Habilitar el cifrado doble en el nivel de infraestructura de Azure Storage
Azure Storage cifra de forma automática todos los datos de una cuenta de almacenamiento en el nivel de servicio mediante el cifrado AES de 256 bits, uno de los cifrados de bloques más sólidos que hay disponibles y compatible con FIPS 140-2. Los clientes que necesiten más seguridad para que sus datos estén seguros también pueden habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage para el cifrado doble. El doble cifrado de los datos de Azure Storage sirve de protección en caso de que uno de los algoritmos de cifrado o las claves puedan estar en peligro. En este escenario, la capa adicional de cifrado también protege los datos.
El cifrado de infraestructura se puede habilitar para toda la cuenta de almacenamiento o para un ámbito de cifrado dentro de una cuenta. Cuando se habilita el cifrado de infraestructura para una cuenta de almacenamiento o un ámbito de cifrado, los datos se cifran dos veces (una vez en el nivel de servicio y otra en el nivel de infraestructura) con dos algoritmos de cifrado y dos claves diferentes.
El cifrado de nivel de servicio permite usar claves administradas por Microsoft o claves administradas por el cliente con Azure Key Vault o el modelo de seguridad de hardware (HSM) administrado de Key Vault. El cifrado en el nivel de infraestructura se basa en las claves administradas por Microsoft y siempre usa una clave independiente.
Para cifrar dos veces los datos, primero debe crear una cuenta de almacenamiento o un ámbito de cifrado que estén configurados para el cifrado de infraestructura.
El cifrado de infraestructura se recomienda en escenarios en los que es necesario cifrar los datos doblemente debido a los requisitos de cumplimiento. En la mayoría de los otros escenarios, el cifrado de Azure Storage proporciona un algoritmo de cifrado lo suficientemente eficaz y es poco probable que sea una ventaja para usar el cifrado de infraestructura.
Creación de una cuenta con el cifrado de infraestructura habilitado
Para habilitar el cifrado de infraestructura para una cuenta de almacenamiento, debe configurar la cuenta de almacenamiento para que use el cifrado de infraestructura en el momento de crear la cuenta. Una vez que la cuenta se ha creado, no se puede habilitar o deshabilitar el cifrado de infraestructura. La cuenta de almacenamiento debe ser de tipo blob en bloques prémium o de uso general v2.
Para usar Azure Portal con el fin de crear una cuenta de almacenamiento con el cifrado de infraestructura habilitado, siga estos pasos:
En Azure Portal, vaya a la página Cuentas de almacenamiento.
Elija el botón Agregar para agregar una cuenta de almacenamiento de blob en bloques prémium o de uso general v2.
En la pestaña Cifrar, busque Habilitar cifrado de infraestructura y seleccione Habilitado.
Seleccione Revisar y crear para terminar de crear la cuenta de almacenamiento.
Para comprobar que el cifrado de infraestructura está habilitado para una cuenta de almacenamiento con Azure Portal, siga estos pasos:
Vaya a la cuenta de almacenamiento en Azure Portal,
En Configuración, elija Cifrado.
Azure Policy proporciona una directiva integrada para requerir que el cifrado de infraestructura esté habilitado para una cuenta de almacenamiento.
Creación de un ámbito de cifrado con el cifrado de infraestructura habilitado
Si el cifrado de infraestructura está habilitado para una cuenta, cualquier ámbito de cifrado creado en esa cuenta usa automáticamente el cifrado de infraestructura. Si el cifrado de infraestructura no está habilitado en el nivel de cuenta, tiene la opción de habilitarlo para un ámbito de cifrado en el momento de crear el ámbito. La configuración de cifrado de infraestructura para un ámbito de cifrado no se puede cambiar después de crear el ámbito.