Cifrado de datos en Azure

Los datos se pueden clasificar por su estado:

  • Datos en reposo. Todos los objetos, contenedores y tipos de almacenamiento de información que existen de forma estática en los soportes físicos, ya sean discos magnéticos u ópticos.

  • Datos en tránsito. Datos que se transfieren entre componentes, ubicaciones o programas.

En una solución en la nube, una única transacción empresarial puede conducir a varias operaciones de datos en las que los datos se mueven de un medio de almacenamiento a otro. Para proporcionar una protección de datos completa, se deben cifrar en los volúmenes de almacenamiento y mientras se transfieren de un punto a otro.

Puntos clave

  • Use controles de acceso de almacenamiento basados en identidad.
  • Use algoritmos de cifrado estándar y recomendados.
  • Use solo algoritmos hash seguros (familia SHA-2).
  • Clasifique sus datos en reposo y use cifrado.
  • Cifre discos virtuales.
  • Use una clave de cifrado de claves (KEK) adicional para proteger su clave de cifrado de datos (DEK).
  • Proteja los datos en tránsito mediante canales de red cifrados (TLS/HTTPS) para todas las comunicaciones entre cliente y servidor. Use TLS 1.2 en Azure.

Características de cifrado de Azure

Azure proporciona características integradas para el cifrado de datos en muchas capas que participan en el procesamiento de datos. Se recomienda que, para cada servicio, habilite la funcionalidad de cifrado. El cifrado se administra automáticamente mediante claves administradas por Azure. Esto no requiere casi ninguna interacción del usuario.

Se recomienda implementar controles de acceso de almacenamiento basado en identidad. La autenticación con una clave compartida (como una firma de acceso compartido) no permite la misma flexibilidad y control que el control de acceso basado en identidad. La pérdida de una clave compartida podría permitir el acceso indefinido a un recurso, mientras que un control de acceso basado en rol se puede identificar y autenticar de forma más fuerte.

El almacenamiento en un servicio en la nube como Azure se diseña e implementa de forma bastante diferente que en las soluciones locales, esto para permitir el escalado masivo, el acceso moderno a través de las API REST y el aislamiento entre los inquilinos. Los proveedores de servicios en la nube cuentan con varios métodos de control de acceso sobre los recursos de almacenamiento disponibles. Entre los ejemplos se incluyen claves compartidas, firmas compartidas, acceso anónimo y métodos basados en un proveedor de identidades.

Tenga en cuenta algunas de las características integradas de Azure Storage:

  • Acceso basado en identidad. Permite el acceso mediante Azure Active Directory (Azure AD) y mecanismos de autenticación basados en claves (como la autenticación de clave compartida simétrica o la firma de acceso compartido [SAS]).
  • Cifrado integrado. Azure Storage cifra todos los datos almacenados. Un inquilino no puede leer datos si no los ha escrito ese mismo inquilino. Esta característica proporciona control sobre la fuga de datos entre inquilinos.
  • Controles basados en regiones. Los datos solo permanecen en la región seleccionada y se mantienen tres copias sincrónicas de los datos dentro de esa región. Azure Storage proporciona un registro de actividad detallado que está disponible de manera opcional.
  • Características de firewall. El firewall proporciona un nivel adicional de control de acceso y protección contra amenazas de almacenamiento para detectar actividades y accesos anómalos.

Para ver el conjunto completo de características, consulte Cifrado del servicio Azure Storage.

Acción sugerida

Los métodos de autenticación y autorización de los proveedores de identidad que son los que menos probabilidad tienen de estar en peligro y permiten controles de acceso basado en rol más específicos en los recursos de almacenamiento.

Más información

Para más información, consulte Autenticación del acceso a blobs mediante Azure Active Directory.

Algoritmos de cifrado estándar

¿La organización usa algoritmos de cifrado estándar del sector en lugar de crear los suyos propios?


Las organizaciones no deben desarrollar y mantener sus propios algoritmos de cifrado. Evite usar algoritmos de cifrado personalizados o criptografía directa en la carga de trabajo. Estos métodos no suelen soportar ataques reales.

Los estándares seguros ya existen en el mercado y se recomienda utilizarlos preferentemente. Si se requiere una implementación personalizada, los desarrolladores deben usar algoritmos criptográficos y estándares seguros bien establecidos. Use Estándar de cifrado avanzado (AES) como cifrado de bloques simétricos (AES-128, AES-192 y AES-256 son aceptables).

Los desarrolladores deben usar las API de criptografía integradas en los sistemas operativos en lugar de bibliotecas de criptografía que no sean de la plataforma. Para .NET, siga el modelo de criptografía de .NET.

Es aconsejable usar algoritmos de cifrado estándar y recomendados.

Para más información, consulte Elección de un algoritmo.

¿Se usan funciones hash modernas?


Las aplicaciones deben usar la familia SHA-2 de algoritmos hash (SHA-256, SHA-384, SHA-512).

Datos en reposo

Todos los datos importantes se deben clasificar y cifrar con un estándar de cifrado. Clasifique y proteja todos los objetos de almacenamiento de información. Utilice el cifrado para asegurarse de que el contenido de los archivos no sea accesible para usuarios no autorizados.

Los datos en reposo se cifran de forma predeterminada en Azure, pero ¿los datos críticos están clasificados y etiquetados o etiquetados para que se puedan auditar?

Los datos más confidenciales pueden incluir información empresarial, financiera, sanitaria o personal. La detección y clasificación de estos datos pueden representar un rol fundamental en el enfoque de la protección de la información de la organización. Puede servir como infraestructura para lo siguiente:

  • Ayudar a satisfacer los estándares de privacidad de datos y los requisitos de cumplimiento normativo.
  • Varios escenarios de seguridad, como la supervisión (auditoría) y las alertas relacionadas con accesos anómalos a información confidencial.
  • Controlar el acceso y mejorar la seguridad de las bases de datos que contienen información altamente confidencial.

Acción sugerida

Clasifique sus datos. Tenga en cuenta la Clasificación y detección de datos en Azure SQL Database.

Clasificación de datos

Una primera tarea fundamental para proteger los datos es organizarlos en categorías basadas en determinados criterios. Los criterios de clasificación pueden ser sus necesidades empresariales, requisitos de cumplimiento y el tipo de datos.

En función de la categoría, puede protegerlos mediante:

  • Mecanismos de cifrado estándar.
  • Aplicación de gobernanza de seguridad mediante directivas.
  • Realización de auditorías para garantizar que las medidas de seguridad cumplen los requisitos.

Una manera de clasificar los datos es mediante el uso de etiquetas.

¿La organización cifra los archivos de discos virtuales de las máquinas virtuales que están asociadas con esta carga de trabajo?


Existen muchas opciones para almacenar archivos en la nube. Las aplicaciones nativas de la nube suelen usar Azure Storage. Las aplicaciones que se ejecutan en máquinas virtuales las usan para almacenar archivos. Las máquinas virtuales usan archivos de discos virtuales como volúmenes de almacenamiento virtual y existen en un almacenamiento de blobs.

Considere la posibilidad de usar una solución híbrida. Los archivos pueden moverse desde el entorno local a la nube, desde la nube al entorno local o entre servicios hospedados en la nube. Una estrategia consiste en asegurarse de que los archivos y su contenido no sean accesibles para usuarios no autorizados. Puede usar controles de acceso basados en autenticación para impedir la descarga no autorizada de los archivos. Sin embargo, esto no es suficiente. Disponga de un mecanismo de respaldo para proteger los archivos de disco virtual en caso de que la autenticación y la autorización o su configuración se vean comprometidas. Tiene varias posibilidades. Puede cifrar los archivos de discos virtuales. Si se intentan montar archivos de disco, el contenido de los archivos no será accesible debido al cifrado.

Se recomienda habilitar el cifrado de discos virtuales. Para obtener información sobre cómo cifrar discos de VM Windows, consulte Inicio rápido: Creación y cifrado de una máquina virtual Windows con la CLI de Azure.

Los discos virtuales basados en Azure se almacenan como archivos en una cuenta de almacenamiento. Si no se aplica ningún cifrado a un disco virtual y un atacante consigue descargar un archivo de imagen de disco virtual, se puede montar e inspeccionar según convenga al atacante como si tuviera acceso físico al equipo de origen. El cifrado de los archivos del disco ayuda a evitar que los atacantes obtengan acceso al contenido de dichos archivos en caso de que puedan descargarlos. En función de la confidencialidad de la información almacenada en el disco, el acceso sin cifrar podría representar un riesgo crítico para los datos empresariales confidenciales (como una base de datos SQL) o la identidad (por ejemplo, un controlador de dominio de AD).

Un ejemplo de cifrado de discos virtuales es Azure Disk Encryption.

Azure Disk Encryption ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de su organización. Usa la característica BitLocker de Windows (o DM-Crypt de Linux) para ofrecer cifrado de volumen para los discos de datos y del sistema operativo en las máquinas virtuales (VM) de Azure. Está integrado con Azure Key Vault para ayudarle a controlar y administrar los secretos y las claves de cifrado de discos.

Las máquinas virtuales usan archivos de disco virtual como volúmenes de almacenamiento y existen en el sistema de almacenamiento de blobs de un proveedor de servicios en la nube. Estos archivos se pueden migrar desde entornos locales a sistemas en la nube, desde sistemas en la nube a entornos locales o entre sistemas en la nube. Debido a la movilidad de estos archivos, se recomienda que los archivos y el contenido no sean accesibles para usuarios no autorizados.

¿La organización usa controles de acceso al almacenamiento basados en identidad para esta carga de trabajo?


Existen muchas maneras de controlar el acceso a los datos: claves compartidas, firmas compartidas, acceso anónimo o mecanismos basados en un proveedor de identidades. Use Azure Active Directory (Azure AD) y el control de acceso basado en roles (RBAC) para conceder acceso. Para más información, consulte Consideraciones sobre la administración de identidades y acceso.

¿La organización protege las claves de esta carga de trabajo con una clave de cifrado de claves (KEK) adicional?


Use más de una clave de cifrado en una implementación de cifrado en reposo. Almacenar una clave de cifrado en Azure Key Vault garantiza el acceso de clave segura y la administración central de claves.

Use una clave de cifrado de claves (KEK) adicional para proteger su clave de cifrado de datos (DEK).

Acciones sugeridas

Identifique las máquinas virtuales sin cifrar a través de Microsoft Defender for Cloud o de scripts, y cífrelas mediante Azure Disk Encryption. Asegúrese de que todas las nuevas máquinas virtuales estén cifradas de forma predeterminada y supervise periódicamente los discos no protegidos.

Más información

Azure Disk Encryption para máquinas virtuales y conjuntos de escalado de máquinas virtuales

Datos en tránsito

Los datos en tránsito deben cifrarse en todos los puntos para garantizar la integridad de los datos.

La protección de los datos en tránsito debe ser una parte esencial de su estrategia de protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar datos entre diferentes ubicaciones.

En relación con los datos que se desplazan entre la infraestructura local y Azure, plantee usar medidas de seguridad apropiadas, como HTTPS o VPN. Al enviar tráfico cifrado entre una instancia de Azure Virtual Network y una ubicación local a través de Internet público, use Azure VPN Gateway.

¿La carga de trabajo se comunica solo mediante tráfico de red cifrado?


Se debe cifrar cualquier comunicación de red entre el cliente y el servidor en la que se puedan producir ataques de tipo "Man in the Middle". Todas las comunicaciones de sitios web deben usar HTTPS, independientemente de la confidencialidad percibida de los datos transferidos. Los ataques de tipo "Man in the Middle" pueden producirse en cualquier lugar del sitio, no solo en los formularios de inicio de sesión.

Este mecanismo se puede aplicar a casos de uso como:

  • Aplicaciones web y API para todas las comunicaciones con los clientes.
  • Datos que se mueven en un bus de servicio desde el entorno local a la nube y viceversa, o durante un proceso de entrada/salida.

En ciertos estilos de arquitectura, como los microservicios, los datos se deben cifrar durante la comunicación entre los servicios.

¿Qué versión de TLS se usa en las cargas de trabajo?


Se recomienda usar la versión más reciente de TLS. Todos los servicios de Azure admiten TLS 1.2 en puntos de conexión HTTPS públicos. Migre las soluciones para que admitan TLS 1.2 y use esta versión de forma predeterminada.

Si el tráfico de los clientes que usan versiones anteriores de TLS es mínimo, o si es aceptable que se produzcan errores en las solicitudes realizadas con una versión anterior de TLS, considere la posibilidad de aplicar una versión de TLS mínima. Para obtener información acerca de la compatibilidad con TLS en Azure Storage, consulte Corrección de riesgos de seguridad con una versión mínima de TLS.

En ocasiones, tiene que aislar todo el canal de comunicación entre su infraestructura local y la nube mediante una red privada virtual (VPN) o ExpressRoute. Para obtener más información, consulte estos artículos:

Para obtener más información, consulte Protección de datos en tránsito.

¿Alguna parte de la aplicación no protege los datos en tránsito?


Todos los datos se deben cifrar en tránsito mediante un estándar de cifrado común. Determine si todos los componentes de la solución usan un estándar coherente. En ocasiones en las que el cifrado no sea posible debido a limitaciones técnicas, asegúrese de que el motivo sea claro y válido.

Acciones sugeridas

Identifique las cargas de trabajo mediante sesiones sin cifrar y configure el servicio para que requiera el cifrado.

Más información

Pasos siguientes

Tan importante como proteger los datos mediante cifrado es proteger las claves que proporcionan acceso a los datos.

Los servicios de administración de identidades y acceso autentican y conceden permiso a los usuarios, asociados, clientes, aplicaciones, servicios y otras entidades. Para conocer las consideraciones de seguridad, consulte Consideraciones sobre la administración de identidades y acceso de Azure.

Vuelva al artículo principal: Protección de datos