Definición del cifrado y administración de claves en Azure

El cifrado es un paso fundamental para garantizar la privacidad de los datos, el cumplimiento normativo y la residencia de los datos en Microsoft Azure. También es una de las preocupaciones de seguridad más importantes de muchas empresas. En esta sección, se tratan las consideraciones de diseño y las recomendaciones para el cifrado y la administración de claves.

Consideraciones de diseño

• Establezca los límites de suscripción y escala en relación a su aplicación a Azure Key Vault.

  Key Vault tiene límites de transacciones de claves y secretos. Para limitar las transacciones por almacén en un período determinado, consulte Límites de Azure.

  Key Vault actúa como límite de seguridad, ya que los permisos para acceder a las claves, los secretos y los certificados se encuentran en los almacenes. Las asignaciones de las directivas de acceso de Key Vault conceden permisos independientes a las claves, los secretos o los certificados. No admiten los permisos de nivel de objeto pormenorizados, como una clave, un secreto o una administración de claves de certificado específicos.

• Aísle los secretos específicos de la aplicación y de la carga de trabajo, y los secretos compartidos, como sea necesario para controlar el acceso.

• Optimice las SKU Premium cuando se requieran claves protegidas con HSM (Módulo de seguridad de hardware).

  Los HSM subyacentes son compatibles con FIPS 140-2 nivel 2. Administre el HSM dedicado de Azure para el cumplimiento del nivel 3 de FIPS 140-2, teniendo en cuenta los escenarios admitidos.

• Administración de la rotación de claves y expiración de secretos.

• Use certificados de Key Vault para administrar la adquisición y firma de certificados. Establezca alertas, notificaciones y renovaciones de certificados automatizadas.

• Establezca requisitos de recuperación ante desastres para claves, certificados y secretos.

• Establezca funcionalidades de replicación y conmutación por error. Establezca la disponibilidad y redundancia.

• La clave de supervisión, el certificado y el uso de secretos.

  Detección del acceso no autorizado mediante un almacén de claves o un área de trabajo de Log Analytics de Azure Monitor. Para más información, consulte Supervisión y alertas de Azure Key Vault.

• Creación delegada de instancias de Key Vault y acceso con privilegios. Para obtener más información, consulte Seguridad de Azure Key Vault.

• Establezca requisitos relacionados con el uso de claves administradas por el cliente para los mecanismos de cifrado nativos como el cifrado de Azure Storage:

  • Claves administradas por el cliente
  • Cifrado de todo el disco para máquinas virtuales (VM)
  • Cifrado de datos en tránsito
  • Cifrado de datos en reposo

Recomendaciones de diseño

• Use un modelo de Azure Key Vault federado para evitar límites de escala de transacciones.

• RBAC de Azure es el sistema de autorización recomendado para el plano de datos de Azure Key Vault. Consulte Control de acceso basado en roles de Azure (RBAC de Azure) frente a las directivas de acceso (heredadas) para obtener más información.

• Aprovisione Azure Key Vault con las directivas de eliminación temporal y purga habilitadas para permitir la protección de retención de los objetos eliminados.

• Siga un modelo de privilegios mínimos limitando la autorización para eliminar de forma permanente las claves, los secretos y los certificados a roles de Microsoft Entra personalizados y especializados.

• Automatice el proceso de renovación y administración de certificados con entidades de certificación públicas para facilitar la administración.

• Establezca un proceso automatizado para la rotación de claves y certificados.

• Habilite el firewall y puntos de conexión de servicio de red virtual en el almacén para controlar el acceso al almacén de claves.

• Use el área de trabajo de Log Analytics de Azure Monitor central de la plataforma para auditar el uso de claves, certificados y secretos en cada instancia de Key Vault.

• Delegue la creación de instancias de Key Vault y el acceso con privilegios, y use Azure Policy para aplicar una configuración compatible coherente.

• Use de forma predeterminada las claves administradas por Microsoft para la funcionalidad de cifrado de entidad de seguridad y use las claves administradas por el cliente cuando sea necesario.

• No use instancias de Key Vault centralizadas para claves o secretos de aplicación.

• Para evitar el uso compartido de secretos entre entornos, no comparta instancias de Key Vault entre aplicaciones.