Cifrado de datos en reposo de Seguridad del contenido de Azure AI

  • Artículo

La Seguridad del contenido de Azure AI cifra automáticamente sus datos cuando se transfieren a la nube. El cifrado protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. Este artículo explica cómo Seguridad del contenido de Azure AI administra el cifrado de datos en reposo.

Acerca del cifrado de servicios de Azure AI

La Seguridad del contenido de Azure AI forma parte de los servicios Azure AI. Los datos de los servicios de Azure AI se cifran y descifran mediante cifrado AES de 256 bits conforme a FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones para utilizar el cifrado.

Información sobre la administración de claves de cifrado

De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente (CMK). Estas claves ofrecen mayor flexibilidad para crear, rotar, deshabilitar y revocar los controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.

Importante

Para losl nombres de la lista de bloqueados, se aplica únicamente el cifrado MMK de forma predeterminada. Usar o no usar CMK no cambiará este comportamiento. Todos los demás datos usarán MMK o CMK en función de lo que haya seleccionado.

Claves administradas por el cliente con Azure Key Vault

Las claves administradas por el cliente (CMK), también conocidas como Bring Your Own Key (BYOK), ofrecen más flexibilidad para crear, girar, deshabilitar y revocar controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.

Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Azure Key Vault para generarlas. El recurso de servicios de Azure AI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?.

Para habilitar las claves administradas por el cliente, también debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves.

Las claves RSA de tamaño 2048 son las únicas que admite el cifrado de servicios de Azure AI. Para más información acerca de las claves, consulte la sección Claves en Key Vault en Información acerca de claves, secretos y certificados de Azure Key Vault.

Habilitación de claves administradas por el cliente para el recurso

Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:

  1. Vaya al recurso de servicios de Azure AI.
  2. A la izquierda, seleccione Cifrado.
  3. En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en la captura de pantalla siguiente.

Screenshot of encryption tab in Azure portal.

Especificar una clave

Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla al recurso de servicios de Azure AI.

Especificación de una clave como URI

Para especificar una clave como URI, siga estos pasos:

  1. En Azure Portal, vaya al almacén de claves.

  2. En Configuración, seleccione Claves.

  3. Seleccione la clave que desee para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.

  4. Copie el valor Identificador de clave, que proporciona el URI.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Vuelva al recurso de servicios de Azure AI y, luego, seleccione Cifrado.

  6. En Clave de cifrado, seleccione Escribir el URI de la clave.

  7. Pegue el identificador URI que ha copiado en el cuadro URI de clave.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. En Suscripción, seleccione la suscripción que contiene el almacén de claves.

  9. Guarde los cambios.

Especificación de una clave a partir de un almacén de claves

Para especificar una clave a partir de un almacén de claves, asegúrese de tener un almacén de claves que contenga una clave. A continuación, siga estos pasos:

  1. Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.

  2. En Clave de cifrado, seleccione Seleccionar de Key Vault.

  3. Seleccione el almacén de claves que contiene la clave que quiere usar.

  4. Seleccione la clave que quiera usar.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Guarde los cambios.

Actualización de la versión de la clave

Al crear una versión de una clave, actualice el recurso de servicios de Azure AI para usar la nueva versión. Siga estos pasos:

  1. Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
  2. Escriba el identificador URI de la nueva versión de la clave. Como alternativa, puede seleccionar el almacén de claves y, luego, la clave de nuevo para actualizar la versión.
  3. Guarde los cambios.

Uso de una clave distinta

Para cambiar la clave que se usa para el cifrado, siga estos pasos:

  1. Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
  2. Escriba el identificador URI de la nueva clave. Otra opción es seleccionar el almacén de claves y, luego, seleccionar una clave nueva.
  3. Guarde los cambios.

Rotación de claves administradas por el cliente

Las claves administradas por el cliente se pueden rotar en Key Vault según las directivas de cumplimiento. Si se rota la clave, es preciso actualizar el recurso de servicios de Azure AI para que use el identificador URI de la clave nueva. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en Azure Portal, consulte la sección Actualización de la versión de la clave.

La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No es necesaria ninguna otra acción por parte del usuario.

Revocación de una clave administrada por el cliente

Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de servicios de Azure AI, porque el servicio no puede acceder a la clave de cifrado.

Deshabilitación de claves administradas por el cliente

Cuando se deshabilitan las claves administradas por el cliente, el recurso de servicios de Azure AI se cifra entonces con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:

  1. Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
  2. Seleccione Claves administradas por Microsoft>Guardar.

Cuando habilitó previamente las claves administradas por el cliente, esto también habilitó una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez habilitada la identidad administrada asignada por el sistema, este recurso se registrará con Microsoft Entra ID. Tras su registro, se concederá a la identidad administrada acceso a la instancia de Key Vault seleccionada durante la configuración de la clave administrada por el cliente. Puede obtener más información acerca de las identidades administradas.

Importante

Si deshabilita las identidades administradas asignadas por el sistema, se quitará el acceso al almacén de claves y los datos cifrados con las claves de cliente dejarán de estar disponibles. Las características dependientes de estos datos dejarán de funcionar.

Importante

Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

Pasos siguientes