Criptografia em repouso protege dados se a mídia for perdida ou roubada. Use LUKS no Linux ou criptografia gerenciada pelo provedor. Gerencie chaves com segurança; alguns provedores guardam chaves, outros permitem trazer a sua (BYOK). Verifique requisitos de compliance.
Por que criptografar em repouso
- Ameaça: Se um disco, volume ou backup for perdido, roubado ou descomissionado sem wipe seguro, alguém pode ler os dados. Criptografia em repouso garante que sem a chave os dados são ilegíveis.
- Compliance: Muitos padrões exigem ou recomendam criptografia de dados sensíveis em repouso. Verifique requisitos do setor e do contrato.
- Escopo: Criptografe bancos de dados, volumes, backups e snapshots. Gestão de chaves e controle de acesso são tão importantes quanto o algoritmo.
Linux: LUKS
- LUKS: Full-disk ou criptografia de partição. Use
cryptsetuppara criar e abrir volumes. Chave pode ser passphrase, arquivo ou (com integração) TPM ou HSM. - Setup: Crie volume criptografado; formate com filesystem; monte com chave. Documente como desbloquear. Teste procedimento de recuperação.
- Desempenho: CPUs modernas têm AES-NI; sobrecarga costuma ser baixa.
Criptografia gerenciada pelo provedor
- Padrão: Muitos provedores criptografam volumes e backups por padrão. Chaves ficam com o provedor. Muitas vezes suficiente para compliance geral.
- BYOK: Você fornece a chave (ex. do seu KMS ou HSM); o provedor usa para criptografar seus dados. Você controla rotação e revogação. Exigido em alguns compliances rígidos. Mais carga operacional; não perca a chave.
- Pergunte: Onde as chaves ficam? Quem pode acessá-las? O que acontece na perda da chave? BYOK está disponível?
Gestão de chaves
- Rotação: Planeje rotação de chaves (ex. anual ou após mudança de equipe). Com LUKS você pode re-criptografar ou adicionar novo key slot. Com criptografia do provedor, verifique opções de rotação e BYOK.
- Acesso: Limite quem pode usar ou ver chaves. Audite acesso. Revogue quando alguém sair.
- Backup: Se você guarda chaves (BYOK ou passphrase LUKS), faça backup seguro. Perder a única cópia significa perder os dados.
Resumo
Criptografia em repouso protege dados se a mídia for perdida ou roubada. Use LUKS no Linux ou criptografia gerenciada pelo provedor. Gerencie chaves com segurança; verifique se o provedor guarda chaves ou se BYOK está disponível. Verifique requisitos de compliance.




