Cifrado doble

El cifrado doble es aquel en que dos o más capas independientes de cifrado están habilitadas para proteger frente a los peligros de cualquier otra capa de cifrado. El uso de dos capas de cifrado reduce las amenazas que surgen con el cifrado de datos. Por ejemplo:

  • Errores de configuración en el cifrado de datos
  • Errores de implementación en el algoritmo de cifrado
  • Poner en peligro una única clave de cifrado

Azure proporciona cifrado doble para datos en reposo y datos en tránsito.

Datos en reposo

El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en reposo es:

  • Cifrado de datos con claves administradas por el cliente. El usuario proporciona su propia clave para el cifrado de discos. Puede traer sus propias claves a su instancia de Key Vault (BYOK – Bring Your Own Key) o generar otras nuevas en Azure Key Vault para cifrar los recursos deseados.
  • Cifrado de la infraestructura mediante claves administradas por la plataforma. De forma predeterminada, los discos se cifran automáticamente en reposo mediante claves de cifrado administradas por la plataforma.

Datos en tránsito

El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en tránsito es el siguiente:

  • Cifrado del tránsito mediante Seguridad de la capa de transporte (TLS) 1.2 para proteger los datos cuando viajan entre los servicios en la nube y el usuario. Todo el tráfico que sale de un centro de datos se cifra en tránsito, incluso si el destino del tráfico es otro controlador de dominio de la misma región. TLS 1.2 es el protocolo de seguridad predeterminado que se usa. TLS proporciona una autenticación sólida, privacidad de mensajes e integridad (lo que permite la detección de la manipulación, interceptación y falsificación de mensajes), interoperabilidad, flexibilidad de algoritmo, y facilidad de implementación y uso.
  • Capa adicional de cifrado que se proporciona en la capa de infraestructura. Un método de cifrado de capa de vínculo de datos que usa los estándares de seguridad MAC IEEE 802.1AE (también conocido como MACsec) se aplica de punto a punto a través del hardware de red subyacente. Cada vez que el tráfico de los clientes de Azure se mueve entre los centros de datos (fuera de los límites físicos no controlados por Microsoft o en nombre de Microsoft), los paquetes se cifran y descifran en los dispositivos antes de enviarse, lo que evita ataques físicos de tipo "man-in-the-middle" o de supervisión y escucha telefónica. Dado que esta tecnología se integra en el propio hardware de red, proporciona cifrado de velocidad de línea en el hardware de red sin aumento de la latencia de vínculo mensurable. Este cifrado de MACsec está activado de forma predeterminada para todo el tráfico de Azure que viaja dentro de una región o entre regiones, y no se requiere ninguna acción por parte de los clientes para su habilitación.

Pasos siguientes

Aprenda cómo se usa el cifrado en Azure.