Criptografia de armazenamento do Azure para dados em repousoAzure Storage encryption for data at rest

O armazenamento do Azure criptografa automaticamente seus dados quando persisti-los para a nuvem.Azure Storage automatically encrypts your data when persisting it to the cloud. A criptografia protege seus dados e para ajudar você a atender aos seus compromissos de conformidade e segurança organizacionais.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Dados no armazenamento do Azure são criptografados e descriptografados de maneira transparente usando 256 bits a criptografia AES, um dos codificadores de blocos potentes e é compatível com o FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Criptografia de armazenamento do Azure é semelhante a criptografia do BitLocker no Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Criptografia de armazenamento do Azure está habilitada para todas as contas de armazenamento novas e existentes e não pode ser desabilitada.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Porque seus dados são protegidos por padrão, você não precisa modificar seu código ou aplicativos para tirar proveito da criptografia de armazenamento do Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Contas de armazenamento são criptografadas independentemente do seu nível de desempenho (standard ou premium) ou o modelo de implantação (Azure Resource Manager ou clássico).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Todas as opções de redundância de armazenamento do Azure dá suporte à criptografia, e todas as cópias de uma conta de armazenamento são criptografadas.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Todos os recursos de armazenamento do Azure são criptografados, incluindo blobs, discos, arquivos, filas e tabelas.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Todos os metadados de objeto também são criptografados.All object metadata is also encrypted.

A criptografia não afeta o desempenho do armazenamento do Azure.Encryption does not affect Azure Storage performance. Não há nenhum custo adicional para a criptografia de armazenamento do Azure.There is no additional cost for Azure Storage encryption.

Para obter mais informações sobre os módulos criptográficos subjacente de criptografia de armazenamento do Azure, consulte Cryptography API: Próxima Geração.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Gerenciamento de chavesKey management

Você pode contar com chaves gerenciadas pela Microsoft para a criptografia de sua conta de armazenamento, ou você pode gerenciar a criptografia com suas próprias chaves, junto com o Azure Key Vault.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Chaves gerenciadas pela MicrosoftMicrosoft-managed keys

Por padrão, sua conta de armazenamento usa chaves de criptografia gerenciadas pela Microsoft.By default, your storage account uses Microsoft-managed encryption keys. Você pode ver as configurações de criptografia para sua conta de armazenamento do criptografia seção o portal do Azure, conforme mostrado na imagem a seguir.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Exibir conta criptografada com chaves gerenciadas pela Microsoft

Chaves gerenciadas pelo clienteCustomer-managed keys

Você pode gerenciar a criptografia de armazenamento do Azure com chaves gerenciadas pelo cliente.You can manage Azure Storage encryption with customer-managed keys. Chaves gerenciadas pelo cliente oferecem mais flexibilidade para criar, girar, desabilitar e revogar os controles de acesso.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.You can also audit the encryption keys used to protect your data.

Use o Azure Key Vault para gerenciar suas chaves e auditar o uso.Use Azure Key Vault to manage your keys and audit your key usage. Você pode criar suas próprias chaves e armazená-los em um cofre de chaves, ou você pode usar as APIs do Azure Key Vault para gerar chaves.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. A conta de armazenamento e o cofre de chaves devem estar na mesma região, mas podem estar em assinaturas diferentes.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Para obter mais informações sobre o Azure Key Vault, consulte o que é o Azure Key Vault?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Para revogar o acesso a chaves gerenciadas pelo cliente, consulte PowerShell do Azure Key Vault e CLI do Azure Key Vault.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Revogando o acesso efetivamente bloqueia o acesso a todos os dados na conta de armazenamento, pois a chave de criptografia não é acessível pelo armazenamento do Azure.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Para saber como usar chaves gerenciadas pelo cliente com o armazenamento do Azure, consulte um dos seguintes artigos:To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Importante

Chaves gerenciadas pelo cliente contam com identidades gerenciadas para recursos do Azure, um recurso do Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Quando você transfere uma assinatura de um diretório do AD do Azure para identidades de outra, gerenciadas não são atualizados e chaves gerenciadas pelo cliente podem não funcionar mais.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Para obter mais informações, consulte transferindo uma assinatura entre diretórios do Azure AD na perguntas frequentes e problemas conhecidos com o managed identidades para recursos do Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Observação

Não há suporte para chaves gerenciadas pelo cliente para discos gerenciados do Azure.Customer-managed keys are not supported for Azure managed disks.

Criptografia de armazenamento do Azure em comparação com a criptografia de discoAzure Storage encryption versus disk encryption

Com a criptografia de armazenamento do Azure, todas as contas de armazenamento do Azure e os recursos que eles contêm são criptografados, incluindo os blobs de páginas que dão suporte a discos de máquina virtual do Azure.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Além disso, os discos de máquina virtual do Azure podem ser criptografados com Azure Disk Encryption.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. O Azure Disk Encryption usa o padrão da indústria BitLocker no Windows e DM-Crypt no Linux para fornecer soluções de criptografia com base no sistema operacional que são integradas ao Azure Key Vault.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Próximas etapasNext steps