Cifrado de Azure
En esta unidad se proporciona información general sobre cómo se usa el cifrado en Microsoft Azure. Trata las áreas principales de cifrado, incluidos el cifrado en reposo, el cifrado en paquetes piloto y la administración de claves con Azure Key Vault. Cada sección incluye vínculos para obtener información más detallada.
Cifrado de datos en reposo
Los datos en reposo incluyen información que reside en el almacenamiento persistente en medios físicos, en cualquier formato digital. Los medios pueden incluir archivos en medios magnéticos o ópticos, datos archivados y copias de seguridad de datos. Microsoft Azure ofrece una variedad de soluciones de almacenamiento de datos para satisfacer diferentes necesidades, como archivos, discos, blobs y almacenamiento de tablas. Microsoft también proporciona cifrado para proteger Azure SQL Database, Azure Cosmos DB y Azure Data Lake.
El cifrado de datos en reposo mediante el cifrado de datos AES 256 está disponible para servicios en todo el software como servicio (SaaS), plataforma como servicio (PaaS) y modelos de nube de infraestructura como servicio (IaaS). En este artículo se resumen las opciones de cifrado de Azure y se proporcionan recursos para ayudarle a usarlas.
Para obtener una explicación más detallada sobre cómo se cifran los datos en reposo en Azure, consulte Azure Data Encryption-at-Rest.
Modelos de cifrado de Azure
Azure admite varios modelos de cifrado, incluido el cifrado del lado servidor que usa claves administradas por el servicio, claves administradas por el cliente en Key Vault o claves administradas por el cliente en hardware controlado por el cliente. Con el cifrado del lado cliente, puede administrar y almacenar claves locales o en otra ubicación segura.
Cifrado del lado cliente
El cifrado del lado cliente se realiza fuera de Azure. Incluye:
- Datos cifrados por una aplicación que se ejecuta en el centro de datos del cliente o mediante una aplicación de servicio.
- Datos que ya están cifrados cuando Azure los recibe.
Con el cifrado del lado cliente, los proveedores de servicios en la nube no tienen acceso a las claves de cifrado y no pueden descifrar estos datos. Tú mantienes el control total de las llaves.
Cifrado del lado servidor
Los tres modelos de cifrado del lado servidor ofrecen diferentes características de administración de claves, que puede elegir según sus requisitos:
- Claves administradas por el servicio: proporciona una combinación de control y conveniencia con una sobrecarga baja.
- Claves administradas por el cliente: proporciona control sobre las claves, incluida la compatibilidad con Bring Your Own Keys (BYOK) o permite generar nuevas claves.
- Claves administradas por el servicio en hardware controlado por el cliente: permite administrar claves en el repositorio propietario, fuera del control de Microsoft. Esta característica se denomina Host Your Own Key (HYOK). Sin embargo, la configuración es compleja y la mayoría de los servicios de Azure no admiten este modelo.
Cifrado de disco de Azure
Todos los discos, instantáneas e imágenes administrados están cifrados mediante Storage Service Encryption con una clave administrada por servicio. Azure también ofrece opciones para proteger discos temporales, cachés y administrar claves en Azure Key Vault. Para obtener más información, consulte Información general sobre las opciones de cifrado de disco administrado.
Cifrado del servicio Azure Storage
Los datos en reposo en Azure Blob Storage y los recursos compartidos de archivos de Azure se pueden cifrar en escenarios del lado servidor y del lado cliente.
Azure Storage Service Encryption (SSE) puede cifrar automáticamente los datos antes de almacenarlos y descifra automáticamente los datos al recuperarlos. El proceso es completamente transparente para los usuarios. Storage Service Encryption usa cifrado estándar de cifrado avanzado (AES) de 256 bits, que es uno de los cifrados de bloques más seguros disponibles. AES controla el cifrado, el descifrado y la administración de claves de forma transparente.
Cifrado de cliente de blobs de Azure
Puede realizar el cifrado del lado cliente de blobs de Azure de varias maneras.
Puede usar la biblioteca cliente de Azure Storage para el paquete NuGet de .NET para cifrar los datos de las aplicaciones cliente antes de cargarlos en Azure Storage.
Para obtener más información y descargar la biblioteca cliente de Azure Storage para el paquete NuGet de .NET, consulte Windows Azure Storage 8.3.0.
Cuando se usa el cifrado del lado cliente con Key Vault, los datos se cifran mediante una clave de cifrado de contenido simétrica (CEK) de un solo uso generada por el SDK de cliente de Azure Storage. La CEK se cifra mediante una clave de cifrado de claves (KEK), que puede ser una clave simétrica o un par de claves asimétricas. Puede administrarlo localmente o almacenarlo en Key Vault. A continuación, los datos cifrados se cargan en Azure Storage.
Para más información sobre el cifrado del lado cliente con Key Vault y empezar a trabajar con instrucciones de procedimientos, consulte Tutorial: Cifrado y descifrado de blobs en Azure Storage mediante Key Vault.
Por último, también puede usar la biblioteca cliente de Azure Storage para Java para realizar el cifrado del lado cliente antes de cargar datos en Azure Storage y descifrar los datos al descargarlos en el cliente. Esta biblioteca también admite la integración con Key Vault para la administración de claves de la cuenta de almacenamiento.
Cifrado de datos en reposo con Azure SQL Database
Azure SQL Database es un servicio de base de datos relacional de uso general en Azure que admite estructuras como datos relacionales, JSON, espacial y XML. SQL Database admite el cifrado del lado servidor a través de la característica Cifrado de datos transparente (TDE) y el cifrado del lado cliente a través de la característica Always Encrypted.
Cifrado de datos transparente
TDE se usa para cifrar archivos de datos de SQL Server, Azure SQL Database y Azure Synapse Analytics en tiempo real, mediante una clave de cifrado de base de datos (DEK), que se almacena en el registro de arranque de la base de datos para la disponibilidad durante la recuperación.
TDE protege los archivos de datos y de registro mediante algoritmos de cifrado AES y Triple Data Encryption Standard (3DES). El cifrado del archivo de base de datos se realiza en el nivel de página. Las páginas de una base de datos cifrada se cifran antes de escribirse en el disco y se descifran cuando se leen en la memoria. TDE ahora está habilitado de forma predeterminada en las bases de datos de Azure SQL recién creadas.
Característica Always Encrypted
Con la característica Always Encrypted en Azure SQL, puede cifrar los datos dentro de las aplicaciones cliente antes de almacenarlos en Azure SQL Database. También puede habilitar la delegación de la administración de bases de datos local a terceros y mantener la separación entre aquellos que poseen y pueden ver los datos y los que lo administran, pero no deben tener acceso a ellos.
Cifrado de nivel de celda o de columna
Con Azure SQL Database, puede aplicar el cifrado simétrico a una columna de datos mediante Transact-SQL. Este enfoque se denomina cifrado de nivel de celda o cifrado de nivel de columna (CLE), ya que puede usarlo para cifrar columnas específicas o incluso celdas específicas de datos con claves de cifrado diferentes. Al hacerlo, se proporciona una funcionalidad de cifrado más granular que TDE, que cifra los datos en las páginas.
CLE tiene funciones integradas que puede usar para cifrar los datos mediante claves simétricas o asimétricas, la clave pública de un certificado o una frase de contraseña mediante 3DES.
Cifrado de base de datos de Azure Cosmos DB
Azure Cosmos DB es la base de datos multimodelo distribuida globalmente de Microsoft. Los datos de usuario almacenados en Azure Cosmos DB en almacenamiento no volátil (unidades de estado sólido) se cifran de forma predeterminada. No hay controles para activarlo o desactivarlo. El cifrado en reposo se implementa mediante una serie de tecnologías de seguridad, incluidos sistemas de almacenamiento de claves seguros, redes cifradas y API criptográficas. Microsoft administra las claves de cifrado y se rotan según las directrices internas de Microsoft. Opcionalmente, puede optar por agregar una segunda capa de cifrado con claves que administre para usar las claves administradas por el cliente o la característica CMK .
Cifrado en reposo en Data Lake
Azure Data Lake es un repositorio de toda la empresa de cada tipo de datos recopilados en un único lugar antes de cualquier definición formal de requisitos o esquema. Data Lake Store admite el cifrado transparente "de forma predeterminada" de los datos en reposo, que se configura durante la creación de la cuenta. De forma predeterminada, Azure Data Lake Store administra las claves automáticamente, pero tiene la opción de administrarlas usted mismo.
Se usan tres tipos de claves para cifrar y descifrar datos: la clave de cifrado maestro (MEK), la clave de cifrado de datos (DEK) y la clave de cifrado de bloques (BEK). El MEK se usa para cifrar la DEK, que se almacena en medios persistentes, y el BEK se deriva de la DEK y el bloque de datos. Si administra sus propias claves, puede rotar el MEK.
Cifrado de datos en tránsito
Azure ofrece muchos mecanismos para mantener los datos privados a medida que se mueve de una ubicación a otra.
Cifrado de capa de vínculo de datos en Azure
Cada vez que el tráfico del cliente de Azure se mueve entre centros de datos, fuera de los límites físicos no controlados por Microsoft (o en nombre de Microsoft), se aplica un método de cifrado de capa de vínculo de datos mediante los estándares de seguridad MAC IEEE 802.1AE (también conocidos como MACsec) desde un punto a otro en el hardware de red subyacente. Los paquetes se cifran en los dispositivos antes de ser enviados, lo que impide ataques físicos de intermediario o de espionaje/interceptación. Dado que esta tecnología se integra en el propio hardware de red, proporciona cifrado de velocidad de línea en el hardware de red sin aumento de latencia de vínculo medible. Este cifrado MACsec está activado de forma predeterminada para todo el tráfico de Azure que viaja dentro de una región o entre regiones, y no se requiere ninguna acción en la parte de los clientes para habilitar.
Cifrado TLS en Azure
Microsoft ofrece a los clientes la capacidad de usar el protocolo de seguridad de la capa de transporte (TLS) para proteger los datos cuando viajan entre los servicios en la nube y los clientes. Los centros de datos de Microsoft negocian una conexión TLS con sistemas cliente que se conectan a los servicios de Azure. TLS proporciona autenticación sólida, privacidad de mensajes e integridad (habilitación de la detección de manipulación, interceptación y falsificación de mensajes), interoperabilidad, flexibilidad de algoritmos y facilidad de implementación y uso.
La confidencialidad directa perfecta (PFS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Las conexiones también admiten longitudes de clave de 2048 bits basadas en RSA, longitudes de clave ECC de 256 bits, autenticación de mensajes SHA-384 y cifrado de datos AES-256. Esta combinación dificulta que alguien intercepte y acceda a los datos que están en tránsito.
Transacciones de Azure Storage
Al interactuar con Azure Storage a través de Azure Portal, todas las transacciones se realizan a través de HTTPS. También puede usar la API REST de Almacenamiento a través de HTTPS para interactuar con Azure Storage. Puede aplicar el uso de HTTPS cuando llame a las API REST para acceder a objetos de cuentas de almacenamiento habilitando la transferencia segura necesaria para la cuenta de almacenamiento.
Las firmas de acceso compartido (SAS), que se pueden usar para delegar el acceso a objetos de Azure Storage, incluyen una opción para especificar que solo se puede usar el protocolo HTTPS cuando se usan firmas de acceso compartido. Este enfoque garantiza que cualquier persona que envíe vínculos con tokens SAS usa el protocolo adecuado.
SMB 3.0, que se usa para acceder a recursos compartidos de Azure Files, admite el cifrado y está disponible en Windows Server 2012 R2, Windows 8, Windows 8.1 y Windows 10. Permite el acceso entre regiones e incluso el acceso en el escritorio.
El cifrado del lado cliente cifra los datos antes de enviarlos a la instancia de Azure Storage, de modo que se cifre a medida que viaja a través de la red.
Cifrado de SMB a través de redes virtuales de Azure
Mediante el uso de SMB 3.0 en máquinas virtuales que ejecutan Windows Server 2012 o posterior, puede proteger las transferencias de datos mediante el cifrado de datos en tránsito a través de Redes virtuales de Azure. Al cifrar los datos, ayuda a protegerse contra ataques de manipulación y interceptación. Los administradores pueden habilitar el cifrado SMB para todo el servidor o simplemente recursos compartidos específicos.
De forma predeterminada, después de activar el cifrado SMB para un recurso compartido o servidor, solo los clientes SMB 3.0 pueden acceder a los recursos compartidos cifrados.
Cifrado en tránsito en máquinas virtuales
Los datos en tránsito hacia, desde y entre máquinas virtuales que ejecutan Windows, se pueden cifrar de varias maneras, en función de la naturaleza de la conexión.
Sesiones RDP
Puede conectarse e iniciar sesión en una máquina virtual mediante el Protocolo de escritorio remoto (RDP) desde un equipo cliente de Windows o desde un equipo Mac con un cliente RDP instalado. Los datos en tránsito por la red en sesiones RDP pueden ser protegidos por TLS.
También puede usar Escritorio remoto para conectarse a una máquina virtual Linux en Azure.
Acceso seguro a las VM de Linux con SSH
Para la administración remota, puede usar Secure Shell (SSH) para conectarse a máquinas virtuales Linux que se ejecutan en Azure. SSH es un protocolo de conexión cifrado que permite inicios de sesión seguros a través de conexiones no seguras. Es el protocolo de conexión predeterminado para las máquinas virtuales Linux hospedadas en Azure. Mediante el uso de claves SSH para la autenticación, se elimina la necesidad de contraseñas para iniciar sesión. SSH usa un par de claves pública y privada (cifrado asimétrico) para la autenticación.
Cifrado de VPN de Azure
Puede conectarse a Azure a través de una red privada virtual que crea un túnel seguro para proteger la privacidad de los datos enviados a través de la red.
Puertas de enlace de VPN de Azure
Puede usar una puerta de enlace de VPN de Azure para enviar tráfico cifrado entre la red virtual y la ubicación local a través de una conexión pública, o para enviar tráfico entre redes virtuales.
Las VPN de sitio a sitio usan IPsec para el cifrado de transporte. Las puertas de enlace de VPN de Azure usan un conjunto de propuestas predeterminadas. Puede configurar puertas de enlace de VPN de Azure para usar una directiva IPsec/IKE personalizada con algoritmos criptográficos específicos y puntos fuertes de clave, en lugar de los conjuntos de directivas predeterminados de Azure.
VPN de punto a sitio
Las VPN de punto a sitio permiten que los equipos cliente individuales accedan a una red virtual de Azure. El Protocolo de tunelización de sockets seguros (SSTP) se usa para crear el túnel VPN. Puede atravesar firewalls (el túnel aparece como una conexión HTTPS). Puede utilizar su propia autoridad certificadora raíz (CA) de infraestructura interna de clave pública (PKI) para la conectividad de punto a sitio.
Puede configurar una conexión VPN de punto a sitio a una red virtual mediante Azure Portal con autenticación de certificados o PowerShell.
Para obtener más información acerca de las conexiones VPN de punto a sitio para redes virtuales de Azure, vea:
VPN de sitio a sitio
Puede usar una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2). Este tipo de conexión requiere un dispositivo VPN local que tenga asignada una dirección IP pública externa.
Puede configurar una conexión VPN de sitio a sitio a una red virtual mediante Azure Portal, PowerShell o la CLI de Azure.
Para obtener más información, consulte:
Creación de una conexión de sitio a sitio en Azure Portal
Creación de una conexión de sitio a sitio en PowerShell
Creación de una red virtual con una conexión VPN de sitio a sitio mediante la CLI
Cifrado en tránsito en el Data Lake
Los datos en tránsito (también conocidos como datos en movimiento) también se cifran siempre en Data Lake Store. Además de cifrar los datos antes de almacenarlos en medios persistentes, los datos también se protegen siempre en tránsito mediante HTTPS. HTTPS es el único protocolo admitido para las interfaces de REST de Data Lake Store.
Para más información sobre el cifrado de datos en tránsito en Data Lake, consulte Cifrado de datos en Data Lake Store.
Administración de claves con Key Vault
Sin la protección y administración adecuadas de las claves, el cifrado se hace inútil. Key Vault es la solución recomendada por Microsoft para administrar y controlar el acceso a las claves de cifrado que usan los servicios en la nube. Los permisos para acceder a las claves se pueden asignar a los servicios o a los usuarios a través de cuentas de Microsoft Entra.
Key Vault alivia las organizaciones de la necesidad de configurar, aplicar revisiones y mantener módulos de seguridad de hardware (HSM) y software de administración de claves. Cuando se usa Key Vault, se mantiene el control. Microsoft nunca ve las claves y las aplicaciones no tienen acceso directo a ellas. También puede importar o generar claves en HSM.