de criptografia não é acessível pelo armazenamento do Azure.

Para saber como usar chaves gerenciadas pelo cliente com o armazenamento do Azure, consulte um dos seguintes artigos:

[!IMPORTANT] Chaves gerenciadas pelo cliente contam com identidades gerenciadas para recursos do Azure, um recurso do Azure Active Directory (Azure AD). Quando você transfere uma assinatura de um diretório do AD do Azure para identidades de outra, gerenciadas não são atualizados e chaves gerenciadas pelo cliente podem não funcionar mais. Para obter mais informações, consulte transferindo uma assinatura entre diretórios do Azure AD na perguntas frequentes e problemas conhecidos com o managed identidades para recursos do Azure.

[!NOTE]
Não há suporte para chaves gerenciadas pelo cliente para discos gerenciados do Azure.

Criptografia de armazenamento do Azure em comparação com a criptografia de disco

Com a criptografia de armazenamento do Azure, todas as contas de armazenamento do Azure e os recursos que eles contêm são criptografados, incluindo os blobs de páginas que dão suporte a discos de máquina virtual do Azure. Além disso, os discos de máquina virtual do Azure podem ser criptografados com Azure Disk Encryption. O Azure Disk Encryption usa o padrão da indústria BitLocker no Windows e DM-Crypt no Linux para fornecer soluções de criptografia com base no sistema operacional que são integradas ao Azure Key Vault.

Próximas etapas

You can’t perform that action at this time.