Determinación del cifrado de Azure Storage

  • 4 minutos

El cifrado de Azure Storage para datos en reposo protege sus datos al asegurarse de que se cumplen los compromisos de seguridad y cumplimiento de la organización. Los procesos de cifrado y descifrado se realizan de forma automática. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones.

Cuando se crea una cuenta de almacenamiento, Azure genera dos claves de acceso de cuenta de almacenamiento de 512 bits para esa cuenta. Estas claves se pueden usar para autorizar el acceso a los datos de su cuenta de almacenamiento mediante la autorización de clave compartida o tokens de SAS firmados con la clave compartida.

Microsoft recomienda usar Azure Key Vault para administrar las claves de acceso, así como rotar y volver a generar las claves de forma periódica. El uso de Azure Key Vault facilita la rotación de las claves sin ocasionar interrupciones en las aplicaciones. También puede rotar las claves de forma manual.

Cosas que debe saber sobre el cifrado de Azure Storage

Examine las características siguientes del cifrado de Azure Storage.

  • Los datos se cifran automáticamente antes de escribirlos en Azure Storage.

  • Los datos se descifran automáticamente cuando se recuperan.

  • El cifrado de Azure Storage, el cifrado en reposo, el descifrado y la administración de claves son transparentes para los usuarios.

  • Todos los datos escritos en Azure Storage se cifran mediante el Estándar de cifrado avanzado (AES) de 256 bits. AES es uno de los cifrados de bloque más seguros que existen.

  • El cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento, nuevas o existentes, y no se puede deshabilitar.

Configuración del cifrado de Azure Storage

En Azure Portal, especifique el tipo de cifrado para configurar el cifrado de Azure Storage. Puede encargarse de administrar las claves o elegir que las administre Microsoft. Considere cómo puede implementar el cifrado de Azure Storage para la seguridad del almacenamiento.

Captura de pantalla que muestra el cifrado de Azure Storage, incluidas las claves administradas por Microsoft y las claves administradas por el cliente.

  • Cifrado de infraestructura. El cifrado de infraestructura se puede habilitar para toda la cuenta de almacenamiento o para un ámbito de cifrado dentro de una cuenta. Cuando se habilita el cifrado de infraestructura para una cuenta de almacenamiento o un ámbito de cifrado, los datos se cifran dos veces (una en el nivel de servicio y otra en el de infraestructura) con dos algoritmos de cifrado diferentes y dos claves distintas.

  • Claves administradas por la plataforma. Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure genera, almacena y administra completamente. Los clientes no interactúan con las claves administradas por la plataforma. Las claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma predeterminada.

  • Claves administradas por el cliente. Por otro lado, las claves administradas por el cliente (CMK) son claves que uno o varios clientes leen, crean, eliminan, actualizan o administran. Las claves almacenadas en un almacén de claves propiedad del cliente o en un módulo de seguridad de hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el que un cliente importa (trae) claves de una ubicación de almacenamiento externa. Este tema se describe con más detalle en la página siguiente.