Protección de un clúster con cifrado en Azure Data Explorer

Los clústeres de Azure Data Explorer usan Azure Storage para un almacenamiento persistente en el que los datos en reposo están cifrados y utilizan el almacenamiento de máquinas virtuales para los datos almacenados en caché que se eliminan cuando finaliza el proceso. Puede usar el cifrado para ambos tipos de datos para custodiar y proteger los datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización.

Protección de los datos de Azure Storage con cifrado

Cuando crea un clúster, sus datos se almacenan en Azure Storage y se cifran automáticamente en el nivel de servicio. Azure Storage se integra con Azure Key Vault para almacenar y administrar las claves que garantizan que todos los datos del clúster estén cifrados. El cifrado en el nivel de servicio admite el uso tanto de claves administradas por Microsoft como de claves administradas por el cliente con Azure Key Vault. De forma predeterminada, se usa una clave administrada por Microsoft para cifrar los datos.

Opcionalmente, puede habilitar el cifrado doble en el nivel de infraestructura. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. El doble cifrado de los datos de Azure Storage sirve de protección en caso de que uno de los algoritmos de cifrado o las claves puedan estar en peligro. En este escenario, la capa adicional de cifrado también protege los datos. El cifrado en el nivel de infraestructura se basa en las claves administradas por Microsoft y siempre usa una clave independiente.

Si necesita un mayor nivel de garantía de que los datos son seguros, use las siguientes opciones para configurar los datos en reposo:

• Uso de su propia clave administrada por el cliente
• Habilitación del cifrado doble

Protección del almacenamiento de la máquina virtual con cifrado

Cuando se crea un clúster, el almacenamiento en caché de máquinas virtuales no está cifrado de forma predeterminada. Puede habilitar el cifrado de disco para cifrar la caché activa almacenada en los volúmenes de datos y el disco del sistema operativo de las máquinas virtuales que pertenecen al clúster. Los datos se cifran en reposo mediante claves administradas por Microsoft.

Siga los pasos que se indican en Habilitación del cifrado de disco para proteger los datos almacenados en las máquinas virtuales del clúster.

Azure Data Explorer almacena los datos dentro de una región

Cada clúster de Azure Data Explorer se ejecuta en recursos dedicados en una sola región. Todos los datos se almacenan dentro de la región.

Contenido relacionado

• Habilitación del cifrado doble del clúster
• Habilitación del cifrado del clúster
• Comprobación del estado del clúster