Información general del cifrado de AzureAzure encryption overview

Este artículo proporciona información general sobre cómo se usa el cifrado en Microsoft Azure.This article provides an overview of how encryption is used in Microsoft Azure. Trata las áreas principales de cifrado, incluidos el cifrado en reposo, el cifrado en paquetes piloto y la administración de claves con Azure Key Vault.It covers the major areas of encryption, including encryption at rest, encryption in flight, and key management with Azure Key Vault. Cada sección incluye vínculos para obtener información más detallada.Each section includes links to more detailed information.

Cifrado de datos en reposoEncryption of data at rest

Los datos en reposo incluyen información que se encuentra en el almacenamiento persistente en un medio físico, en cualquier formato digital.Data at rest includes information that resides in persistent storage on physical media, in any digital format. El medio puede incluir archivos de medios ópticos o magnéticos, datos archivados y copias de seguridad de datos.The media can include files on magnetic or optical media, archived data, and data backups. Microsoft Azure ofrece una variedad de soluciones de almacenamiento de datos para satisfacer diferentes necesidades, incluidos el almacenamiento de tablas, blobs y archivos, así como el almacenamiento en disco.Microsoft Azure offers a variety of data storage solutions to meet different needs, including file, disk, blob, and table storage. Microsoft también proporciona cifrado para proteger Azure SQL Database, Azure Cosmos DB y Azure Data Lake.Microsoft also provides encryption to protect Azure SQL Database, Azure Cosmos DB, and Azure Data Lake.

El cifrado de datos en reposo está disponible para los servicios a través de los modelos en la nube de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS).Data encryption at rest is available for services across the software as a service (SaaS), platform as a service (PaaS), and infrastructure as a service (IaaS) cloud models. En este artículo se resumen las opciones de cifrado de Azure y se proporcionan recursos para ayudarle a usarlas.This article summarizes and provides resources to help you use the Azure encryption options.

Para más información detallada sobre cómo se cifran los datos en reposo en Azure, vea Cifrado en reposo de datos de Azure.For a more detailed discussion of how data at rest is encrypted in Azure, see Azure Data Encryption-at-Rest.

Modelos de cifrado de AzureAzure encryption models

Azure admite distintos modelos de cifrado, incluido el cifrado de servidor que usa claves administradas por el servicio, claves administradas por el cliente en Key Vault o las claves administradas por el cliente en el hardware controlado por el cliente.Azure supports various encryption models, including server-side encryption that uses service-managed keys, customer-managed keys in Key Vault, or customer-managed keys on customer-controlled hardware. Con el cifrado de cliente, puede administrar y almacenar claves de forma local o en otra ubicación segura.With client-side encryption, you can manage and store keys on-premises or in another secure location.

Cifrado de clienteClient-side encryption

El cifrado de cliente se realiza fuera de Azure.Client-side encryption is performed outside of Azure. Incluye:It includes:

  • Datos cifrados por una aplicación que se está ejecutando en el centro de datos del cliente o por una aplicación de servicio.Data encrypted by an application that’s running in the customer’s datacenter or by a service application.
  • Datos que ya están cifrados cuando Azure los recibe.Data that is already encrypted when it is received by Azure.

Con el cifrado de cliente, los proveedores de servicios en la nube no tienen acceso a las claves de cifrado y no pueden descifrar estos datos.With client-side encryption, cloud service providers don’t have access to the encryption keys and cannot decrypt this data. Mantenga un control completo de las claves.You maintain complete control of the keys.

Cifrado del servidorServer-side encryption

Los tres modelos de cifrado del servidor ofrecen características de administración de claves diferentes, que se pueden elegir según sus requisitos:The three server-side encryption models offer different key management characteristics, which you can choose according to your requirements:

  • Claves administradas del servicio: proporcionan una combinación de control y comodidad con una sobrecarga reducida.Service-managed keys: Provides a combination of control and convenience with low overhead.

  • Claves administradas por el cliente: le permiten controlar las claves, con compatibilidad con Bring Your Own Keys (BYOK), o generar claves nuevas.Customer-managed keys: Gives you control over the keys, including Bring Your Own Keys (BYOK) support, or allows you to generate new ones.

  • Claves administradas del servicio en el hardware controlado por el cliente: le permiten administrar las claves en el repositorio de su propiedad, fuera del control de Microsoft.Service-managed keys in customer-controlled hardware: Enables you to manage keys in your proprietary repository, outside of Microsoft control. Esta característica se denomina Host Your Own Key (HYOK).This characteristic is called Host Your Own Key (HYOK). Sin embargo, la configuración es compleja y la mayoría de los servicios de Azure no son compatibles con este modelo.However, configuration is complex, and most Azure services don’t support this model.

Azure Disk EncryptionAzure disk encryption

Para proteger las máquinas virtuales Windows y Linux, puede usar Azure Disk Encryption, que usa la tecnología de BitLocker de Windows y DM-Crypt de Linux para proteger los discos del sistema operativo y los discos de datos con el cifrado de volumen completo.You can protect Windows and Linux virtual machines by using Azure disk encryption, which uses Windows BitLocker technology and Linux DM-Crypt to protect both operating system disks and data disks with full volume encryption.

Las claves de cifrado y secretos se protegen en la suscripción a Azure Key Vault.Encryption keys and secrets are safeguarded in your Azure Key Vault subscription. El servicio Azure Backup permite hacer copias de seguridad y restauraciones de máquinas virtuales (VM) cifradas que usan la configuración de clave de cifrado de claves (KEK).By using the Azure Backup service, you can back up and restore encrypted virtual machines (VMs) that use Key Encryption Key (KEK) configuration.

Cifrado del servicio Azure StorageAzure Storage Service Encryption

Los datos en reposo de Azure Blob Storage y los recursos compartidos de archivos de Azure se pueden cifrar en escenarios de cliente y servidor.Data at rest in Azure Blob storage and Azure file shares can be encrypted in both server-side and client-side scenarios.

Azure Storage Service Encryption (SSE) puede cifrar automáticamente los datos antes de que se almacenen y los descifra automáticamente cuando los recupera.Azure Storage Service Encryption (SSE) can automatically encrypt data before it is stored, and it automatically decrypts the data when you retrieve it. Se trata de un proceso totalmente transparente para el usuario.The process is completely transparent to users. Storage Service Encryption usa un Estándar de cifrado avanzado (AES) de 256 bits, que es uno de los cifrados en bloque más seguros que existen.Storage Service Encryption uses 256-bit Advanced Encryption Standard (AES) encryption, which is one of the strongest block ciphers available. AES controla el cifrado, descifrado y administración de claves de un modo transparente.AES handles encryption, decryption, and key management transparently.

Cifrado de cliente de blobs de AzureClient-side encryption of Azure blobs

Puede realizar el cifrado de cliente de blobs de Azure de varias maneras.You can perform client-side encryption of Azure blobs in various ways.

Puede usar la biblioteca cliente de Azure Storage para el paquete NuGet de .NET para cifrar los datos dentro de las aplicaciones cliente antes de cargarlos en Azure Storage.You can use the Azure Storage Client Library for .NET NuGet package to encrypt data within your client applications prior to uploading it to your Azure storage.

Para obtener más información acerca de la biblioteca cliente de Azure Storage para el paquete NuGet. de NET y descargarla, vea Microsoft Azure Storage 8.3.0.To learn more about and download the Azure Storage Client Library for .NET NuGet package, see Windows Azure Storage 8.3.0.

Cuando se usa el cifrado de cliente con Key Vault, los datos se cifran con una clave de cifrado de contenido (CEK) simétrica única generada por el SDK de cliente de Azure Storage.When you use client-side encryption with Key Vault, your data is encrypted using a one-time symmetric Content Encryption Key (CEK) that is generated by the Azure Storage client SDK. La CEK se cifra mediante una clave de cifrado de claves (KEK), que puede ser una clave simétrica o un par de claves asimétricas.The CEK is encrypted using a Key Encryption Key (KEK), which can be either a symmetric key or an asymmetric key pair. Puede administrarla de forma local o almacenarla en Key Vault.You can manage it locally or store it in Key Vault. A continuación, se cargan los datos cifrados en Azure Storage.The encrypted data is then uploaded to Azure Storage.

Para obtener más información acerca del cifrado de cliente con Key Vault e iniciar las instrucciones sobre procedimientos, vea Tutorial: Cifrado y descifrado de blobs en Azure Storage con Key Vault.To learn more about client-side encryption with Key Vault and get started with how-to instructions, see Tutorial: Encrypt and decrypt blobs in Azure Storage by using Key Vault.

Por último, también puede usar la biblioteca cliente de Azure Storage para Java para realizar el cifrado de cliente antes de cargar datos en Azure Storage y descifrar los datos cuando se descargan en el cliente.Finally, you can also use the Azure Storage Client Library for Java to perform client-side encryption before you upload data to Azure Storage, and to decrypt the data when you download it to the client. Esta biblioteca también admite la integración con Key Vault para la administración de las claves de la cuenta de almacenamiento.This library also supports integration with Key Vault for storage account key management.

Cifrado de datos en reposo con Azure SQL DatabaseEncryption of data at rest with Azure SQL Database

Azure SQL Database es un servicio de base de datos relacional de uso general de Azure que admite estructuras como datos relacionales, JSON, espacial y XML.Azure SQL Database is a general-purpose relational database service in Azure that supports structures such as relational data, JSON, spatial, and XML. SQL Database admite el cifrado de servidor a través de la característica Cifrado de datos transparente (TDE) y el cifrado de cliente a través de la característica Always Encrypted.SQL Database supports both server-side encryption via the Transparent Data Encryption (TDE) feature and client-side encryption via the Always Encrypted feature.

Cifrado de datos transparenteTransparent Data Encryption

TDE se utiliza para cifrar archivos de datos de SQL Server, Azure SQL Database y Azure SQL Data Warehouse en tiempo real, con una clave de cifrado de base de datos (DEK) que se almacena en el registro de arranque de base de datos para la disponibilidad durante la recuperación.TDE is used to encrypt SQL Server, Azure SQL Database, and Azure SQL Data Warehouse data files in real time, using a Database Encryption Key (DEK), which is stored in the database boot record for availability during recovery.

TDE protege los archivos de registro y los datos con los algoritmos de cifrado de AES y el estándar de cifrado de datos triple (3DES).TDE protects data and log files, using AES and Triple Data Encryption Standard (3DES) encryption algorithms. El cifrado del archivo de base de datos se realiza en el nivel de página.Encryption of the database file is performed at the page level. Las páginas en una base de datos cifrada se cifran antes de que se escriban en disco y se descifran cuando se leen en la memoria.The pages in an encrypted database are encrypted before they are written to disk and are decrypted when they’re read into memory. TDE ahora está habilitado de forma predeterminada en las bases de datos SQL de Azure recién creadas.TDE is now enabled by default on newly created Azure SQL databases.

Característica Always EncryptedAlways Encrypted feature

Con la característica Always Encrypted de Azure SQL, puede cifrar los datos dentro de aplicaciones de cliente antes de almacenarlos en Azure SQL Database.With the Always Encrypted feature in Azure SQL you can encrypt data within client applications prior to storing it in Azure SQL Database. También puede habilitar la delegación de la administración de la base de datos local a terceros y mantener la separación entre aquellos que poseen y pueden ver los datos y aquellos que los administran, pero no deben tener acceso a ellos.You can also enable delegation of on-premises database administration to third parties and maintain separation between those who own and can view the data and those who manage it but should not have access to it.

Cifrado de nivel de celda o columnaCell-level or column-level encryption

Con Azure SQL Database, puede aplicar el cifrado simétrico a una columna de datos mediante Transact-SQL.With Azure SQL Database, you can apply symmetric encryption to a column of data by using Transact-SQL. Este enfoque se denomina cifrado de nivel de columna o cifrado de nivel de celda (CLE), ya que se puede utilizar para cifrar las columnas concretas o incluso determinadas celdas de datos con distintas claves de cifrado.This approach is called cell-level encryption or column-level encryption (CLE), because you can use it to encrypt specific columns or even specific cells of data with different encryption keys. Esto proporciona una capacidad de cifrado más granular que TDE, que cifra los datos en páginas.Doing so gives you more granular encryption capability than TDE, which encrypts data in pages.

CLE tiene funciones integradas que puede usar para cifrar datos con claves simétricas o asimétricas, la clave pública de un certificado o una frase de contraseña con 3DES.CLE has built-in functions that you can use to encrypt data by using either symmetric or asymmetric keys, the public key of a certificate, or a passphrase using 3DES.

Cifrado de base de datos Cosmos DBCosmos DB database encryption

Azure Cosmos DB es la base de datos multimodelo de distribución global de Microsoft.Azure Cosmos DB is Microsoft's globally distributed, multi-model database. Los datos de usuario almacenados en Cosmos DB en un almacenamiento no volátil (unidades de estado sólido) se cifran de forma predeterminada.User data that's stored in Cosmos DB in non-volatile storage (solid-state drives) is encrypted by default. No hay ningún control para activarlo o desactivarlo.There are no controls to turn it on or off. El cifrado en reposo se implementa mediante una serie de tecnologías de seguridad, como sistemas seguros de almacenamiento de claves, redes cifradas y API criptográficas.Encryption at rest is implemented by using a number of security technologies, including secure key storage systems, encrypted networks, and cryptographic APIs. Microsoft administra las claves de cifrado y se alternan según las directivas internas de Microsoft.Encryption keys are managed by Microsoft and are rotated per Microsoft internal guidelines.

Cifrado en reposo en Data LakeAt-rest encryption in Data Lake

Azure Data Lake es un repositorio para toda la empresa de todos los tipos de datos recopilados en un único lugar antes de cualquier definición formal de requisitos o esquema.Azure Data Lake is an enterprise-wide repository of every type of data collected in a single place prior to any formal definition of requirements or schema. Data Lake Store admite el cifrado transparente "de forma predeterminada" de los datos en reposo, que se configura durante la creación de la cuenta.Data Lake Store supports "on by default," transparent encryption of data at rest, which is set up during the creation of your account. De forma predeterminada, Azure Data Lake Store administra las claves en su nombre, pero tiene la opción de administrarlas usted mismo.By default, Azure Data Lake Store manages the keys for you, but you have the option to manage them yourself.

Se utilizan tres tipos de claves en el cifrado y descifrado de datos: la clave de cifrado maestra (MEK), la clave de cifrado de datos (DEK) y la clave de cifrado de bloque (BEK).Three types of keys are used in encrypting and decrypting data: the Master Encryption Key (MEK), Data Encryption Key (DEK), and Block Encryption Key (BEK). La MEK se utiliza para cifrar la DEK, que se almacena en medios persistentes, y la BEK se deriva de la DEK y el bloque de datos.The MEK is used to encrypt the DEK, which is stored on persistent media, and the BEK is derived from the DEK and the data block. Si está administrando sus propias claves, puede alternar la MEK.If you are managing your own keys, you can rotate the MEK.

Cifrado de datos en tránsitoEncryption of data in transit

Azure ofrece varios mecanismos para mantener la privacidad de los datos cuando se mueven de una ubicación a otra.Azure offers many mechanisms for keeping data private as it moves from one location to another.

Cifrado TLS/SSL en AzureTLS/SSL encryption in Azure

Microsoft usa el protocolo Seguridad de la capa de transporte (TLS) para proteger los datos cuando se transmiten entre los servicios en la nube y los clientes.Microsoft uses the Transport Layer Security (TLS) protocol to protect data when it’s traveling between the cloud services and customers. Los centros de datos de Microsoft negocian una conexión TLS con sistemas cliente que se conectan a servicios de Azure.Microsoft datacenters negotiate a TLS connection with client systems that connect to Azure services. TLS proporciona una autenticación sólida, privacidad de mensajes e integridad (lo que permite la detección de la manipulación, interceptación y falsificación de mensajes), interoperabilidad, flexibilidad de algoritmo, y facilidad de implementación y uso.TLS provides strong authentication, message privacy, and integrity (enabling detection of message tampering, interception, and forgery), interoperability, algorithm flexibility, and ease of deployment and use.

Confidencialidad directa total (PFS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas.Perfect Forward Secrecy (PFS) protects connections between customers’ client systems and Microsoft cloud services by unique keys. Las conexiones también usan longitudes de clave de cifrado RSA de 2048 bits.Connections also use RSA-based 2,048-bit encryption key lengths. Esta combinación hace difícil para un usuario interceptar y acceder a datos que están en tránsito.This combination makes it difficult for someone to intercept and access data that is in transit.

Transacciones de Azure StorageAzure Storage transactions

Si interactúa con Azure Storage a través de Azure Portal, todas las transacciones se realizan a través de HTTPS.When you interact with Azure Storage through the Azure portal, all transactions take place over HTTPS. También se puede usar la API de REST de Storage a través de HTTPS para interactuar con Azure Storage.You can also use the Storage REST API over HTTPS to interact with Azure Storage. Puede exigir el uso de HTTPS al llamar a las API de REST para acceder a objetos de cuentas de almacenamiento mediante la habilitación de la transferencia segura para la cuenta de almacenamiento.You can enforce the use of HTTPS when you call the REST APIs to access objects in storage accounts by enabling the secure transfer that's required for the storage account.

Las firmas de acceso compartido (SAS), que pueden utilizarse para delegar el acceso a objetos de Azure Storage, incluyen una opción para especificar que se pueda utilizar solo el protocolo HTTPS cuando se usen las firmas de acceso compartido.Shared Access Signatures (SAS), which can be used to delegate access to Azure Storage objects, include an option to specify that only the HTTPS protocol can be used when you use Shared Access Signatures. Este enfoque garantiza que cualquier usuario que envíe vínculos con tokens SAS use el protocolo adecuado.This approach ensures that anybody who sends links with SAS tokens uses the proper protocol.

SMB 3.0, que solía acceder a recursos compartidos de Azure Files, admite cifrado y está disponible en Windows Server 2012 R2, Windows 8, Windows 8.1 y Windows 10.SMB 3.0, which used to access Azure Files shares, supports encryption, and it's available in Windows Server 2012 R2, Windows 8, Windows 8.1, and Windows 10. Permite el acceso entre regiones e incluso el acceso en el escritorio.It allows cross-region access and even access on the desktop.

El cifrado de cliente cifra los datos antes de enviarlos a la instancia de Azure Storage, por lo que se cifra a medida que pasa por la red.Client-side encryption encrypts the data before it’s sent to your Azure Storage instance, so that it’s encrypted as it travels across the network.

Cifrado de SMB a través de redes virtuales de AzureSMB encryption over Azure virtual networks

Si usa SMB 3.0 en VM que ejecutan Windows Server 2012 o posterior, puede proteger las transferencias de datos mediante el cifrado de datos en tránsito a través de redes virtuales de Azure.By using SMB 3.0 in VMs that are running Windows Server 2012 or later, you can make data transfers secure by encrypting data in transit over Azure Virtual Networks. Al cifrar los datos, contribuye a protegerlos de manipulaciones y ataques de interceptación.By encrypting data, you help protect against tampering and eavesdropping attacks. Los administradores pueden habilitar el cifrado SMB para todo el servidor o, simplemente, algunos recursos compartidos.Administrators can enable SMB encryption for the entire server, or just specific shares.

De forma predeterminada, una vez que se activa el cifrado SMB para un recurso compartido o el servidor, solo se permite que los clientes SMB 3.0 tengan acceso a los recursos compartidos cifrados.By default, after SMB encryption is turned on for a share or server, only SMB 3.0 clients are allowed to access the encrypted shares.

Cifrado en tránsito en VMIn-transit encryption in VMs

Los datos en tránsito de destino, de origen y entre VM que ejecutan Windows se cifran de diversas formas, según la naturaleza de la conexión.Data in transit to, from, and between VMs that are running Windows is encrypted in a number of ways, depending on the nature of the connection.

Sesiones RDPRDP sessions

Puede conectarse e iniciar sesión en una VM mediante el Protocolo de escritorio remoto (RDP) desde un equipo cliente de Windows o desde un equipo Mac con un cliente RDP instalado.You can connect and sign in to a VM by using the Remote Desktop Protocol (RDP) from a Windows client computer, or from a Mac with an RDP client installed. Los datos en tránsito a través de la red en las sesiones RDP se pueden proteger mediante TLS.Data in transit over the network in RDP sessions can be protected by TLS.

Puede usar el escritorio remoto para conectarse a una VM Linux en Azure.You can also use Remote Desktop to connect to a Linux VM in Azure.

Acceso seguro a las VM de Linux con SSHSecure access to Linux VMs with SSH

Para la administración remota, puede usar Secure Shell (SSH) para conectarse a VM Linux que se ejecutan en Azure.For remote management, you can use Secure Shell (SSH) to connect to Linux VMs running in Azure. SSH es un protocolo de conexión cifrada que permite inicios de sesión seguros a través de conexiones no seguras.SSH is an encrypted connection protocol that allows secure sign-ins over unsecured connections. Es el protocolo de conexión predeterminado de las máquinas virtuales Linux hospedadas en Azure.It is the default connection protocol for Linux VMs hosted in Azure. Mediante el uso de claves de SSH para la autenticación, se elimina la necesidad de contraseñas para iniciar sesión.By using SSH keys for authentication, you eliminate the need for passwords to sign in. SSH utiliza un par de claves públicas/privadas (cifrado simétrico) para la autenticación.SSH uses a public/private key pair (asymmetric encryption) for authentication.

Cifrado de VPN de AzureAzure VPN encryption

Puede conectarse a Azure a través de una red privada virtual que crea un túnel seguro para proteger la privacidad de los datos enviados a través de la red.You can connect to Azure through a virtual private network that creates a secure tunnel to protect the privacy of the data being sent across the network.

Puertas de enlace de VPN de AzureAzure VPN gateways

Puede usar una puerta de enlace VPN de Azure para enviar tráfico cifrado entre la red virtual y la ubicación local a través de una conexión pública o para enviar tráfico entre redes virtuales.You can use an Azure VPN gateway to send encrypted traffic between your virtual network and your on-premises location across a public connection, or to send traffic between virtual networks.

Las VPN de sitio a sitio usan IPsec para el cifrado de transporte.Site-to-site VPNs use IPsec for transport encryption. Azure VPN Gateway utiliza un conjunto de propuestas predeterminadas.Azure VPN gateways use a set of default proposals. Puede configurar Azure VPN Gateway para usar una directiva IPsec/IKE personalizada con determinados algoritmos criptográficos y ventajas claves, en lugar de conjuntos de directivas predeterminadas de Azure.You can configure Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

VPN de punto a sitioPoint-to-site VPNs

Las VPN de punto a sitio permiten a los equipos cliente individuales acceder a una instancia de Azure Virtual Network.Point-to-site VPNs allow individual client computers access to an Azure virtual network. El protocolo de túnel de sockets de seguros (SSTP) se utiliza para crear el túnel VPN.The Secure Socket Tunneling Protocol (SSTP) is used to create the VPN tunnel. Puede atravesar firewalls (el túnel aparece como conexión HTTPS).It can traverse firewalls (the tunnel appears as an HTTPS connection). Puede usar su propia entidad de certificación (CA) de raíz de infraestructura de clave pública (PKI) interna para la conectividad de punto a sitio.You can use your own internal public key infrastructure (PKI) root certificate authority (CA) for point-to-site connectivity.

Puede configurar una conexión de VPN de punto a sitio a una red virtual con Azure Portal con autenticación de certificados o PowerShell.You can configure a point-to-site VPN connection to a virtual network by using the Azure portal with certificate authentication or PowerShell.

Para obtener más información acerca de las conexiones VPN de punto a sitio para redes virtuales de Azure, vea:To learn more about point-to-site VPN connections to Azure virtual networks, see:

Configuración de una conexión de punto a sitio a una red virtual mediante la autenticación de certificación: Azure PortalConfigure a point-to-site connection to a virtual network by using certification authentication: Azure portal

Configuración de una conexión de punto a sitio a una red virtual mediante la autenticación de certificados: PowerShellConfigure a point-to-site connection to a virtual network by using certificate authentication: PowerShell

VPN de sitio a sitioSite-to-site VPNs

Puede usar una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2).You can use a site-to-site VPN gateway connection to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada.This type of connection requires an on-premises VPN device that has an external-facing public IP address assigned to it.

Puede configurar una conexión de VPN de sitio a sitio a una red virtual mediante Azure Portal, PowerShell o CLI de Azure.You can configure a site-to-site VPN connection to a virtual network by using the Azure portal, PowerShell, or Azure CLI.

Para más información, consulte:For more information, see:

Creación de una conexión de sitio a sitio mediante Azure PortalCreate a site-to-site connection in the Azure portal

Creación de una conexión de sitio a sitio en PowerShellCreate a site-to-site connection in PowerShell

Creación de una red virtual con una conexión VPN de sitio a sitio mediante la CLICreate a virtual network with a site-to-site VPN connection by using CLI

Cifrado en tránsito en Data LakeIn-transit encryption in Data Lake

Los datos en tránsito (también conocidos como datos en movimiento) también se cifran siempre en Data Lake Store.Data in transit (also known as data in motion) is also always encrypted in Data Lake Store. Además de que los datos se cifran antes de almacenarse en un medio persistente, también se protegen cuando están en tránsito mediante HTTPS.In addition to encrypting data prior to storing it in persistent media, the data is also always secured in transit by using HTTPS. HTTPS es el único protocolo admitido para las interfaces de REST de Data Lake Store.HTTPS is the only protocol that is supported for the Data Lake Store REST interfaces.

Para más información acerca del cifrado de datos en tránsito en Data Lake, vea Cifrado de datos en Data Lake Store.To learn more about encryption of data in transit in Data Lake, see Encryption of data in Data Lake Store.

Administración de claves con Key VaultKey management with Key Vault

Sin la protección y administración adecuadas de las claves, el cifrado queda inutilizable.Without proper protection and management of the keys, encryption is rendered useless. Key Vault es la solución recomendada de Microsoft para administrar y controlar el acceso a las claves de cifrado utilizadas por los servicios en la nube.Key Vault is the Microsoft-recommended solution for managing and controlling access to encryption keys used by cloud services. Los permisos para acceder a las claves se pueden asignar a servicios o a usuarios a través de cuentas de Azure Active Directory.Permissions to access keys can be assigned to services or to users through Azure Active Directory accounts.

Key Vault libera a las empresas de la necesidad de configurar, aplicar revisiones y mantener los módulos de seguridad de hardware (HSM) y el software de administración de claves.Key Vault relieves organizations of the need to configure, patch, and maintain hardware security modules (HSMs) and key management software. Cuando utiliza Key Vault, tiene el control.When you use Key Vault, you maintain control. Microsoft nunca ve las claves y las aplicaciones no tienen acceso directo a ellas.Microsoft never sees your keys, and applications don’t have direct access to them. También puede importar o generar claves en HSM.You can also import or generate keys in HSMs.

Pasos siguientesNext steps