Cifrado de datos de Azure Cosmos DB

SE APLICA A: SQL API Cassandra API Gremlin API Table API Azure Cosmos DB API para MongoDB

El cifrado en reposo es una frase que se refiere normalmente al cifrado de datos en dispositivos de almacenamiento permanente, como unidades de estado sólido (SSD) y discos duros (HDD). Cosmos DB almacena sus bases de datos principales en unidades SSD. Sus elementos multimedia adjuntos y las copias de seguridad se almacenan en Azure Blob Storage, cuyos archivos de copia de seguridad suelen encontrarse en unidades HDD. Con el lanzamiento del cifrado en reposo para Cosmos DB, todas las bases de datos, los elementos multimedia adjuntos y las copias de seguridad están cifrados. Ahora, los datos están cifrados en tránsito (por la red) y en reposo (almacenamiento permanente), lo que le proporciona cifrado de un extremo a otro.

Como servicio de PaaS, Azure Cosmos DB es muy sencillo de usar. Dado que todos los datos de usuario almacenados en Azure Cosmos DB se cifran en reposo y en tránsito, no es necesario hacer nada. Otra forma de decirlo es que el cifrado en reposo está "activado" de forma predeterminada. No hay ningún mando para activarlo o desactivarlo. Azure Cosmos DB usa el cifrado de AES-256 en todas las regiones donde se ejecuta la cuenta. Ofrecemos esta característica a la vez que continuamos cumpliendo con nuestros Acuerdos de Nivel de Servicio con respecto a disponibilidad y rendimiento. Los datos almacenados en su cuenta de Azure Cosmos se cifran de forma automática y sin problemas con claves administradas por Microsoft (claves administradas por el servicio). Como opción, puede elegir agregar una segunda capa de cifrado con sus propias claves, tal como se describe en el artículo de claves administradas por el cliente.

Implementación de cifrado en reposo para Azure Cosmos DB

El cifrado en reposo se implementa mediante una serie de tecnologías de seguridad, como sistemas seguros de almacenamiento de claves, redes cifradas y API criptográficas. Los sistemas que descifran y procesan datos tienen que comunicarse con los sistemas que administran claves. En el diagrama se muestra cómo se separan el almacenamiento de datos cifrados y la administración de claves.

Diagrama de diseño

El flujo básico de una solicitud de usuario es el siguiente:

  • La cuenta de la base de datos del usuario se prepara y las claves de almacenamiento se recuperan a través de una solicitud al proveedor de recursos del servicio de administración.
  • Un usuario crea una conexión a Cosmos DB a través de HTTPS o transporte seguro. (En los SDK se incluye una breve descripción al respecto).
  • El usuario envía un documento JSON para almacenarlo a través de la conexión segura creada anteriormente.
  • El documento JSON se indexa a menos que el usuario haya desactivado la indexación.
  • Tanto el documento JSON como los datos de índice se escriben en un almacenamiento seguro.
  • Los datos se leen periódicamente desde el almacenamiento seguro y se realiza una copia de seguridad de ellos en el almacén de blobs cifrado de Azure.

Preguntas más frecuentes

P: ¿Cuánto aumenta el costo de Azure Storage si se habilita Storage Service Encryption?

A. No hay costo adicional.

P: ¿Quién administra las claves de cifrado?

A. Las administra Microsoft.

P: ¿Con qué frecuencia se alternan las claves de cifrado?

A. Microsoft cuenta con un conjunto de directrices internas para la rotación de claves de cifrado y Cosmos DB las sigue. Estas directrices específicas no se han publicado. Microsoft sí que publica el Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft, que se considera un subconjunto de orientaciones internas e incluye procedimientos recomendados para desarrolladores de gran utilidad.

P: ¿Puedo usar mis propias claves de cifrado?

A. Sí, esta característica ahora está disponible para las cuentas nuevas de Azure Cosmos DB y esto debe realizarse en el momento de la creación de la cuenta. Para más información, consulte el documento sobre las Claves administradas por el cliente.

P: ¿Qué regiones tienen activado el cifrado?

A. Todas las regiones de Azure Cosmos DB tienen activado el cifrado de todos los datos de usuario.

P: ¿Afecta el cifrado a los Acuerdos de Nivel de Servicio de rendimiento y de latencia del rendimiento?

A. No hay ningún impacto ni cambios en el rendimiento de los Acuerdos de Nivel de Servicio ahora que está habilitado el cifrado en reposo para todas las cuentas nuevas y existentes. Puede leer más sobre la página del Acuerdo de Nivel de Servicio de Cosmos DB para consultar las garantías más recientes.

P: ¿Admite el emulador local el cifrado en reposo?

A. El emulador es una herramienta de desarrollo o prueba independiente y no emplea los servicios de administración de claves que usa el servicio de Cosmos DB. Nuestra recomendación es habilitar BitLocker en aquellas unidades de disco donde se almacenan los datos de prueba del emulador confidenciales. El emulador admite los cambios de directorio de datos predeterminado, así como el uso de una ubicación conocida.

Pasos siguientes