Habilitación del cifrado doble en el nivel de infraestructura de Azure Storage
Azure Storage cifra automáticamente todos los datos de una cuenta de almacenamiento en el nivel de servicio mediante el cifrado AES de 256 bits, que es uno de los cifrados de bloques más seguros disponibles y es compatible con FIPS 140-2. Los clientes que requieren niveles más altos de garantía de que sus datos son seguros también pueden habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage para el cifrado doble. El cifrado doble de datos de Azure Storage protege frente a un escenario en el que uno de los algoritmos de cifrado o claves puede estar en peligro. En este escenario, la capa adicional de cifrado continúa protegiendo los datos.
El cifrado de infraestructura se puede habilitar para toda la cuenta de almacenamiento o para un ámbito de cifrado dentro de una cuenta. Cuando el cifrado de infraestructura está habilitado para una cuenta de almacenamiento o un ámbito de cifrado, los datos se cifran dos veces (una vez en el nivel de servicio y una vez en el nivel de infraestructura) con dos algoritmos de cifrado diferentes y dos claves diferentes.
El cifrado de nivel de servicio admite el uso de claves administradas por Microsoft o claves administradas por el cliente con Azure Key Vault o el modelo de seguridad de hardware administrado de Key Vault (HSM). El cifrado de nivel de infraestructura se basa en claves administradas por Microsoft y siempre usa una clave independiente.
Para cifrar los datos doblemente, primero debe crear una cuenta de almacenamiento o un ámbito de cifrado configurado para el cifrado de infraestructura.
Se recomienda el cifrado de infraestructura para escenarios en los que se necesitan datos de cifrado doble para los requisitos de cumplimiento. En la mayoría de los otros escenarios, el cifrado de Azure Storage proporciona un algoritmo de cifrado lo suficientemente eficaz y es poco probable que haya una ventaja para usar el cifrado de infraestructura.
Creación de una cuenta con el cifrado de infraestructura habilitado
Para habilitar el cifrado de infraestructura para una cuenta de almacenamiento, debe configurar una cuenta de almacenamiento para que use el cifrado de infraestructura en el momento en que cree la cuenta. El cifrado de infraestructura no se puede habilitar ni deshabilitar una vez creada la cuenta. La cuenta de almacenamiento debe ser de tipo propósito general v2 o blob en bloques premium.
Para usar Azure Portal para crear una cuenta de almacenamiento con el cifrado de infraestructura habilitado, siga estos pasos:
En el Portal de Azure, vaya a la página de cuentas de almacenamiento.
Elija el botón Agregar para agregar una nueva cuenta de almacenamiento de blobs en bloques de uso general v2 o premium.
En la pestaña Cifrado, busque Habilitar cifrado de infraestructuray seleccione Habilitado.
Seleccione Revisar y crear para terminar de crear la cuenta de almacenamiento.
Para comprobar que el cifrado de infraestructura está habilitado para una cuenta de almacenamiento con Azure Portal, siga estos pasos:
Vaya a la cuenta de almacenamiento en Azure Portal,
En Configuración, elija cifrado.
Azure Policy proporciona una directiva integrada para requerir que el cifrado de infraestructura esté habilitado para una cuenta de almacenamiento.
Creación de un ámbito de cifrado con el cifrado de infraestructura habilitado
Si el cifrado de infraestructura está habilitado para una cuenta, cualquier ámbito de cifrado creado en esa cuenta usa automáticamente el cifrado de infraestructura. Si el cifrado de infraestructura no está habilitado en el nivel de cuenta, tiene la opción de habilitarlo para un ámbito de cifrado en el momento en que cree el ámbito. La configuración de cifrado de infraestructura para un ámbito de cifrado no se puede cambiar después de crear el ámbito.