Implementando a Criptografia de Dados em Repouso no Azure Storage

Implementando a Criptografia de Dados em Repouso no Azure Storage

01/03/2025

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na implementação e configuração da criptografia de dados em repouso no Azure Storage. Proteger dados armazenados é uma medida de segurança fundamental. O Azure Storage oferece criptografia robusta por padrão com chaves gerenciadas pela Microsoft (MMK), e permite o uso de chaves gerenciadas pelo cliente (CMK) através do Azure Key Vault para maior controle [1].

Introdução

A criptografia de dados em repouso garante que os dados armazenados sejam protegidos contra acesso não autorizado. No Azure, todos os dados no Azure Storage são criptografados por padrão [2]. Para organizações com requisitos de conformidade rigorosos, o uso de CMK é essencial, pois concede controle total sobre o ciclo de vida das chaves de criptografia (criação, rotação e revogação).

Este guia abordará a configuração de ambos os modelos de criptografia, com foco na implementação e validação de chaves gerenciadas pelo cliente.

Por que a Criptografia de Dados em Repouso é crucial?

  • Proteção contra Acesso Não Autorizado: Garante que os dados sejam ilegíveis sem a chave de descriptografia.
  • Conformidade Regulatória: Ajuda a atender a regulamentações como LGPD, GDPR, HIPAA, etc.
  • Controle de Chaves: Com CMK, as organizações mantêm controle total sobre as chaves de criptografia.

Pré-requisitos

  1. Assinatura Azure Ativa.
  2. Acesso Administrativo: Permissões para gerenciar Contas de Armazenamento e Key Vaults.
  3. Conta de Armazenamento Azure Existente (preferencialmente StorageV2).
  4. Azure Key Vault para armazenar as CMKs.

Passo a Passo: Configurando a Criptografia

1. Criptografia com Chaves Gerenciadas pela Microsoft (Padrão)

Esta é a configuração padrão e automática. Para verificar:

  1. Navegue até sua Conta de Armazenamento no portal do Azure.
  2. Em Segurança + rede, selecione Criptografia.
  3. Confirme que o Tipo de criptografia padrão é Chaves gerenciadas pela Microsoft.

2. Implementando Criptografia com Chaves Gerenciadas pelo Cliente (CMK)

2.1. Crie um Azure Key Vault e uma Chave

  1. Crie um novo Azure Key Vault. Importante: habilite a Proteção contra limpeza (Purge Protection) durante a criação.
  2. Dentro do Key Vault, navegue até Chaves e clique em Gerar/Importar para criar uma nova chave (ex: storage-cmk-key).

2.2. Configure o Acesso à Conta de Armazenamento

  1. Navegue até sua Conta de Armazenamento.
  2. Vá para Criptografia e mude o Tipo de criptografia para Chaves gerenciadas pelo cliente.
  3. Selecione a opção para usar uma chave do Key Vault. Ao fazer isso, o Azure solicitará a criação de uma identidade gerenciada para a conta de armazenamento. Permita.
  4. Agora, volte ao seu Key Vault e vá para Políticas de acesso.
  5. Crie uma nova política de acesso. Conceda as permissões de chave Obter, Encapsular Chave e Desencapsular Chave.
  6. Na etapa Entidade de segurança, procure e selecione a identidade gerenciada da sua conta de armazenamento.
  7. Salve a política de acesso.

2.3. Configure a Conta de Armazenamento para Usar a CMK

  1. Retorne à página de Criptografia da sua conta de armazenamento.
  2. Selecione o Key Vault e a chave que você criou.
  3. Salve as alterações. A partir de agora, todos os dados gravados na conta serão criptografados com sua chave.

Validação e Teste

1. Testando o Acesso aos Dados

Após configurar a CMK, carregue e baixe um arquivo. A operação deve ser transparente.

# Carregar um arquivo de teste
az storage blob upload --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

# Baixar o arquivo de teste
az storage blob download --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login

2. Testando a Revogação de Acesso à Chave

Este é o teste mais crítico para CMK.

  1. No seu Key Vault, navegue até a chave que está sendo usada.
  2. Clique na versão atual da chave e altere a configuração Habilitado para Não.
  3. Aguarde alguns minutos.
  4. Tente acessar os dados na sua conta de armazenamento (ex: tente baixar o blob novamente).
  5. Resultado Esperado: A operação deve falhar com um erro de acesso negado (403 Forbidden), provando que você tem controle total sobre o acesso aos dados.
  6. Não se esqueça de reabilitar a chave para restaurar o acesso.

Rotação de Chaves (Key Rotation)

A rotação de chaves é uma prática de segurança essencial. Com CMK, você tem duas opções:

  • Rotação Manual: Crie uma nova versão da chave no Key Vault e atualize a configuração de criptografia na conta de armazenamento para apontar para a nova versão.
  • Rotação Automática: Ao configurar a CMK na conta de armazenamento, não especifique uma versão da chave. A conta de armazenamento verificará o Key Vault periodicamente e usará automaticamente a versão mais recente da chave [3].

Melhores Práticas

  • Habilite a Proteção contra Limpeza e a Exclusão Suave no seu Key Vault para proteger suas chaves contra exclusão acidental ou maliciosa.
  • Use Identidades Gerenciadas para permitir que a conta de armazenamento acesse o Key Vault. É mais seguro do que usar outros métodos.
  • Monitore a Atividade do Key Vault: Use os logs de diagnóstico do Key Vault para auditar quem está acessando suas chaves e quando.
  • Exija Transferência Segura (HTTPS): Na configuração da sua conta de armazenamento, sempre exija transferência segura para criptografar os dados em trânsito.

Conclusão

A criptografia de dados em repouso no Azure Storage é uma camada de defesa fundamental. Enquanto as chaves gerenciadas pela Microsoft oferecem segurança por padrão com zero esforço, as chaves gerenciadas pelo cliente (CMK) fornecem o nível de controle e garantia exigido por muitas organizações para atender a rigorosos requisitos de segurança e conformidade. Ao dominar a implementação e o gerenciamento de CMK, você garante que seus dados permaneçam protegidos e sob seu controle.

Referências

[1] Microsoft. (2023). Visão geral da criptografia do Azure Storage. [2] Microsoft. (2023). Criptografia do Serviço de Armazenamento do Azure para dados em repouso. [3] Microsoft. (2023). Chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure.