Almacenamiento, datos y cifrado
La protección de datos en reposo es necesaria para mantener las garantías de confidencialidad, integridad y disponibilidad en todas las cargas de trabajo. El almacenamiento en un servicio en la nube como Azure se diseña e implementa de forma bastante diferente que en las soluciones locales, esto para permitir el escalado masivo, el acceso moderno a través de las API de REST y el aislamiento entre los inquilinos.
Es posible conceder acceso al almacenamiento de Azure a través de Azure Active Directory (Azure AD), así como de mecanismos de autenticación basados en claves (Autenticación de clave compartida simétrica o Firma de acceso compartido [SAS]).
El almacenamiento en Azure incluye una serie de atributos nativos de diseño de seguridad:
El servicio cifra todos los datos.
Un inquilino no puede leer los datos del sistema de almacenamiento si no ha sido ese inquilino quien los ha escrito (para mitigar el riesgo de fuga de datos entre inquilinos).
Los datos solo se conservarán en la región de su elección.
El sistema mantiene tres copias sincrónicas de los datos en la región que elija.
El registro de actividad detallado está disponible de manera opcional.
Se pueden configurar características de seguridad adicionales, como un firewall de almacenamiento, para proporcionar un nivel adicional de control de acceso, así como protección contra amenazas de almacenamiento para detectar accesos y actividades anómalos.
El cifrado es una herramienta eficaz para la seguridad, pero es fundamental comprender sus límites relativos a la protección de datos. De forma muy similar a una caja de seguridad, el cifrado restringe el acceso solo a aquellos con posesión de un pequeño elemento (una clave matemática). Si bien es más fácil proteger la posesión de claves que conjuntos de datos de mayor tamaño, es imperativo brindar las protecciones adecuadas para las claves. La protección de las claves criptográficas no es un proceso humano intuitivo natural (en especial porque los datos electrónicos, como las claves, se pueden copiar perfectamente sin un rastro forense), por lo que a menudo se pasa por alto o se implementa de manera incorrecta.
Aunque el cifrado está disponible en muchas capas de Azure (y a menudo está activado de forma predeterminada), hemos identificado los niveles donde es más importante su implementación (alta probabilidad de que los datos se muevan a otro medio de almacenamiento) y donde es más fácil su implementación (casi sin sobrecarga).
Uso de controles de acceso de almacenamiento basados en identidad
Los proveedores de servicios en la nube cuentan con varios métodos de control de acceso sobre los recursos de almacenamiento disponibles. Entre los ejemplos se incluyen claves compartidas, firmas compartidas, acceso anónimo y métodos basados en un proveedor de identidades.
Los métodos del proveedor de identidades para la autenticación y la autorización son los menos propensos a generar peligros y permiten controles de acceso basado en rol más específicos en los recursos de almacenamiento.
Se recomienda usar una opción basada en identidad para el control de acceso de almacenamiento.
Un ejemplo de esto es la autenticación de Azure Active Directory en Blob y Queue services de Azure.
Cifrado de archivos de discos virtuales
Las máquinas virtuales usan archivos de disco virtual como volúmenes de almacenamiento virtual, y existen en el sistema de almacenamiento de blobs de un proveedor de servicios en la nube. Estos archivos se pueden migrar desde entornos locales a sistemas en la nube, desde sistemas en la nube a entornos locales o entre sistemas en la nube. Debido a la movilidad de estos archivos, debe asegurarse de que usuarios no autorizados puedan tener acceso a los archivos y su contenido.
Deben ponerse en práctica controles de acceso basados en la autenticación para evitar que los posibles atacantes descarguen los archivos en sus sistemas. En caso de error en el sistema de autenticación y autorización o en su configuración, querrá tener un mecanismo de respaldo para proteger los archivos de disco virtual.
Puede cifrar los archivos de disco virtual para evitar que los atacantes obtengan acceso al contenido de los archivos de disco en caso de que un atacante pueda descargar los archivos. Cuando los atacantes intenten montar un archivo de disco cifrado, no podrán hacerlo debido al cifrado.
Se recomienda habilitar el cifrado de discos virtuales. Para obtener información sobre cómo cifrar discos de VM Windows, consulte Inicio rápido: Creación y cifrado de una máquina virtual Windows con la CLI de Azure.
Un ejemplo de cifrado de discos virtuales es Azure Disk Encryption.
Habilitación de los servicios de cifrado de plataforma
Todos los proveedores de servicios en la nube pública habilitan el cifrado, que se realiza automáticamente mediante claves administradas por el proveedor en su plataforma. En muchos casos, esto se hace por el cliente y no se requiere ninguna interacción del usuario. En otros casos, el proveedor lo ofrece como opción, y el cliente puede optar por usarla o no.
La habilitación de este tipo de cifrado casi no supone ninguna sobrecarga, ya que el proveedor de servicios en la nube es quien lo administra.
Se recomienda que, para cada servicio que admita el cifrado del proveedor de servicios, habilite esa opción.
Un ejemplo de cifrado del proveedor de servicios específico del servicio es el cifrado del servicio de Azure Storage.
Cifrado de los datos en tránsito
Proteja los datos que se transfieren entre componentes, ubicaciones o programas; por ejemplo, a través de la red, un bus de servicio (desde una ubicación local hacia la nube, y viceversa) o durante un proceso de entrada y salida. Utilice siempre SSL o TLS al intercambiar datos entre diferentes ubicaciones. Para obtener más información, consulte Protección de datos en tránsito.
En ocasiones, tiene que aislar todo el canal de comunicación entre su infraestructura local y la nube mediante una red privada virtual (VPN) o ExpressRoute. Para obtener más información, consulte estos artículos: