Criptografia do Armazenamento do Azure para dados em repousoAzure Storage encryption for data at rest

O armazenamento do Azure criptografa automaticamente os dados quando eles são persistidos na nuvem.Azure Storage automatically encrypts your data when it is persisted to the cloud. A criptografia de armazenamento do Azure protege seus dados e para ajudá-lo a atender aos compromissos de segurança e conformidade da organização.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Sobre a criptografia de armazenamento do AzureAbout Azure Storage encryption

Os dados no armazenamento do Azure são criptografados e descriptografados de forma transparente usando a criptografia AESde 256 bits, uma das codificações de bloco mais fortes disponíveis e é compatível com o FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. A criptografia de armazenamento do Azure é semelhante à criptografia BitLocker no Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

A criptografia de armazenamento do Azure está habilitada para todas as contas de armazenamento, incluindo as contas do Resource Manager e do armazenamento clássico.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. A criptografia de armazenamento do Azure não pode ser desabilitada.Azure Storage encryption cannot be disabled. Como os dados são protegidos por padrão, você não precisa modificar seu código ou aplicativos para tirar proveito da criptografia de armazenamento do Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Os dados em uma conta de armazenamento são criptografados independentemente do nível de desempenho (Standard ou Premium), camada de acesso (quente ou frio) ou modelo de implantação (Azure Resource Manager ou clássico).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Todos os BLOBs na camada de arquivo também são criptografados.All blobs in the archive tier are also encrypted. Todas as opções de redundância de armazenamento do Azure dão suporte à criptografia e todos os dados nas regiões primária e secundária são criptografados quando a replicação geográfica está habilitada.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Todos os recursos de armazenamento do Azure são criptografados, incluindo BLOBs, discos, arquivos, filas e tabelas.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Todos os metadados de objeto também são criptografados.All object metadata is also encrypted. Não há nenhum custo adicional para a criptografia de armazenamento do Azure.There is no additional cost for Azure Storage encryption.

Todos os blobs de blocos, BLOB de acréscimo ou BLOB de páginas que foram gravados no armazenamento do Azure após 20 de outubro de 2017 são criptografados.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Os BLOBs criados antes dessa data continuam a ser criptografados por um processo em segundo plano.Blobs created prior to this date continue to be encrypted by a background process. Para forçar a criptografia de um blob que foi criado antes de 20 de outubro de 2017, você pode reescrever o blob.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Para saber como verificar o status de criptografia de um blob, consulte verificar o status de criptografia de um blob.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Para obter mais informações sobre os módulos de criptografia subjacentes à criptografia de armazenamento do Azure, consulte API de criptografia: próxima geração.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Para obter informações sobre criptografia e gerenciamento de chaves para Azure Managed disks, consulte criptografia do lado do servidor de Azure Managed disks para VMs do Windows ou criptografia do lado do servidor de Azure Managed disks para VMs do Linux.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

Sobre o gerenciamento de chaves de criptografiaAbout encryption key management

Os dados em uma nova conta de armazenamento são criptografados com chaves gerenciadas pela Microsoft por padrão.Data in a new storage account is encrypted with Microsoft-managed keys by default. Você pode continuar a contar com chaves gerenciadas pela Microsoft para a criptografia de seus dados ou pode gerenciar a criptografia com suas próprias chaves.You can continue to rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Se você optar por gerenciar a criptografia com suas próprias chaves, terá duas opções.If you choose to manage encryption with your own keys, you have two options. Você pode usar qualquer um dos dois tipos de gerenciamento de chaves, ou ambos:You can use either type of key management, or both:

  • Você pode especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar dados no armazenamento de BLOBs e nos arquivos do Azure. 1, 2 as chaves gerenciadas pelo cliente devem ser armazenadas em Azure Key Vault ou Azure Key Vault modelo de segurança de hardware gerenciado (HSM) (versão prévia).You can specify a customer-managed key to use for encrypting and decrypting data in Blob storage and in Azure Files.1,2 Customer-managed keys must be stored in Azure Key Vault or Azure Key Vault Managed Hardware Security Model (HSM) (preview). Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte usar chaves gerenciadas pelo cliente para a criptografia de armazenamento do Azure.For more information about customer-managed keys, see Use customer-managed keys for Azure Storage encryption.
  • Você pode especificar uma chave fornecida pelo cliente em operações de armazenamento de BLOBs.You can specify a customer-provided key on Blob storage operations. Um cliente que faz uma solicitação de leitura ou gravação no armazenamento de blob pode incluir uma chave de criptografia na solicitação de controle granular sobre como os dados de blob são criptografados e descriptografados.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted. Para obter mais informações sobre chaves fornecidas pelo cliente, consulte fornecer uma chave de criptografia em uma solicitação para o armazenamento de BLOBs.For more information about customer-provided keys, see Provide an encryption key on a request to Blob storage.

A tabela a seguir compara as principais opções de gerenciamento de criptografia do armazenamento do Azure.The following table compares key management options for Azure Storage encryption.

Parâmetro de gerenciamento de chavesKey management parameter Chaves gerenciadas pela MicrosoftMicrosoft-managed keys Chaves gerenciadas pelo clienteCustomer-managed keys Chaves fornecidas pelo clienteCustomer-provided keys
Operações de criptografia/descriptografiaEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Serviços de armazenamento do Azure com suporteAzure Storage services supported TudoAll Armazenamento de BLOBs, arquivos do Azure1, 2Blob storage, Azure Files1,2 Armazenamento de BlobsBlob storage
Armazenamento de chaveKey storage Repositório de chaves da MicrosoftMicrosoft key store Azure Key Vault ou Key Vault HSMAzure Key Vault or Key Vault HSM Repositório de chaves próprio do clienteCustomer's own key store
Responsabilidade de rotação de chaveKey rotation responsibility MicrosoftMicrosoft ClienteCustomer ClienteCustomer
Controle de chaveKey control MicrosoftMicrosoft ClienteCustomer ClienteCustomer

1 para obter informações sobre como criar uma conta que ofereça suporte ao uso de chaves gerenciadas pelo cliente com o armazenamento de filas, consulte criar uma conta que dê suporte a chaves gerenciadas pelo cliente para filas.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 para obter informações sobre como criar uma conta que ofereça suporte ao uso de chaves gerenciadas pelo cliente com o armazenamento de tabelas, consulte criar uma conta que dê suporte a chaves gerenciadas pelo cliente para tabelas.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Observação

As chaves gerenciadas pela Microsoft são giradas adequadamente de acordo com os requisitos de conformidade.Microsoft-managed keys are rotated appropriately per compliance requirements. Se você tiver requisitos específicos de rotação de chaves, a Microsoft recomenda que você mova para chaves gerenciadas pelo cliente para que você possa gerenciar e auditar a rotação por conta própria.If you have specific key rotation requirements, Microsoft recommends that you move to customer-managed keys so that you can manage and audit the rotation yourself.

Criptografar dados duplicados com criptografia de infraestruturaDoubly encrypt data with infrastructure encryption

Os clientes que precisam de altos níveis de garantia de que seus dados são seguros também podem habilitar a criptografia AES de 256 bits no nível de infraestrutura de armazenamento do Azure.Customers who require high levels of assurance that their data is secure can also enable 256-bit AES encryption at the Azure Storage infrastructure level. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes — uma vez no nível de serviço e uma vez no nível de infraestrutura — com dois algoritmos de criptografia diferentes e duas chaves diferentes.When infrastructure encryption is enabled, data in a storage account is encrypted twice — once at the service level and once at the infrastructure level — with two different encryption algorithms and two different keys. A criptografia dupla de dados do armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia pode ser comprometido.Double encryption of Azure Storage data protects against a scenario where one of the encryption algorithms or keys may be compromised. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.In this scenario, the additional layer of encryption continues to protect your data.

A criptografia de nível de serviço dá suporte ao uso de chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente com Azure Key Vault.Service-level encryption supports the use of either Microsoft-managed keys or customer-managed keys with Azure Key Vault. A criptografia no nível de infraestrutura depende de chaves gerenciadas pela Microsoft e sempre usa uma chave separada.Infrastructure-level encryption relies on Microsoft-managed keys and always uses a separate key.

Para obter mais informações sobre como criar uma conta de armazenamento que habilita a criptografia de infraestrutura, consulte criar uma conta de armazenamento com criptografia de infraestrutura habilitada para criptografia dupla de dados.For more information about how to create a storage account that enables infrastructure encryption, see Create a storage account with infrastructure encryption enabled for double encryption of data.

Escopos de criptografia para armazenamento de BLOBs (visualização)Encryption scopes for Blob storage (preview)

Por padrão, uma conta de armazenamento é criptografada com uma chave que tem o escopo definido para a conta de armazenamento.By default, a storage account is encrypted with a key that is scoped to the storage account. Você pode optar por usar chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente armazenadas em Azure Key Vault para proteger e controlar o acesso à chave que criptografa os dados.You can choose to use either Microsoft-managed keys or customer-managed keys stored in Azure Key Vault to protect and control access to the key that encrypts your data.

Os escopos de criptografia permitem que você gerencie opcionalmente a criptografia no nível do contêiner ou de um blob individual.Encryption scopes enable you to optionally manage encryption at the level of the container or an individual blob. Você pode usar escopos de criptografia para criar limites seguros entre os dados que residem na mesma conta de armazenamento, mas que pertencem a clientes diferentes.You can use encryption scopes to create secure boundaries between data that resides in the same storage account but belongs to different customers.

Você pode criar um ou mais escopos de criptografia para uma conta de armazenamento usando o provedor de recursos de armazenamento do Azure.You can create one or more encryption scopes for a storage account using the Azure Storage resource provider. Ao criar um escopo de criptografia, você especifica se o escopo é protegido com uma chave gerenciada pela Microsoft ou com uma chave gerenciada pelo cliente que é armazenada em Azure Key Vault.When you create an encryption scope, you specify whether the scope is protected with a Microsoft-managed key or with a customer-managed key that is stored in Azure Key Vault. Escopos de criptografia diferentes na mesma conta de armazenamento podem usar chaves gerenciadas pela Microsoft ou gerenciadas pelo cliente.Different encryption scopes on the same storage account can use either Microsoft-managed or customer-managed keys.

Depois de criar um escopo de criptografia, você pode especificar esse escopo de criptografia em uma solicitação para criar um contêiner ou um blob.After you have created an encryption scope, you can specify that encryption scope on a request to create a container or a blob. Para obter mais informações sobre como criar um escopo de criptografia, consulte criar e gerenciar escopos de criptografia (versão prévia).For more information about how to create an encryption scope, see Create and manage encryption scopes (preview).

Observação

Não há suporte para escopos de criptografia com o armazenamento com redundância geográfica com acesso de leitura (RA-GRS) e contas de armazenamento com redundância de acesso de leitura (RA-GZRS) durante a visualização.Encryption scopes are not supported with read-access geo-redundant storage (RA-GRS) and read-access geo-zone-redundant storage (RA-GZRS) accounts during preview.

Observação

Esse recurso ainda não tem suporte em contas que têm um namespace hierárquico (Azure Data Lake Storage Gen2).This feature is not yet supported in accounts that have a hierarchical namespace (Azure Data Lake Storage Gen2). Para saber mais, confira recursos de armazenamento de BLOBs disponíveis em Azure data Lake Storage Gen2.To learn more, see Blob storage features available in Azure Data Lake Storage Gen2.

Importante

A visualização dos escopos de criptografia é destinada somente ao uso de não produção.The encryption scopes preview is intended for non-production use only. SLAs (Contratos de Nível de Serviço) não estão disponíveis atualmente.Production service-level agreements (SLAs) are not currently available.

Para evitar custos inesperados, certifique-se de desabilitar os escopos de criptografia que não são necessários no momento.To avoid unexpected costs, be sure to disable any encryption scopes that you do not currently need.

Criar um contêiner ou BLOB com um escopo de criptografiaCreate a container or blob with an encryption scope

Os BLOBs criados sob um escopo de criptografia são criptografados com a chave especificada para esse escopo.Blobs that are created under an encryption scope are encrypted with the key specified for that scope. Você pode especificar um escopo de criptografia para um blob individual ao criar o BLOB ou pode especificar um escopo de criptografia padrão ao criar um contêiner.You can specify an encryption scope for an individual blob when you create the blob, or you can specify a default encryption scope when you create a container. Quando um escopo de criptografia padrão é especificado no nível de um contêiner, todos os BLOBs nesse contêiner são criptografados com a chave associada ao escopo padrão.When a default encryption scope is specified at the level of a container, all blobs in that container are encrypted with the key associated with the default scope.

Quando você cria um blob em um contêiner que tem um escopo de criptografia padrão, você pode especificar um escopo de criptografia que substitui o escopo de criptografia padrão se o contêiner estiver configurado para permitir substituições do escopo de criptografia padrão.When you create a blob in a container that has a default encryption scope, you can specify an encryption scope that overrides the default encryption scope if the container is configured to allow overrides of the default encryption scope. Para evitar substituições do escopo de criptografia padrão, configure o contêiner para negar substituições para um blob individual.To prevent overrides of the default encryption scope, configure the container to deny overrides for an individual blob.

As operações de leitura em um blob que pertence a um escopo de criptografia ocorrem de forma transparente, desde que o escopo de criptografia não esteja desabilitado.Read operations on a blob that belongs to an encryption scope happen transparently, so long as the encryption scope is not disabled.

Desabilitar um escopo de criptografiaDisable an encryption scope

Quando você desabilita um escopo de criptografia, todas as operações de leitura ou gravação subsequentes feitas com o escopo de criptografia falharão com o código de erro HTTP 403 (proibido).When you disable an encryption scope, any subsequent read or write operations made with the encryption scope will fail with HTTP error code 403 (Forbidden). Se você reabilitar o escopo de criptografia, as operações de leitura e gravação continuarão normalmente novamente.If you re-enable the encryption scope, read and write operations will proceed normally again.

Quando um escopo de criptografia estiver desabilitado, você não será mais cobrado por ele.When an encryption scope is disabled, you are no longer billed for it. Desabilite os escopos de criptografia que não são necessários para evitar encargos desnecessários.Disable any encryption scopes that are not needed to avoid unnecessary charges.

Se o escopo de criptografia estiver protegido com chaves gerenciadas pelo cliente para Azure Key Vault, você também poderá excluir a chave associada no cofre de chaves para desabilitar o escopo de criptografia.If your encryption scope is protected with customer-managed keys for Azure Key Vault, then you can also delete the associated key in the key vault in order to disable the encryption scope. Tenha em mente que as chaves gerenciadas pelo cliente no Azure Key Vault são protegidas pela exclusão reversível e pela proteção de limpeza, e uma chave excluída está sujeita ao comportamento definido por essas propriedades.Keep in mind that customer-managed keys in Azure Key Vault are protected by soft delete and purge protection, and a deleted key is subject to the behavior defined for by those properties. Para obter mais informações, consulte um dos seguintes tópicos na documentação do Azure Key Vault:For more information, see one of the following topics in the Azure Key Vault documentation:

Observação

Não é possível excluir um escopo de criptografia.It is not possible to delete an encryption scope.

Próximas etapasNext steps