Cifrado de datos en reposo en Personalizer

Personalizer es un servicio de Azure Cognitive Services que usa un modelo de Machine Learning para proporcionar aplicaciones con contenido personalizado por el usuario. Cuando Personalizer conserva los datos en la nube, cifra esos datos. Este cifrado protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización.

Información sobre el cifrado de Cognitive Services

Los datos se cifran y se descifran con el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Los datos son seguros de forma predeterminada. No es necesario modificar el código ni las aplicaciones para utilizar el cifrado.

Información sobre la administración de claves de cifrado

De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente. Al usar claves administradas por el cliente, tiene mayor flexibilidad en la forma de crear, rotar, deshabilitar y revocar los controles de acceso. También puede auditar las claves de cifrado que se usan para proteger los datos. Si las claves administradas por el cliente están configuradas para la suscripción, se proporciona cifrado doble. Con esta segunda capa de protección, puede controlar la clave de cifrado a través de Azure Key Vault.

Importante

Las claves administradas por el cliente solo están disponibles en el plan de tarifa E0. Para solicitar la capacidad de usar claves administradas por el cliente, rellene y envíe el formulario de solicitud de claves administradas por el cliente del servicio Personalizer. Tarda de tres a cinco días hábiles aproximadamente en recibir una respuesta sobre el estado de la solicitud. Si la demanda es alta, es posible que se coloque en una cola y se apruebe cuando el espacio esté disponible.

Una vez aprobada la aprobación para usar claves administradas por el cliente con Personalizer, cree un nuevo recurso de Personalizer y seleccione E0 como plan de tarifa. Una vez creado el recurso, puede usar Azure Key Vault para configurar la identidad administrada.

Claves administradas por el cliente con Azure Key Vault

Al usar claves administradas por el cliente, debe usar Azure Key Vault para almacenarlas. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Key Vault para generarlas. El recurso de Cognitive Services y el almacén de claves deben estar en la misma región y en el mismo inquilino de Azure Active Directory (Azure AD), pero pueden estar en distintas suscripciones. Para más información sobre Key Vault, consulte ¿Qué es Azure Key Vault?

Al crear un nuevo recurso de Cognitive Services, siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar las claves administradas por el cliente al crear el recurso. Las claves administradas por el cliente se almacenan en Key Vault. El almacén de claves se debe aprovisionar con directivas de acceso que concedan permisos de clave a la identidad administrada que está asociada al recurso de Cognitive Services. La identidad administrada solo está disponible después de crear el recurso con el plan de tarifa requerido para las claves administradas por el cliente.

Al habilitar las claves administradas por el cliente, también se habilita una identidad administrada asignada por el sistema, una característica de Azure AD. Después de que se habilite la identidad administrada asignada por el sistema, este recurso se registra con Azure AD. Tras su registro, se concede a la identidad administrada acceso al almacén de claves seleccionado durante la configuración de la clave administrada por el cliente.

Importante

Si deshabilita las identidades administradas asignadas por el sistema, se quita el acceso al almacén de claves y los datos cifrados con las claves de cliente dejan de estar disponibles. Las características que dependen de estos datos dejan de funcionar.

Importante

Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Azure AD a otro, la identidad administrada que está asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Azure AD en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

Configuración de Key Vault

Al usar las claves administradas por el cliente, debe establecer dos propiedades en el almacén de claves, Eliminación temporal y No purgar. Estas propiedades no están habilitadas de manera predeterminada, pero puede habilitarlas en un almacén de claves nuevo o existente mediante Azure Portal, PowerShell o la CLI de Azure.

Importante

Si no están habilitadas las propiedades Eliminación temporal y No purgar y elimina la clave, no podrá recuperar los datos del recurso de Cognitive Services.

Para obtener información sobre cómo habilitar estas propiedades en un almacén de claves existente, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga.

Habilitación de claves administradas por el cliente para el recurso

Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:

  1. Vaya al recurso de Cognitive Services.

  2. A la izquierda, seleccione Cifrado.

  3. En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en la captura de pantalla siguiente.

    Captura de pantalla de la página de configuración de cifrado para un recurso de Cognitive Services. En Tipo de cifrado, se ha seleccionado la opción Claves administradas por el cliente.

Especificar una clave

Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla al recurso de Cognitive Services.

Especificación de una clave como URI

Para especificar una clave como URI, siga estos pasos:

  1. En Azure Portal, vaya al almacén de claves.

  2. En Configuración, seleccione Claves.

  3. Seleccione la clave que desee para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.

  4. Copie el valor Identificador de clave, que proporciona el URI.

    Captura de pantalla de la página del Azure Portal para una versión de la clave. El cuadro de identificador de clave contiene un marcador de posición para un URI de clave.

  5. Vuelva al recurso de Cognitive Services y, luego, seleccione Cifrado.

  6. En Clave de cifrado, seleccione Escribir el URI de la clave.

  7. Pegue el identificador URI que ha copiado en el cuadro URI de clave.

    Captura de pantalla de la página de encriptación para un recurso de Cognitive Services. La opción Introducir URI de la clave está seleccionada, y el cuadro URI de la clave contiene un valor.

  8. En Suscripción, seleccione la suscripción que contiene el almacén de claves.

  9. Guarde los cambios.

Especificación de una clave a partir de un almacén de claves

Para especificar una clave a partir de un almacén de claves, asegúrese de tener un almacén de claves que contenga una clave. A continuación, siga estos pasos:

  1. Vaya al recurso de Cognitive Services y, luego, seleccione Cifrado.

  2. En Clave de cifrado, seleccione Seleccionar de Key Vault.

  3. Seleccione el almacén de claves que contiene la clave que quiere usar.

  4. Seleccione la clave que quiera usar.

    Captura de pantalla de la página Select key from Azure Key Vault en el Azure Portal. Los cuadros Suscripción, Key Vault, Clave y Versión contienen valores.

  5. Guarde los cambios.

Actualización de la versión de la clave

Al crear una versión de una clave, actualice el recurso de Cognitive Services para usar la nueva versión. Siga estos pasos:

  1. Vaya al recurso de Cognitive Services y, luego, seleccione Cifrado.
  2. Escriba el identificador URI de la nueva versión de la clave. Como alternativa, puede seleccionar el almacén de claves y, luego, la clave de nuevo para actualizar la versión.
  3. Guarde los cambios.

Uso de una clave distinta

Para cambiar la clave que se usa para el cifrado, siga estos pasos:

  1. Vaya al recurso de Cognitive Services y, luego, seleccione Cifrado.
  2. Escriba el identificador URI de la nueva clave. Otra opción es seleccionar el almacén de claves y, luego, seleccionar una clave nueva.
  3. Guarde los cambios.

Rotación de claves administradas por el cliente

Las claves administradas por el cliente se pueden rotar en Key Vault según las directivas de cumplimiento. Si se rota la clave, es preciso actualizar el recurso de Cognitive Services para que use el identificador URI de la clave nueva. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en Azure Portal, consulte la sección Actualización de la versión de la clave.

La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No es necesaria ninguna otra acción por parte del usuario.

Revocación del acceso a las claves administradas por el cliente

Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de Cognitive Services, porque el servicio no puede acceder a la clave de cifrado.

Deshabilitación de claves administradas por el cliente

Cuando se deshabilitan las claves administradas por el cliente, el recurso de Cognitive Services se cifra entonces con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:

  1. Vaya al recurso de Cognitive Services y, luego, seleccione Cifrado.
  2. Desactive la casilla junto a Usar su propia clave.

Pasos siguientes