Habilitación del cifrado doble en el nivel de infraestructura de Azure Storage

Azure Storage cifra automáticamente todos los datos de una cuenta de almacenamiento en el nivel de servicio mediante el cifrado AES de 256 bits, que es uno de los cifrados de bloques más seguros disponibles y es compatible con FIPS 140-2. Los clientes que requieren niveles más altos de garantía de que sus datos son seguros también pueden habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage para el cifrado doble.

El cifrado doble de datos de Azure Storage proporciona protección en profundidad frente a escenarios en los que uno de los algoritmos de cifrado o claves puede estar en peligro. Este enfoque de doble capa se alinea con los principios de seguridad de Confianza cero suponiendo que cualquier capa única de protección podría producir un error. En estos escenarios, la capa adicional de cifrado continúa protegiendo los datos.

El cifrado de infraestructura se puede habilitar para toda la cuenta de almacenamiento o para un ámbito de cifrado dentro de una cuenta. Cuando el cifrado de infraestructura está habilitado para una cuenta de almacenamiento o un ámbito de cifrado, los datos se cifran dos veces (una vez en el nivel de servicio y una vez en el nivel de infraestructura) con dos algoritmos de cifrado diferentes y dos claves diferentes.

El cifrado de nivel de servicio admite el uso de claves administradas por Microsoft o claves administradas por el cliente con Azure Key Vault o el modelo de seguridad de hardware administrado de Key Vault (HSM). El cifrado de nivel de infraestructura se basa en claves administradas por Microsoft y siempre usa una clave independiente.

Para cifrar los datos doblemente, primero debe crear una cuenta de almacenamiento o un ámbito de cifrado configurado para el cifrado de infraestructura.

Creación de una cuenta con el cifrado de infraestructura habilitado

Para habilitar el cifrado de infraestructura para una cuenta de almacenamiento, debe configurarlo en el momento en que cree la cuenta. El cifrado de infraestructura no se puede habilitar ni deshabilitar después de crear la cuenta, por lo que debe evaluar cuidadosamente los requisitos de cumplimiento antes de la implementación. La cuenta de almacenamiento debe ser de tipo propósito general v2 o blob en bloques premium.

Para usar Azure Portal para crear una cuenta de almacenamiento con el cifrado de infraestructura habilitado, siga estos pasos:

1. En Azure Portal, vaya a la página Cuentas de almacenamiento.

2. Elija el botón Agregar para agregar una nueva cuenta de almacenamiento de blobs en bloques de uso general v2 o premium.

3. En la pestaña Cifrado, busque Habilitar cifrado de infraestructura, y seleccione Habilitado.

4. Seleccione Revisar y crear para terminar de crear la cuenta de almacenamiento.

   

Para comprobar que el cifrado de infraestructura está habilitado para una cuenta de almacenamiento con Azure Portal, siga estos pasos:

1. Vaya a la cuenta de almacenamiento en Azure Portal.

2. En Configuración, elija Cifrado.

   

Creación de un ámbito de cifrado con el cifrado de infraestructura habilitado

Si el cifrado de infraestructura está habilitado para una cuenta, cualquier ámbito de cifrado creado en esa cuenta usa automáticamente el cifrado de infraestructura. Si el cifrado de infraestructura no está habilitado en el nivel de cuenta, tiene la opción de habilitarlo para un ámbito de cifrado en el momento en que cree el ámbito. La configuración de cifrado de infraestructura para un ámbito de cifrado no se puede cambiar después de crear el ámbito.

Procedimientos recomendados para implementar el cifrado de infraestructura

Al decidir si implementar el cifrado de infraestructura para Azure Storage, tenga en cuenta estas recomendaciones:

• Evaluar primero los requisitos de cumplimiento : el cifrado de infraestructura está diseñado principalmente para las organizaciones con requisitos de cumplimiento estrictos que exigen varias capas de cifrado. Revise sus obligaciones normativas (como HIPAA, PCI-DSS, FedRAMP) antes de habilitar esta característica.

• Comprender la permanencia de la decisión: el cifrado de infraestructura debe estar habilitado en la creación de la cuenta y no se puede deshabilitar más adelante. Planee cuidadosamente antes de la implementación, ya que deberá crear una nueva cuenta de almacenamiento y migrar datos si necesita cambiar esta configuración.

• Considere las implicaciones de rendimiento : aunque el impacto en el rendimiento es generalmente mínimo, el cifrado doble agrega sobrecarga computacional. Pruebe el rendimiento de la carga de trabajo antes de implementar en producción si tiene requisitos de alto rendimiento.

• Uso con claves administradas por el cliente para el control máximo : combine el cifrado de infraestructura con claves administradas por el cliente (CMK) en el nivel de servicio para el mayor nivel de control de cifrado. Esto proporciona defensa en profundidad con diferentes claves en cada capa.

• Implementación de Azure Policy para la gobernanza: use el servicio de Azure Policy integrado para aplicar el cifrado de infraestructura en todas las cuentas de almacenamiento nuevas de su organización. Esto garantiza una posición de seguridad coherente y evita la creación accidental de cuentas de almacenamiento no compatibles.

• Documentar la arquitectura de cifrado : mantenga una documentación clara de qué cuentas de almacenamiento usan el cifrado de infraestructura, por qué se ha habilitado y los requisitos de cumplimiento asociados. Esto es esencial para las auditorías y las revisiones de seguridad.

• Usar ámbitos de cifrado para el control pormenorizado : si solo determinados datos requieren cifrado doble, considere la posibilidad de usar ámbitos de cifrado en lugar de habilitar el cifrado de infraestructura para toda la cuenta. Esto proporciona flexibilidad al satisfacer necesidades de cumplimiento específicas.

• Planear la recuperación ante desastres : asegúrese de que las estrategias de recuperación ante desastres y de copia de seguridad tengan en cuenta la configuración de cifrado de infraestructura. Recuerde que las cuentas de almacenamiento restauradas o replicadas deben configurarse con el cifrado de infraestructura en el momento de la creación.

• Supervisión del estado de cifrado : audite periódicamente las cuentas de almacenamiento para comprobar que el cifrado de infraestructura está habilitado cuando sea necesario. Use los informes de cumplimiento de Azure Monitor, Azure Security Center o Azure Policy para la validación en curso.

• Equilibrar la seguridad y el costo : el cifrado de infraestructura agrega una pequeña sobrecarga computacional, pero sin costo de almacenamiento adicional. Sin embargo, la incapacidad de deshabilitarla más adelante significa que debe asegurarse de que la característica se alinea con la estrategia de seguridad a largo plazo.

• Procedimientos de migración de prueba : dado que el cifrado de infraestructura no se puede cambiar después de la creación, establezca y pruebe los procedimientos para migrar datos entre cuentas de almacenamiento si cambian los requisitos de cifrado.

• Combinar con otras características de seguridad : use el cifrado de infraestructura como parte de una estrategia de seguridad completa que incluya seguridad de red (puntos de conexión privados, firewalls), controles de acceso (RBAC de Azure, tokens de SAS) y supervisión (Azure Monitor, Microsoft Defender para Storage).