Criptografando um banco de dados do Azure?

Sua API REST será o link fraco aqui, especialmente se você tiver o firewall do SQL Azure bloqueado (e você pode até bloqueá-lo até o ponto em que apenas instâncias do Windows Azure Compute possam acessá-lo).

O SQL Azure não possui mecanismo de criptografia integrado, portanto, é necessário executar essa etapa na camada de acesso a dados (ou diretamente nos métodos de implementação da API REST). O mesmo vale para a descriptografia. Então ... como o @Bart apontou: se alguém violar a segurança na sua API REST, eles terão acesso a dados não criptografados (relacionados às credenciais usadas durante a violação).

Com relação às práticas gerais de criptografia do banco de dados: Se você criptografar / descriptografar na nuvem, em algum momento, os dados em repouso serão descriptografados (o que é crítico quando se pensa em PII).

Se houver uma interface para obter os dados, e alguém conseguir violar essa interface (se a entrada não está sendo verificada ou algum outro método), a criptografia não ajudará muito. A maior parte da sua interação viria dessa interface. A criptografia que eu acho que seria útil se alguém roubasse os arquivos brutos no disco. A menos que você esteja armazenando seus dados como informações criptografadas que são descriptografadas pelo seu aplicativo, que é outra camada de abstração, mas isso soa um pouco bobo ...

Quão sensíveis são os dados? Se for extremamente sensível, você pode limitar o acesso por IP a um determinado grupo de usuários ou acessá-lo por meio de uma interface VLAN / VPN específica. Você pode reconsiderar a hospedagem de dados extremamente confidenciais fora de seu controle.