Cifrado de Azure Storage para datos en reposoAzure Storage encryption for data at rest

Azure Storage cifra automáticamente los datos al guardarlos en la nube.Azure Storage automatically encrypts your data when it is persisted it to the cloud. El cifrado de Azure Storage protege los datos y le ayuda a satisfacer los requisitos de cumplimiento normativo y seguridad de la organización.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Acerca del cifrado de Azure StorageAbout Azure Storage encryption

Los datos de Azure Storage se cifran y descifran de forma transparente mediante el cifrado AES de 256 bits, uno de los cifrados de bloques más sólidos que hay disponibles, y son compatibles con FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. El cifrado de Azure Storage es similar al cifrado de BitLocker en Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

El cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento, incluidas las cuentas de almacenamiento clásicas y las de Resource Manager.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. El cifrado de Azure Storage no se puede deshabilitar.Azure Storage encryption cannot be disabled. Como los datos están protegidos de forma predeterminada, no es necesario modificar el código o las aplicaciones para aprovechar el cifrado de Azure Storage.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Los datos de una cuenta de almacenamiento se cifran independientemente de su nivel de rendimiento (Estándar o Premium), del nivel de acceso (frecuente o esporádico) o del modelo de implementación (Azure Resource Manager o clásico).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). También se cifran todos los blobs del nivel de archivo.All blobs in the archive tier are also encrypted. Todas las opciones de redundancia de Azure Storage admiten el cifrado, y todos los datos de las regiones primaria y secundaria se cifran cuando la replicación geográfica está habilitada.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Se cifran todos los recursos de Azure Storage, incluidos los blobs, los discos, los archivos, las colas y las tablas.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. También se cifran todos los metadatos de objetos.All object metadata is also encrypted. No hay ningún costo adicional para el cifrado de Azure Storage.There is no additional cost for Azure Storage encryption.

Todos los blobs en bloques, blobs en anexos o blobs en páginas que se escribieron en Azure Storage después del 20 de octubre de 2017 está cifrados.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Los blobs creados antes de esta fecha se siguen cifrando mediante un proceso en segundo plano.Blobs created prior to this date continue to be encrypted by a background process. Para forzar el cifrado de un blob creado antes del 20 de octubre de 2017, puede volver a escribir el blob.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Para más información sobre cómo comprobar el estado de cifrado de un blob, consulte Comprobación del estado de cifrado de un blob.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Para más información sobre de los módulos criptográficos subyacentes al cifrado de Azure Storage, vea API de criptografía: última generación.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Para más información sobre el cifrado y la administración de claves para Azure Managed Disks, consulte Cifrado del lado servidor de Azure Managed Disks para máquinas virtuales Windows o Cifrado del lado servidor de Azure Managed Disks para máquinas virtuales Linux.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

Información sobre la administración de claves de cifradoAbout encryption key management

Los datos de una cuenta de almacenamiento nueva se cifran con claves administradas por Microsoft.Data in a new storage account is encrypted with Microsoft-managed keys. Puede confiar en las claves administradas por Microsoft para el cifrado de los datos, o puede administrar el cifrado con sus propias claves.You can rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Si opta por administrar el cifrado con sus propias claves, tiene dos opciones:If you choose to manage encryption with your own keys, you have two options:

En la tabla siguiente se comparan las opciones de administración de claves para el cifrado de Azure Storage.The following table compares key management options for Azure Storage encryption.

Parámetro de administración de clavesKey management parameter Claves administradas por MicrosoftMicrosoft-managed keys Claves administradas por el clienteCustomer-managed keys Claves proporcionadas por el clienteCustomer-provided keys
Operaciones de cifrado y descifradoEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Servicios de Azure Storage admitidosAzure Storage services supported AllAll Blob Storage, Azure Files1,2Blob storage, Azure Files1,2 Blob StorageBlob storage
Almacenamiento de clavesKey storage Almacén de claves de MicrosoftMicrosoft key store Azure Key VaultAzure Key Vault Propio almacén de claves del clienteCustomer's own key store
Responsabilidad de la rotación de clavesKey rotation responsibility MicrosoftMicrosoft CustomerCustomer CustomerCustomer
Control de clavesKey control MicrosoftMicrosoft CustomerCustomer CustomerCustomer

1 Para obtener información sobre cómo crear una cuenta que admita el uso de claves administradas por el cliente con Queue Storage, consulte Creación de una cuenta que admita las claves administradas por el cliente para colas.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 Para obtener información sobre cómo crear una cuenta que admita el uso de claves administradas por el cliente con Table Storage, consulte Creación de una cuenta que admita las claves administradas por el cliente para tablas.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Ámbitos de cifrado para Blob Storage (versión preliminar)Encryption scopes for Blob storage (preview)

De forma predeterminada, una cuenta de almacenamiento está cifrada con una clave cuyo ámbito es la cuenta de almacenamiento.By default, a storage account is encrypted with a key that is scoped to the storage account. Puede optar por usar claves administradas por Microsoft o claves administradas por el cliente almacenadas en Azure Key Vault para proteger y controlar el acceso a la clave que cifra sus datos.You can choose to use either Microsoft-managed keys or customer-managed keys stored in Azure Key Vault to protect and control access to the key that encrypts your data.

Los ámbitos de cifrado permiten administrar opcionalmente el cifrado a nivel del contenedor o de un blob individual.Encryption scopes enable you to optionally manage encryption at the level of the container or an individual blob. Se pueden usar ámbitos de cifrado para crear límites seguros entre los datos que residen en la misma cuenta de almacenamiento, pero que pertenecen a clientes distintos.You can use encryption scopes to create secure boundaries between data that resides in the same storage account but belongs to different customers.

Puede crear uno o varios ámbitos de cifrado para una cuenta de almacenamiento mediante el proveedor de recursos de Azure Storage.You can create one or more encryption scopes for a storage account using the Azure Storage resource provider. Cuando se crea un ámbito de cifrado, se especifica si el ámbito está protegido con una clave administrada por Microsoft o con una clave administrada por el cliente almacenada en Azure Key Vault.When you create an encryption scope, you specify whether the scope is protected with a Microsoft-managed key or with a customer-managed key that is stored in Azure Key Vault. Distintos ámbitos de cifrado de una misma cuenta de almacenamiento pueden usar claves administradas por Microsoft o por el cliente.Different encryption scopes on the same storage account can use either Microsoft-managed or customer-managed keys.

Después de crear un ámbito de cifrado, puede especificar ese ámbito de cifrado en una solicitud para crear un contenedor o un blob.After you have created an encryption scope, you can specify that encryption scope on a request to create a container or a blob. Para obtener más información acerca de cómo crear un ámbito de cifrado, consulte Creación y administración de ámbitos de cifrado (versión preliminar).For more information about how to create an encryption scope, see Create and manage encryption scopes (preview).

Nota

No se admiten ámbitos de cifrado con cuentas de almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) durante la versión preliminar.Encryption scopes are not supported with read-access geo-redundant storage (RA-GRS) accounts during preview.

Importante

La versión preliminar de los ámbitos de cifrado está pensada para usos distintos del de producción.The encryption scopes preview is intended for non-production use only. En este momento no hay contratos de nivel de servicio de producción disponibles.Production service-level agreements (SLAs) are not currently available.

Para evitar costos inesperados, asegúrese de deshabilitar los ámbitos de cifrado que no necesite actualmente.To avoid unexpected costs, be sure to disable any encryption scopes that you do not currently need.

Creación de un contenedor o blob con un ámbito de cifradoCreate a container or blob with an encryption scope

Los blobs que se crean en un ámbito de cifrado se cifran con la clave especificada para ese ámbito.Blobs that are created under an encryption scope are encrypted with the key specified for that scope. Puede especificar un ámbito de cifrado para un blob individual al crear el blob, o bien puede especificar un ámbito de cifrado predeterminado al crear un contenedor.You can specify an encryption scope for an individual blob when you create the blob, or you can specify a default encryption scope when you create a container. Al especificar un ámbito de cifrado predeterminado en el nivel de un contenedor, todos los blobs de dicho contenedor se cifran con la clave asociada al ámbito predeterminado.When a default encryption scope is specified at the level of a container, all blobs in that container are encrypted with the key associated with the default scope.

Al crear un blob en un contenedor que tiene un ámbito de cifrado predeterminado, puede especificar un ámbito de cifrado que invalide el ámbito de cifrado predeterminado si el contenedor está configurado para permitir invalidaciones del ámbito de cifrado predeterminado.When you create a blob in a container that has a default encryption scope, you can specify an encryption scope that overrides the default encryption scope if the container is configured to allow overrides of the default encryption scope. Para evitar invalidaciones del ámbito de cifrado predeterminado, configure el contenedor para denegar las invalidaciones para un blob individual.To prevent overrides of the default encryption scope, configure the container to deny overrides for an individual blob.

Las operaciones de lectura en un blob que pertenece a un ámbito de cifrado se producen de forma transparente, siempre y cuando el ámbito de cifrado no esté deshabilitado.Read operations on a blob that belongs to an encryption scope happen transparently, so long as the encryption scope is not disabled.

Deshabilitación de un ámbito de cifradoDisable an encryption scope

Al deshabilitar un ámbito de cifrado, las operaciones de lectura o escritura posteriores realizadas con el ámbito de cifrado producirán un error con el código de error HTTP 403 (prohibido).When you disable an encryption scope, any subsequent read or write operations made with the encryption scope will fail with HTTP error code 403 (Forbidden). Si vuelve a habilitar el ámbito de cifrado, las operaciones de lectura y escritura continuarán con normalidad.If you re-enable the encryption scope, read and write operations will proceed normally again.

Cuando se deshabilita un ámbito de cifrado, ya no se le facturará.When an encryption scope is disabled, you are no longer billed for it. Deshabilite los ámbitos de cifrado que no sean necesarios para evitar cargos innecesarios.Disable any encryption scopes that are not needed to avoid unnecessary charges.

Si el ámbito de cifrado está protegido con claves administradas por el cliente para Azure Key Vault, también puede eliminar la clave asociada en el almacén de claves para deshabilitar el ámbito de cifrado.If your encryption scope is protected with customer-managed keys for Azure Key Vault, then you can also delete the associated key in the key vault in order to disable the encryption scope. Tenga en cuenta que las claves administradas por el cliente en Azure Key Vault están protegidas por la protección de eliminación y purga temporal, y una clave eliminada está sujeta al comportamiento definido por esas propiedades.Keep in mind that customer-managed keys in Azure Key Vault are protected by soft delete and purge protection, and a deleted key is subject to the behavior defined for by those properties. Para más información, consulte uno de los siguientes temas en la documentación de Azure Key Vault:For more information, see one of the following topics in the Azure Key Vault documentation:

Nota

No es posible eliminar un ámbito de cifrado.It is not possible to delete an encryption scope.

Pasos siguientesNext steps