Compartir a través de

Cifrado de datos en el núcleo virtual de Azure Cosmos DB for MongoDB

  • Artículo

SE APLICA A: núcleo virtual de MongoDB

El “cifrado en reposo” es una frase que se refiere normalmente al cifrado de datos en dispositivos de almacenamiento permanente, como unidades de estado sólido (SSD) y discos duros (HDD). Azure Cosmos DB almacena sus bases de datos principales en unidades SSD. Sus elementos multimedia adjuntos y las copias de seguridad se almacenan en Azure Blob Storage, cuyos archivos de copia de seguridad se encuentran en unidades HDD. Con el lanzamiento del cifrado en reposo para Azure Cosmos DB, todas las bases de datos, los elementos multimedia adjuntos y las copias de seguridad están cifrados. Ahora, los datos están cifrados en tránsito (por la red) y en reposo (almacenamiento permanente), lo que le proporciona cifrado de un extremo a otro.

Como plataforma como servicio (PaaS), Azure Cosmos DB es fácil de usar. Dado que todos los datos de usuario almacenados en Azure Cosmos DB se cifran en reposo y en tránsito, no es necesario hacer nada. En otras palabras, el cifrado en reposo está "activado" de forma predeterminada. No hay ningún mando para activarlo o desactivarlo. Azure Cosmos DB usa el cifrado de AES-256 en todas las regiones donde se ejecuta la cuenta.

Proporcionamos esta característica mientras seguimos cumpliendo nuestros acuerdos de nivel de servicio (SLA) de disponibilidad y rendimiento. Los datos almacenados en su cuenta de Azure Cosmos DB se cifran de forma automática y sin problemas con claves administradas por Microsoft (claves administradas por el servicio). El cifrado de claves administradas por el cliente (CMK) llega al servicio a principios de 2025. Póngase en contacto con el Soporte técnico de Microsoft para acceder a una versión preliminar privada tan pronto como esté disponible.

Implementación de cifrado en reposo para Azure Cosmos DB

El cifrado en reposo se implementa mediante varias tecnologías de seguridad, como sistemas seguros de almacenamiento de claves, redes cifradas y API criptográficas. Los sistemas que descifran y procesan datos tienen que comunicarse con los sistemas que administran claves. En el diagrama se muestra cómo se separan el almacenamiento de datos cifrados y la administración de claves.

Diagrama que muestra el diseño de administración de claves y almacenamiento de datos.

El flujo básico de una solicitud de usuario es:

  • La cuenta de la base de datos del usuario se prepara y las claves de almacenamiento se recuperan a través de una solicitud al proveedor de recursos del servicio de administración.
  • Un usuario crea una conexión a Azure Cosmos DB a través de HTTPS o transporte seguro. (En los SDK se incluye una breve descripción al respecto).
  • El usuario envía un documento JSON para almacenarlo a través de la conexión segura creada anteriormente.
  • El documento JSON se indexa a menos que el usuario haya desactivado la indexación.
  • Tanto el documento JSON como los datos de índice se escriben en un almacenamiento seguro.
  • Los datos se leen periódicamente desde el almacenamiento seguro y se realiza una copia de seguridad de ellos en el almacén de blobs cifrado de Azure.

Preguntas más frecuentes

Encuentre respuestas a las preguntas más frecuentes sobre el cifrado.

¿Cuánto aumenta el costo de Azure Storage si se habilita Storage Service Encryption?

No hay ningún costo adicional.

¿Puedo cifrar mis datos con claves administradas por el cliente (CMK)?

Esta característica se pondrá en servicio a principios de 2025. Póngase en contacto con el Soporte técnico de Microsoft para acceder a una versión preliminar privada tan pronto como esté disponible.

¿Con qué frecuencia se alternan las claves de cifrado?

Microsoft cuenta con un conjunto de directrices internas para la rotación de claves de cifrado y Azure Cosmos DB las sigue. Estas directrices específicas no se han publicado. Microsoft publica el Ciclo de vida de desarrollo de seguridad, que se considera un subconjunto de orientaciones internas e incluye procedimientos recomendados para desarrolladores de gran utilidad.

¿Qué regiones tienen activado el cifrado?

Todas las regiones de Azure Cosmos DB tienen activado el cifrado de todos los datos de usuario.

¿Afecta el cifrado a los Acuerdos de Nivel de Servicio de rendimiento y de latencia del rendimiento?

No hay ningún efecto ni cambios en los Acuerdos de Nivel de Servicio de rendimiento porque el cifrado en reposo ahora está habilitado para todas las cuentas nuevas y existentes. Para ver las garantías más recientes, consulte Acuerdo de Nivel de Servicio para Azure Cosmos DB.

¿Admite el emulador local el cifrado en reposo?

El emulador es una herramienta de desarrollo o pruebas independiente y no emplea los servicios de administración de claves que usa el servicio de Azure Cosmos DB. Se recomienda habilitar BitLocker en unidades en las que se almacenan datos de prueba confidenciales del emulador. El emulador admite los cambios de directorio de datos predeterminado y el uso de una ubicación conocida.

Pasos siguientes