Compartir a través de

Cifrado en Azure

  • Artículo

Las medidas de seguridad tecnológicas en Azure, como las comunicaciones cifradas y los procesos operativos, ayudan a proteger los datos. También tiene la flexibilidad de implementar características de cifrado adicionales y administrar sus propias claves criptográficas. Independientemente de la configuración del cliente, Microsoft aplica el cifrado para proteger los datos de los clientes en Azure. Microsoft también le permite controlar los datos hospedados en Azure a través de una gama de tecnologías avanzadas para cifrar, controlar y administrar claves criptográficas, y controlar y auditar el acceso a los datos. Además, Azure Storage proporciona un conjunto completo de funcionalidades de seguridad que, en conjunto, permiten a los desarrolladores crear aplicaciones seguras.

Azure ofrece muchos mecanismos para proteger los datos a medida que se mueven de una ubicación a otra. Microsoft usa TLS para proteger los datos cuando viajan entre los servicios en la nube y los clientes. Los centros de datos de Microsoft negocian una conexión TLS con sistemas cliente que se conectan a los servicios de Azure. Forward Secrecy (FS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Connections usar también longitudes de clave de cifrado de 2048 bits basadas en RSA. Esta combinación dificulta que alguien intercepte y acceda a los datos que están en tránsito.

Los datos se pueden proteger en tránsito entre una aplicación y Azure mediante el cifrado del lado cliente, HTTPS o SMB 3.0. Puede habilitar el cifrado para el tráfico entre sus propias máquinas virtuales (VM) y los usuarios. Con Azure Virtual Networks, puede usar el protocolo IPsec estándar del sector para cifrar el tráfico entre la puerta de enlace de VPN corporativa y Azure, así como entre las máquinas virtuales ubicadas en el Virtual Network.

En el caso de los datos en reposo, Azure ofrece muchas opciones de cifrado, como la compatibilidad con AES-256, lo que le permite elegir el escenario de almacenamiento de datos que mejor se adapte a sus necesidades. Los datos se pueden cifrar automáticamente cuando se escriben en Azure Storage mediante Storage Service Encryption (SSE), y el sistema operativo y los discos de datos usados por las máquinas virtuales se pueden cifrar. Para obtener más información, consulte Recomendaciones de seguridad para máquinas virtuales Windows en Azure. Además, el acceso delegado a los objetos de datos de Azure Storage se puede conceder mediante firmas de acceso compartido. Azure también proporciona cifrado de datos en reposo mediante cifrado de datos transparente para Azure SQL Database y Data Warehouse.

Para obtener más información sobre el cifrado en Azure, consulte Introducción al cifrado de Azure y Azure Data Encryption-at-Rest.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Azure Disk Encryption

Azure Disk Encryption le permite cifrar los discos de máquina virtual de infraestructura como servicio (IaaS) de Windows y Linux. Azure Disk Encryption usa la característica BitLocker de Windows y la característica de DM-Crypt de Linux para proporcionar cifrado de nivel de volumen para el sistema operativo y los discos de datos. También garantiza que todos los datos de los discos de máquina virtual se cifran en reposo en el almacenamiento de Azure. Azure Disk Encryption se integra con Azure Key Vault para ayudarle a controlar, administrar y auditar el uso de las claves de cifrado y los secretos.

Para obtener más información, consulte Recomendaciones de seguridad para máquinas virtuales Windows en Azure.

Cifrado del servicio Azure Storage

Con Azure Storage Service Encryption, Azure Storage cifra automáticamente los datos antes de guardarlos en el almacenamiento y descifra los datos antes de la recuperación. Los procesos de cifrado, descifrado y administración de claves son totalmente transparentes para los usuarios. Azure Storage Service Encryption se puede usar para Azure Blob Storage y Azure Files. También puede usar claves de cifrado administradas por Microsoft con Azure Storage Service Encryption o puede usar sus propias claves de cifrado. (Para obtener información sobre el uso de sus propias claves, consulte Storage Service Encryption using customer managed keys in Azure Key Vault (Cifrado del servicio de almacenamiento mediante claves administradas por el cliente en Azure Key Vault). Para obtener información sobre el uso de claves administradas por Microsoft, consulte Storage Service Encryption for Data at Rest).) Además, puede automatizar el uso del cifrado. Por ejemplo, puede habilitar o deshabilitar mediante programación Storage Service Encryption en una cuenta de almacenamiento mediante la API REST del proveedor de recursos de Azure Storage, la biblioteca cliente del proveedor de recursos de almacenamiento para .NET, Azure PowerShell o la CLI de Azure.

Algunos servicios de Microsoft 365 usan Azure para almacenar datos. Por ejemplo, SharePoint Online y OneDrive para la Empresa almacenan datos en Azure Blob Storage y Microsoft Teams almacena datos para su servicio de chat en tablas, blobs y colas. Además, la característica Administrador de cumplimiento de la portal de cumplimiento Microsoft Purview almacena los datos especificados por el cliente en forma cifrada en Azure Cosmos DB, una base de datos multimodelo de plataforma como servicio (PaaS), distribuida globalmente. Azure Storage Service Encryption cifra los datos almacenados en Azure Blob Storage y en tablas, y Azure Disk Encryption cifra los datos en las colas, así como los discos de máquina virtual De IaaS y Windows para proporcionar cifrado de volumen para el sistema operativo y el disco de datos. La solución garantiza que todos los datos de los discos de máquina virtual se cifran en reposo en el almacenamiento de Azure. El cifrado en reposo en Azure Cosmos DB se implementa mediante varias tecnologías de seguridad, incluidos sistemas de almacenamiento de claves seguros, redes cifradas y API criptográficas.

Azure Key Vault

La administración segura de claves no es solo el núcleo de los procedimientos recomendados de cifrado; también es esencial para proteger los datos en la nube. Azure Key Vault permite cifrar claves y secretos pequeños, como contraseñas que usan claves almacenadas en módulos de seguridad de hardware (HSM). Azure Key Vault es la solución recomendada de Microsoft para administrar y controlar el acceso a las claves de cifrado que usan los servicios en la nube. Los permisos para acceder a las claves se pueden asignar a servicios o a usuarios con cuentas de Microsoft Entra. Azure Key Vault alivia a las organizaciones de la necesidad de configurar, aplicar revisiones y mantener los HSM y el software de administración de claves. Con Azure Key Vault, Microsoft nunca ve que las claves y las aplicaciones no tienen acceso directo a ellas; mantiene el control. También puede importar o generar claves en HSM. Las organizaciones que tienen una suscripción que incluye Azure Information Protection pueden configurar su inquilino de Azure Information Protection para usar una clave administrada por el cliente Bring Your Own Key (BYOK)) y registrar su uso.