Compartir a través de

Cifrado de datos en reposo de Seguridad del contenido de Azure AI

La Seguridad del contenido de Azure AI cifra automáticamente sus datos cuando se transfieren a la nube. El cifrado protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. Este artículo explica cómo Seguridad del contenido de Azure AI administra el cifrado de datos en reposo.

Acerca del cifrado de las herramientas de Foundry

Los datos se cifran y se descifran con el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Los datos son seguros de manera predeterminada. No es necesario modificar el código ni las aplicaciones para utilizar el cifrado.

Información sobre la administración de claves de cifrado

De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente. Al usar claves administradas por el cliente, tiene mayor flexibilidad en la forma de crear, rotar, deshabilitar y revocar los controles de acceso. También puede auditar las claves de cifrado que se usan para proteger los datos. Si las claves administradas por el cliente están configuradas para la suscripción, se proporciona cifrado doble. Con esta segunda capa de protección, puede controlar la clave de cifrado a través de Azure Key Vault.

Claves administradas por el cliente con Azure Key Vault

Al usar claves administradas por el cliente, debe usar Azure Key Vault para almacenarlas. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Key Vault para generarlas. El recurso de Foundry Tools y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Key Vault, consulte ¿Qué es Azure Key Vault?

Al crear un nuevo recurso de Foundry Tools, siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar las claves administradas por el cliente al crear el recurso. Las claves administradas por el cliente se almacenan en Key Vault. El almacén de claves debe aprovisionarse con directivas de acceso que concedan permisos de clave a la identidad administrada asociada al recurso Foundry Tools. La identidad administrada solo está disponible después de crear el recurso con el plan de tarifa requerido para las claves administradas por el cliente.

Al habilitar las claves administradas por el cliente, también se habilita una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Después de que se habilite la identidad administrada asignada por el sistema, este recurso se registra con Microsoft Entra ID. Tras su registro, se concede a la identidad administrada acceso al almacén de claves seleccionado durante la configuración de la clave administrada por el cliente.

Importante

Si deshabilita las identidades administradas asignadas por el sistema, se quita el acceso al almacén de claves y los datos cifrados con las claves de cliente dejan de estar disponibles. Las características que dependen de estos datos dejan de funcionar.

Importante

Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada que está asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para obtener más información, consulte Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas más frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

Configuración de Key Vault

Al usar las claves administradas por el cliente, debe establecer dos propiedades en el almacén de claves, Eliminación temporal y No purgar. Estas propiedades no están habilitadas de manera predeterminada, pero puede habilitarlas en un almacén de claves nuevo o existente mediante Azure Portal, PowerShell o la CLI de Azure.

Importante

Si las propiedades Eliminación temporal y No purga no están habilitadas y elimina la clave, no podrá recuperar los datos en el recurso de Foundry Tools.

Para obtener información sobre cómo habilitar estas propiedades en un almacén de claves existente, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga.

Habilitación de claves administradas por el cliente para el recurso

Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:

  1. Acceda a su recurso de Foundry Tools.

  2. A la izquierda, seleccione Cifrado.

  3. En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en el recorte de pantalla siguiente.

    Captura de pantalla de la página Configuración de cifrado de un recurso Foundry. En Tipo de cifrado, se selecciona la opción Claves administradas por el cliente.

Especificar una clave

Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla con el recurso Foundry Tools.

Especificación de una clave como URI

Para especificar una clave como URI, siga estos pasos:

  1. En Azure Portal, vaya al almacén de claves.

  2. En Configuración, seleccione Claves.

  3. Seleccione la clave que desee para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.

  4. Copie el valor Identificador de clave, que proporciona el URI.

    Recorte de pantalla de la página de Azure Portal para una versión de clave. El cuadro Identificador de clave contiene un marcador de posición para un URI de clave.

  5. Vuelva al recurso de herramientas de Foundry y, a continuación, seleccione Cifrado.

  6. En Clave de cifrado, seleccione Escribir el URI de la clave.

  7. Pegue el identificador URI que ha copiado en el cuadro URI de clave.

    Captura de pantalla de la página Cifrado de un recurso Foundry. La opción Entrar URI de clave está seleccionada y el cuadro URI de clave contiene un valor.

  8. En Suscripción, seleccione la suscripción que contiene el almacén de claves.

  9. Guarde los cambios.

Especificación de una clave a partir de un almacén de claves

Para especificar una clave a partir de un almacén de claves, asegúrese de tener un almacén de claves que contenga una clave. A continuación, siga estos pasos:

  1. Vaya al recurso de herramientas de Foundry y, a continuación, seleccione Cifrado.

  2. En Clave de cifrado, seleccione Seleccionar de Key Vault.

  3. Seleccione el almacén de claves que contiene la clave que quiere usar.

  4. Seleccione la clave que quiera usar.

    Recorte de pantalla de la página Seleccionar clave de Azure Key Vault en Azure Portal. Los cuadros Suscripción, Almacén de claves, Clave y Versión contienen valores.

  5. Guarde los cambios.

Actualización de la versión de la clave

Al crear una nueva versión de una clave, actualice el recurso Foundry Tools para usar la nueva versión. Siga estos pasos:

  1. Vaya al recurso de herramientas de Foundry y, a continuación, seleccione Cifrado.
  2. Escriba el URI de la nueva versión de clave. Como alternativa, puede seleccionar el almacén de claves y, luego, la clave de nuevo para actualizar la versión.
  3. Guarde los cambios.

Usar una clave diferente

Para cambiar la clave que usa para el cifrado, siga estos pasos:

  1. Vaya al recurso de herramientas de Foundry y, a continuación, seleccione Cifrado.
  2. Escriba el URI de la nueva clave. Otra opción es seleccionar el almacén de claves y, luego, seleccionar una clave nueva.
  3. Guarde los cambios.

Rotación de claves administradas por el cliente

Puede rotar una clave administrada por el cliente en Key Vault según las directivas de cumplimiento. Cuando se rota la clave, debe actualizar el recurso Foundry Tools para usar el nuevo URI de clave. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en Azure Portal, consulte la sección Actualización de la versión de la clave.

La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No es necesaria ninguna otra acción por parte del usuario.

Revocación del acceso a las claves administradas por el cliente

Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. Revocar el acceso bloquea eficazmente el acceso a todos los datos del recurso de Foundry Tools, ya que las herramientas de Foundry no pueden acceder a la clave de cifrado.

Deshabilitación de claves administradas por el cliente

Al deshabilitar las claves administradas por el cliente, el recurso de Foundry Tools se cifra con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:

  1. Vaya al recurso de herramientas de Foundry y, a continuación, seleccione Cifrado.
  2. Desactive la casilla junto a Usar su propia clave.

Cuando se habilitan claves administradas por el cliente, también se habilita una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez habilitada la identidad administrada asignada por el sistema, el recurso se registra con el identificador de Microsoft Entra. Tras su registro, se concederá a la identidad administrada acceso a la instancia de Key Vault seleccionada durante la configuración de la clave administrada por el cliente. Obtenga más información sobre identidades administradas.

Paso siguiente

Introducción a la seguridad del contenido

  • Last updated on