Cifrado de datos en Azure DocumentDB

Todos los datos administrados por Azure DocumentDB siempre se cifran en reposo. Estos datos incluyen todas las bases de datos del sistema y de usuario, los archivos temporales, los registros y las copias de seguridad.

Cifrado en reposo con clave administrada por el servicio (SMK) o clave administrada por el cliente (CMK)

Azure DocumentDB admite dos modos de cifrado de datos en reposo: claves administradas por el servicio (SMK) y claves administradas por el cliente (CMK). El cifrado de datos con claves administradas por el servicio es el modo predeterminado para Azure DocumentDB. En este modo, el servicio administra automáticamente las claves de cifrado usadas para cifrar los datos. No es necesario realizar ninguna acción para habilitar o administrar el cifrado en este modo.

En el modo de claves administradas por el cliente, puede traer su propia clave de cifrado para cifrar los datos. Al especificar una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. Las claves administradas por el cliente ofrecen mayor flexibilidad para administrar los controles de acceso. Debe implementar su propia instancia de Azure Key Vault y configurarla para almacenar las claves de cifrado usadas por el clúster de Azure DocumentDB.

El modo de configuración solo se puede seleccionar en el momento de creación del clúster. No se puede cambiar de un modo a otro durante la vigencia del clúster.

Para lograr el cifrado de los datos, Azure DocumentDB usa el cifrado del lado servidor de Azure Storage para los datos en reposo. Al usar CMK, es responsable de proporcionar claves para cifrar y descifrar datos en los servicios de Azure Storage. Estas claves deben almacenarse en Azure Key Vault.

Ventajas proporcionadas por cada modo (SMK o CMK)

El cifrado de datos con claves administradas por el servicio para Azure DocumentDB proporciona las siguientes ventajas:

• El servicio controla de forma automática y completa el acceso a los datos.
• El servicio controla de forma automática y completa el ciclo de vida de la clave, incluida su rotación.
• No es necesario preocuparse por administrar las claves de cifrado de datos.
• El cifrado de datos basado en claves administradas por el servicio no afecta negativamente al rendimiento de las cargas de trabajo.
• Simplifica la administración de claves de cifrado (incluida su rotación regular) y la administración de las identidades usadas para acceder a esas claves.

El cifrado de datos con claves administradas por el cliente para Azure DocumentDB proporciona las siguientes ventajas:

• Controla completamente el acceso a los datos. Puede revocar una clave para que una base de datos sea inaccesible.
• Puede controlar completamente el ciclo de vida de una clave para alinearse con las directivas corporativas.
• Puede administrar y organizar de forma centralizada todas las claves de cifrado en instancias propias de Azure Key Vault.
• El cifrado de datos basado en claves administradas por el cliente no afecta negativamente al rendimiento de las cargas de trabajo.
• Puede implementar una separación de tareas entre los responsables de seguridad, los administradores de bases de datos y los administradores del sistema.

Requisitos de CMK

Con la clave de cifrado administrada por el cliente, asume toda la responsabilidad de mantener los componentes configurados correctamente necesarios para que CMK funcione. Por lo tanto, debe implementar su propia instancia de Azure Key Vault y proporcionar una identidad administrada asignada por el usuario. Debe generar o importar una clave propia. Debe conceder permisos necesarios en Key Vault para que Azure DocumentDB pueda realizar las acciones necesarias en la clave. Debe encargarse de configurar todos los aspectos de red de Azure Key Vault en los que se mantiene la clave, de modo que la instancia de Azure DocumentDB pueda acceder a la clave. La auditoría del acceso a la clave también es responsabilidad suya.

Al configurar claves administradas por el cliente para un clúster de Azure DocumentDB para MonogDB, Azure Storage ajusta la clave de cifrado de datos raíz (DEK) de la cuenta con la clave administrada por el cliente en el almacén de claves asociado. La protección de la clave de cifrado raíz cambia, pero los datos de la cuenta de Azure Storage siempre permanecen cifrados. No se necesita ninguna acción adicional por su parte para asegurarse de que los datos están protegidos. La protección de las claves administradas por el cliente surte efecto de manera inmediata.

Azure Key Vault es un sistema de administración de claves externas basado en la nube. Es de alta disponibilidad y proporciona almacenamiento escalable y seguro para claves criptográficas RSA. No permite el acceso directo a una clave almacenada, pero proporciona servicios de cifrado y descifrado a entidades autorizadas. Key Vault puede generar la clave, importarla o recibirla transferida desde un dispositivo HSM en las instalaciones.

A continuación se muestra la lista de requisitos y recomendaciones para la configuración de cifrado de datos para Azure DocumentDB:

Almacén de claves

El almacén de claves utilizado para la configuración de CMK debe cumplir los siguientes requisitos:

• Key Vault y Azure DocumentDB deben pertenecer al mismo inquilino de Microsoft Entra.
• Recomendación: establezca la opción Días para conservar los almacenes eliminados de Key Vault en 90 días. Esta configuración solo se puede definir en el momento de creación del almacén de claves. Una vez que se crea una instancia, no es posible modificar su configuración.
• Habilite la soft-delete característica del almacén de claves para ayudarle a proteger contra la pérdida de datos, si se elimina accidentalmente una clave o una instancia del almacén de claves. Key Vault conserva los recursos eliminados temporalmente durante 90 días a menos que el usuario los recupere o purgue mientras tanto. Las acciones de recuperación y de purga tienen sus propios permisos asociados a una bóveda de claves, un rol de control de acceso basado en roles (RBAC) o un permiso de directiva de acceso. La característica de eliminación temporal está habilitada de manera predeterminada. Si tiene un almacén de claves que se implementó hace mucho tiempo, es posible que todavía tenga deshabilitada la eliminación temporal. En ese caso, puede activarlo.
• Habilite la protección de purga para aplicar un período de retención obligatorio para almacenes eliminados y objetos de almacén.
• Configure el acceso de red para permitir que el clúster acceda a la clave de cifrado en el almacén de claves. Use una de las siguientes opciones de configuración:
  • Permitir el acceso público desde todas las redes permite que todos los hosts de Internet accedan a la bóveda de claves.
  • Seleccione Deshabilitar el acceso público y Permitir que los servicios de Microsoft de confianza omitan este firewall para deshabilitar todo el acceso público, pero para permitir que el clúster acceda al almacén de claves.

Clave de cifrado

La clave de cifrado seleccionada para la configuración de CMK debe cumplir los siguientes requisitos:

• La clave que se usa para cifrar la clave de cifrado de datos solo puede ser asimétrica, RSA o RSA-HSM. Se admiten los tamaños de clave de 2048, 3072 y 4096.
  • Se recomienda usar una clave de 4096 bits para mejorar la seguridad.
• La fecha y hora de activación de la clave (si se establece) deben estar en el pasado. La fecha y hora de expiración (si se establece) deben estar en el futuro.
• La clave debe estar en estado Habilitado.
• Si va a importar una clave existente en Azure Key Vault, escríbala en los formatos de archivo admitidos (.pfx, .byoko .backup).

Permissions

Conceda a la identidad administrada asignada por el usuario de Azure DocumentDB acceso a la clave de cifrado:

• Preferido: Azure Key Vault se debe configurar con el modelo de permisos RBAC y la identidad administrada se debe asignar al rol de usuario de cifrado de servicio criptográfico de Key Vault.
• Heredado: si Azure Key Vault está configurado con el modelo de permisos de directiva de acceso, conceda los permisos siguientes a la identidad administrada:
  • get: para recuperar las propiedades y la parte pública de la clave en el almacén de claves.
  • lista: para enumerar e iterar por las claves almacenadas en Key Vault.
  • wrapKey: para cifrar la clave de cifrado de datos.
  • unwrapKey: para descifrar la clave de cifrado de datos.

Actualizaciones de la versión de clave de CMK

CMK en Azure DocumentDB admite actualizaciones automáticas de versiones de clave, también conocidas como claves sin versión. El servicio Azure DocumentDB recoge automáticamente la nueva versión de la clave y vuelve a cifrar la clave de cifrado de datos. Esta funcionalidad se puede combinar con la característica de asignación automática de Azure Key Vault.

Consideraciones

Cuando use una clave administrada por el cliente para el cifrado de datos, siga estas recomendaciones para configurar Key Vault:

• Para evitar la eliminación accidental o no autorizada de este recurso crítico, establezca un bloqueo de recursos de Azure en Azure Key Vault.
• Revise y habilite las opciones de disponibilidad y redundancia de Azure Key Vault.
• Habilite el registro y las alertas en la instancia de Azure Key Vault que se usa para almacenar claves. Key Vault proporciona registros que son fáciles de insertar en otras herramientas de administración de eventos e información de seguridad (SIEM). Los registros de Azure Monitor son un ejemplo de un servicio que ya está integrado.
• Habilite la rotación automática de claves. El servicio Azure DocumentDB siempre recoge la versión más reciente de la clave seleccionada.
• Para bloquear el acceso de red pública a Key Vault , seleccione Deshabilitar acceso público y Permitir que los servicios de Microsoft de confianza omitan este firewall.

• Mantenga una copia de la clave gestionada del cliente en un lugar seguro o depósitela en un servicio de custodia.
• Si Key Vault genera la clave, cree una copia de seguridad de claves antes de usar la clave por primera vez. Solo se puede restaurar la copia de seguridad en Key Vault.

Contenido relacionado

• Siga estos pasos para habilitar el cifrado de datos en reposo con la clave administrada por el cliente en Azure DocumentDB.
• Solución de problemas de configuración de CMK
• Migración de datos a Azure DocumentDB