Procedimientos recomendados de cifrado y seguridad de datos en AzureAzure data security and encryption best practices

En este artículo se describen los procedimientos recomendados para el cifrado y la seguridad de datos.This article describes best practices for data security and encryption.

Los procedimientos recomendados se basan en un consenso de opinión y son válidos para las funcionalidades y conjuntos de características actuales de la plataforma Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Como las opiniones y las tecnologías cambian con el tiempo, este artículo se actualiza de forma periódica para reflejar dichos cambios.Opinions and technologies change over time and this article is updated on a regular basis to reflect those changes.

Protección de datosProtect data

Para contribuir a proteger los datos en la nube, debe tener en cuenta los posibles estados que pueden tener los datos y los controles disponibles para ese estado.To help protect data in the cloud, you need to account for the possible states in which your data can occur, and what controls are available for that state. Los procedimientos recomendados para el cifrado y seguridad de datos de Azure están relacionados con los siguientes estados de datos:Best practices for Azure data security and encryption relate to the following data states:

  • En reposo: incluye toda la información acerca de los objetos de almacenamiento, contenedores y tipos que existen de forma estática en los soportes físicos, ya sean discos magnéticos u ópticos.At rest: This includes all information storage objects, containers, and types that exist statically on physical media, whether magnetic or optical disk.
  • En tránsito: cuando se transfieren datos entre componentes, ubicaciones o programas, están en tránsito.In transit: When data is being transferred between components, locations, or programs, it’s in transit. Algunos ejemplos son la transferencia a través de la red, a través de un bus de servicio (del entorno local a la nube y viceversa, incluidas las conexiones híbridas como ExpressRoute), o durante el proceso de entrada/salida.Examples are transfer over the network, across a service bus (from on-premises to cloud and vice-versa, including hybrid connections such as ExpressRoute), or during an input/output process.

Elegir una solución de administración de clavesChoose a key management solution

Proteger las claves es esencial para proteger los datos en la nube.Protecting your keys is essential to protecting your data in the cloud.

Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que usan los servicios y aplicaciones en la nube.Azure Key Vault helps safeguard cryptographic keys and secrets that cloud applications and services use. Key Vault agiliza el proceso de administración de claves y le permite mantener el control de claves que obtienen acceso a sus datos y los cifran.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Los desarrolladores pueden crear claves para desarrollo y prueba en minutos y, a continuación, migrarlas a claves de producción.Developers can create keys for development and testing in minutes, and then migrate them to production keys. Los administradores de seguridad pueden conceder (y revocar) permisos a las claves según sea necesario.Security administrators can grant (and revoke) permission to keys, as needed.

Puedes usar Key Vault para crear múltiples contenedores seguros denominados almacenes.You can use Key Vault to create multiple secure containers, called vaults. Estos almacenes están respaldados por HSM.These vaults are backed by HSMs. Los almacenes ayudan a reducir las posibilidades de que se produzca una pérdida accidental de información de seguridad centralizando el almacenamiento de los secretos de aplicación.Vaults help reduce the chances of accidental loss of security information by centralizing the storage of application secrets. Los almacenes de claves también permiten controlar y registrar el acceso a todo lo que está almacenado en ellos.Key vaults also control and log the access to anything stored in them. Azure Key Vault puede administrar la solicitud y renovación de certificados de Seguridad de la capa de transporte (TLS).Azure Key Vault can handle requesting and renewing Transport Layer Security (TLS) certificates. Proporciona características para una solución sólida para la administración del ciclo de vida de certificados.It provides features for a robust solution for certificate lifecycle management.

Azure Key Vault está diseñado para admitir secretos y claves de aplicación.Azure Key Vault is designed to support application keys and secrets. Key Vault no está pensado para usarse como almacén para las contraseñas de usuario.Key Vault is not intended to be a store for user passwords.

A continuación se indican los procedimientos recomendados de seguridad para el uso de Key Vault.Following are security best practices for using Key Vault.

Procedimiento recomendado: conceda acceso a usuarios, grupos y aplicaciones en un ámbito concreto.Best practice: Grant access to users, groups, and applications at a specific scope.
Detalles: use los roles predefinidos de RBAC.Detail: Use RBAC’s predefined roles. Por ejemplo, para conceder acceso a un usuario para administrar los almacenes de claves, se asignaría el rol predefinido Colaborador de Key Vault a este usuario en un ámbito específico.For example, to grant access to a user to manage key vaults, you would assign the predefined role Key Vault Contributor to this user at a specific scope. En este caso, el ámbito caso sería una suscripción, un grupo de recursos o, simplemente, un almacén de claves específico.The scope in this case would be a subscription, a resource group, or just a specific key vault. Si los roles predefinidos no se ajustan a sus necesidades, puede definir sus propios roles.If the predefined roles don’t fit your needs, you can define your own roles.

Procedimiento recomendado: controle a qué tienen acceso los usuarios.Best practice: Control what users have access to.
Detalles: El acceso a un almacén de claves se controla a través de dos interfaces diferentes: plano de administración y plano de datos.Detail: Access to a key vault is controlled through two separate interfaces: management plane and data plane. Los controles de acceso del plano de administración y del plano de datos funcionan de forma independiente.The management plane and data plane access controls work independently.

Use RBAC para controlar a qué tienen acceso los usuarios.Use RBAC to control what users have access to. Por ejemplo, si desea conceder a una aplicación acceso para usar las claves de un almacén de claves, solo necesita conceder permisos de acceso al plano de datos mediante directivas de acceso de Key Vault y no se necesita acceso a ningún plano de administración para esta aplicación.For example, if you want to grant an application access to use keys in a key vault, you only need to grant data plane access permissions by using key vault access policies, and no management plane access is needed for this application. Por el contrario, si desea que un usuario pueda leer las propiedades y etiquetas del almacén, pero no tenga acceso a las claves, los secretos o los certificados, puede concederle acceso de lectura mediante RBAC y no se requiere acceso al plano de datos.Conversely, if you want a user to be able to read vault properties and tags but not have any access to keys, secrets, or certificates, you can grant this user read access by using RBAC, and no access to the data plane is required.

Procedimiento recomendado: almacene los certificados en el almacén de claves.Best practice: Store certificates in your key vault. Los certificados son de gran valor.Your certificates are of high value. En las manos equivocadas, la seguridad de los datos o la aplicación puede estar en peligro.In the wrong hands, your application's security or the security of your data can be compromised.
Detalles: Azure Resource Manager puede implementar de manera segura los certificados almacenados en Azure Key Vault para las máquinas virtuales de Azure cuando estas se implementan.Detail: Azure Resource Manager can securely deploy certificates stored in Azure Key Vault to Azure VMs when the VMs are deployed. Al establecer directivas de acceso adecuadas para el almacén de claves, también controla quién obtiene acceso al certificado.By setting appropriate access policies for the key vault, you also control who gets access to your certificate. Otra ventaja es que administra todos los certificados desde el mismo sitio en Azure Key Vault.Another benefit is that you manage all your certificates in one place in Azure Key Vault. Consulte Deploy Certificates to VMs from customer-managed Key Vault (Implementar certificados en VM desde una instancia de Key Vault administrada por el usuario) para obtener más información.See Deploy Certificates to VMs from customer-managed Key Vault for more information.

Procedimiento recomendado: asegúrese de que puede recuperar almacenes de claves u objetos de almacén de claves si se eliminan.Best practice: Ensure that you can recover a deletion of key vaults or key vault objects.
Detalles: la eliminación de almacenes de claves u objetos de almacén de claves puede ser involuntaria o malintencionada.Detail: Deletion of key vaults or key vault objects can be inadvertent or malicious. Habilite las características de protección de purga y eliminación temporal de Key Vault, especialmente para las claves que se usan para cifrar datos en reposo.Enable the soft delete and purge protection features of Key Vault, particularly for keys that are used to encrypt data at rest. La eliminación de estas claves es equivalente a la pérdida de datos, así que, si es necesario, puede recuperar almacenes eliminados y objetos de almacén.Deletion of these keys is equivalent to data loss, so you can recover deleted vaults and vault objects if needed. Practique las operaciones de recuperación de Key Vault de forma periódica.Practice Key Vault recovery operations on a regular basis.

Nota

Si un usuario tiene permisos de colaborador (RBAC) en un plano de administración de Key Vault, se puede conceder a sí mismo acceso al plano de datos estableciendo la directiva de acceso al almacén de claves.If a user has contributor permissions (RBAC) to a key vault management plane, they can grant themselves access to the data plane by setting a key vault access policy. Se recomienda controlar de forma estricta quién tiene acceso de colaborador a los almacenes de claves, con el fin de garantizar que las personas autorizadas son las únicas que pueden acceder a los almacenes de claves, las claves, los secretos y los certificados, y administrarlos.We recommend that you tightly control who has contributor access to your key vaults, to ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.

Administración con estaciones de trabajo segurasManage with secure workstations

Nota

El administrador o propietario de la suscripción debe usar una estación de trabajo de acceso seguro o una estación de trabajo con privilegios de acceso.The subscription administrator or owner should use a secure access workstation or a privileged access workstation.

Puesto que la mayoría de los ataques van destinados al usuario final, el punto de conexión se convierte en uno de los principales puntos de ataque.Because the vast majority of attacks target the end user, the endpoint becomes one of the primary points of attack. Un atacante que ponga en peligro el punto de conexión puede aprovechar las credenciales del usuario para acceder a los datos de la organización.An attacker who compromises the endpoint can use the user’s credentials to gain access to the organization’s data. La mayoría de los ataques a los puntos de conexión aprovechan el hecho de que los usuarios finales son administradores en sus estaciones de trabajo locales.Most endpoint attacks take advantage of the fact that users are administrators in their local workstations.

Procedimiento recomendado: use una estación de trabajo de administración segura para proteger los datos, las tareas y las cuentas confidenciales.Best practice: Use a secure management workstation to protect sensitive accounts, tasks, and data.
Detalles: use una estación de trabajo con privilegios para reducir la superficie expuesta a ataques de las estaciones de trabajo.Detail: Use a privileged access workstation to reduce the attack surface in workstations. Estas estaciones de trabajo de administración seguras pueden ayudar a mitigar algunos de estos ataques y a garantizar la mayor seguridad de sus datos.These secure management workstations can help you mitigate some of these attacks and ensure that your data is safer.

Procedimiento recomendado: asegúrese de que los puntos de conexión están protegidos.Best practice: Ensure endpoint protection.
Detalles: aplique directivas de seguridad en todos los dispositivos que se usen para consumir datos, independientemente de la ubicación de dichos datos (nube o entorno local).Detail: Enforce security policies across all devices that are used to consume data, regardless of the data location (cloud or on-premises).

Protección de los datos en reposoProtect data at rest

El cifrado de los datos en reposo es un paso obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos.Data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty.

Procedimiento recomendado: cifre los discos para proteger los datos.Best practice: Apply disk encryption to help safeguard your data.
Detalles: use Azure Disk Encryption.Detail: Use Azure Disk Encryption. Permite que los administradores de TI cifren discos de VM IaaS Windows y Linux.It enables IT administrators to encrypt Windows and Linux IaaS VM disks. Disk Encryption combina la característica BitLocker de Windows estándar del sector y la característica dm-crypt de Linux para ofrecer el cifrado de volumen para el sistema operativo y los discos de datos.Disk Encryption combines the industry-standard Windows BitLocker feature and the Linux dm-crypt feature to provide volume encryption for the OS and the data disks.

Azure Storage y Azure SQL Database cifran los datos en reposo de forma predeterminada y muchos servicios ofrecen el cifrado como opción.Azure Storage and Azure SQL Database encrypt data at rest by default, and many services offer encryption as an option. Puede usar Azure Key Vault para mantener el control de las claves que se usan para acceder a los datos y cifrarlos.You can use Azure Key Vault to maintain control of keys that access and encrypt your data. Consulte Compatibilidad con modelo de cifrado de proveedores de recursos de Azure para obtener más información.See Azure resource providers encryption model support to learn more.

Procedimientos recomendados: use el cifrado para mitigar los riesgos relacionados con el acceso no autorizado a los datos.Best practices: Use encryption to help mitigate risks related to unauthorized data access.
Detalles: cifre las unidades antes de escribir información confidencial en ellas.Detail: Encrypt your drives before you write sensitive data to them.

Las organizaciones que no aplican el cifrado de datos están más expuestas a problemas de confidencialidad de los datos.Organizations that don’t enforce data encryption are more exposed to data-confidentiality issues. Por ejemplo, los usuarios no autorizados pueden robar datos de las cuentas en peligro u obtener acceso no autorizado a los datos codificados en ClearFormat.For example, unauthorized or rogue users might steal data in compromised accounts or gain unauthorized access to data coded in Clear Format. Las compañías también tienen que demostrar que son diligentes y que usan los controles de seguridad adecuados para mejorar la seguridad de los datos a fin de cumplir las normas del sector.Companies also must prove that they are diligent and using correct security controls to enhance their data security in order to comply with industry regulations.

Protección de los datos en tránsitoProtect data in transit

La protección de los datos en tránsito debe ser una parte esencial de su estrategia de protección de datos.Protecting data in transit should be an essential part of your data protection strategy. Puesto que los datos se desplazan entre muchas ubicaciones, la recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar datos entre diferentes ubicaciones.Because data is moving back and forth from many locations, we generally recommend that you always use SSL/TLS protocols to exchange data across different locations. En algunas circunstancias, es posible que desee aislar el canal de comunicación completo entre infraestructura local y en la nube mediante una VPN.In some circumstances, you might want to isolate the entire communication channel between your on-premises and cloud infrastructures by using a VPN.

Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse usar medidas de seguridad apropiadas, como HTTPS o VPN.For data moving between your on-premises infrastructure and Azure, consider appropriate safeguards such as HTTPS or VPN. Al enviar tráfico cifrado entre una instancia de Azure Virtual Network y una ubicación local a través de Internet público, use Azure VPN Gateway.When sending encrypted traffic between an Azure virtual network and an on-premises location over the public internet, use Azure VPN Gateway.

Estos son los procedimientos recomendados específicos para usar Azure VPN Gateway, SSL/TLS y HTTPS.Following are best practices specific to using Azure VPN Gateway, SSL/TLS, and HTTPS.

Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde varias estaciones de trabajo situadas en el entorno local.Best practice: Secure access from multiple workstations located on-premises to an Azure virtual network.
Detalles: use VPN de sitio a sitio.Detail: Use site-to-site VPN.

Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde una estación de trabajo situada en el entorno local.Best practice: Secure access from an individual workstation located on-premises to an Azure virtual network.
Detalles: use VPN de punto a sitio.Detail: Use point-to-site VPN.

Procedimiento recomendado: mueva los conjuntos de datos grandes a través de un vínculo WAN de alta velocidad dedicado.Best practice: Move larger data sets over a dedicated high-speed WAN link.
Detalles: use ExpressRoute.Detail: Use ExpressRoute. Si decide usar ExpressRoute, también puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos para una mayor protección.If you choose to use ExpressRoute, you can also encrypt the data at the application level by using SSL/TLS or other protocols for added protection.

Procedimiento recomendado: interactúe con Azure Storage a través de Azure Portal.Best practice: Interact with Azure Storage through the Azure portal.
Detalles: todas las transacciones se realizan a través de HTTPS.Detail: All transactions occur via HTTPS. También se puede usar la API de REST Storage a través de HTTPS para interactuar con Azure Storage.You can also use Storage REST API over HTTPS to interact with Azure Storage.

Las organizaciones que no protegen los datos en tránsito son más susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión.Organizations that fail to protect data in transit are more susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Estos ataques pueden ser el primer paso para obtener acceso a datos confidenciales.These attacks can be the first step in gaining access to confidential data.

Proteger el correo electrónico, los documentos y los datos confidencialesSecure email, documents, and sensitive data

Es recomendable controlar y proteger el correo electrónico, los documentos y los datos confidenciales que comparte fuera de su compañía.You want to control and secure email, documents, and sensitive data that you share outside your company. Azure Information Protection es una solución basada en la nube que ayuda a las organizaciones a clasificar, etiquetar y proteger sus documentos y correos electrónicos.Azure Information Protection is a cloud-based solution that helps an organization to classify, label, and protect its documents and emails. Esto puede ser automático para los administradores que definen reglas y condiciones, manual para los usuarios o una combinación de ambas opciones cuando los usuarios reciben recomendaciones.This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users get recommendations.

Es posible identificar la clasificación en todo momento, independientemente de dónde se almacenan los datos o con quién se comparten.Classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared. Las etiquetas incluyen distintivos visuales, como un encabezado, pie de página o marca de agua.The labels include visual markings such as a header, footer, or watermark. Se agregan metadatos a los archivos y encabezados de correo electrónico en texto no cifrado.Metadata is added to files and email headers in clear text. El texto no cifrado garantiza que otros servicios, como las soluciones para evitar la pérdida de datos, puedan identificar la clasificación y tomar las medidas adecuadas.The clear text ensures that other services, such as solutions to prevent data loss, can identify the classification and take appropriate action.

La tecnología de protección usa Azure Rights Management (Azure RMS).The protection technology uses Azure Rights Management (Azure RMS). Esta tecnología está integrada con otras aplicaciones y servicios en la nube de Microsoft, como Microsoft 365 y Azure Active Directory.This technology is integrated with other Microsoft cloud services and applications, such as Microsoft 365 and Azure Active Directory. Esta tecnología de protección usa directivas de autorización, identidad y cifrado.This protection technology uses encryption, identity, and authorization policies. La protección que se aplica mediante Azure RMS se mantiene con los documentos y correos electrónicos, independientemente de la ubicación, ya sea dentro o fuera de la organización, las redes, los servidores de archivos y las aplicaciones.Protection that is applied through Azure RMS stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.

Esta solución de protección de información le ofrece control sobre sus datos, incluso cuando se comparten con otras personas.This information protection solution keeps you in control of your data, even when it’s shared with other people. También puede usar Azure RMS con sus propias aplicaciones de línea de negocio y soluciones de protección de información de proveedores de software, tanto si estas aplicaciones y soluciones están en un entorno local como si están en la nube.You can also use Azure RMS with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises or in the cloud.

Se recomienda que:We recommend that you:

  • Implemente Azure Information Protection para su organización.Deploy Azure Information Protection for your organization.
  • Aplique etiquetas que reflejen sus requisitos empresariales.Apply labels that reflect your business requirements. Por ejemplo: aplique la etiqueta "extremadamente confidencial" a todos los documentos y correos electrónicos que contengan datos de alto secreto para clasificar y proteger dichos datos.For example: Apply a label named “highly confidential” to all documents and emails that contain top-secret data, to classify and protect this data. A continuación, solo los usuarios autorizados podrán acceder a estos datos, con cualquier restricción que especifique.Then, only authorized users can access this data, with any restrictions that you specify.
  • Configure el registro de uso para Azure RMS para que pueda supervisar cómo usa el servicio de protección su organización.Configure usage logging for Azure RMS so that you can monitor how your organization is using the protection service.

Las organizaciones con puntos débiles en la clasificación de datos y la protección de archivos pueden ser más susceptibles a la fuga o el uso incorrecto de datos.Organizations that are weak on data classification and file protection might be more susceptible to data leakage or data misuse. Con la protección adecuada de los archivos, puede analizar los flujos de datos para extraer conclusiones sobre su negocio, detectar comportamientos de riesgo y tomar medidas correctivas, realizar un seguimiento del acceso a los documentos, etc.With proper file protection, you can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, and so on.

Pasos siguientesNext steps

Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad de Azure y los servicios de Microsoft relacionados:The following resources are available to provide more general information about Azure security and related Microsoft services: