Procedimientos recomendados de cifrado y seguridad de datos en Azure

  • Artículo

En este artículo se describen los procedimientos recomendados para el cifrado y la seguridad de datos.

Los procedimientos recomendados se basan en un consenso de opinión y son válidos para las funcionalidades y conjuntos de características actuales de la plataforma Azure. Como las opiniones y las tecnologías cambian con el tiempo, este artículo se actualiza de forma periódica para reflejar dichos cambios.

Protección de datos

Para contribuir a proteger los datos en la nube, debe tener en cuenta los posibles estados que pueden tener los datos y los controles disponibles para ese estado. Los procedimientos recomendados para el cifrado y seguridad de datos de Azure están relacionados con los siguientes estados de datos:

  • En reposo: incluye toda la información acerca de los objetos de almacenamiento, contenedores y tipos que existen de forma estática en los soportes físicos, ya sean discos magnéticos u ópticos.
  • En tránsito: cuando se transfieren datos entre componentes, ubicaciones o programas, están en tránsito. Algunos ejemplos son la transferencia a través de la red, a través de un bus de servicio (del entorno local a la nube y viceversa, incluidas las conexiones híbridas como ExpressRoute), o durante el proceso de entrada/salida.
  • En Uso: cuando se procesan los datos, las máquinas virtuales de proceso confidencial basadas en chips AMD e Intel especializadas mantienen los datos cifrados en memoria mediante claves administradas por hardware.

Elegir una solución de administración de claves

Proteger las claves es esencial para proteger los datos en la nube.

Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que usan los servicios y aplicaciones en la nube. Key Vault agiliza el proceso de administración de claves y le permite mantener el control de claves que obtienen acceso a sus datos y los cifran. Los desarrolladores pueden crear claves para desarrollo y prueba en minutos y, a continuación, migrarlas a claves de producción. Los administradores de seguridad pueden conceder (y revocar) permisos a las claves según sea necesario.

Puedes usar Key Vault para crear múltiples contenedores seguros denominados almacenes. Estos almacenes están respaldados por HSM. Los almacenes ayudan a reducir las posibilidades de que se produzca una pérdida accidental de información de seguridad centralizando el almacenamiento de los secretos de aplicación. Los almacenes de claves también permiten controlar y registrar el acceso a todo lo que está almacenado en ellos. Azure Key Vault puede administrar la solicitud y renovación de certificados de Seguridad de la capa de transporte (TLS). Proporciona características para una solución sólida para la administración del ciclo de vida de certificados.

Azure Key Vault está diseñado para admitir secretos y claves de aplicación. Key Vault no está pensado para usarse como almacén para las contraseñas de usuario.

A continuación se indican los procedimientos recomendados de seguridad para el uso de Key Vault.

Procedimiento recomendado: conceda acceso a usuarios, grupos y aplicaciones en un ámbito concreto. Detalles: use los roles predefinidos de Azure RBAC. Por ejemplo, para conceder acceso a un usuario para administrar los almacenes de claves, se asignaría el rol predefinido Colaborador de Key Vault a este usuario en un ámbito específico. En este caso, el ámbito caso sería una suscripción, un grupo de recursos o, simplemente, un almacén de claves específico. Si los roles predefinidos no se ajustan a las necesidades, puede definir roles propios.

Procedimiento recomendado: controle a qué tienen acceso los usuarios. Detalles: El acceso a un almacén de claves se controla a través de dos interfaces diferentes: plano de administración y plano de datos. Los controles de acceso del plano de administración y del plano de datos funcionan de forma independiente.

Use Azure RBAC para controlar a qué tienen acceso los usuarios. Por ejemplo, si desea conceder a una aplicación acceso para usar las claves de un almacén de claves, solo necesita conceder permisos de acceso al plano de datos mediante directivas de acceso de Key Vault y no se necesita acceso a ningún plano de administración para esta aplicación. Por el contrario, si quiere que un usuario pueda leer las propiedades y etiquetas del almacén, pero no tenga acceso a las claves, los secretos o los certificados, puede concederle acceso de lectura mediante Azure RBAC y no se requiere acceso al plano de datos.

Procedimiento recomendado: almacene los certificados en el almacén de claves. Los certificados son de gran valor. En las manos equivocadas, la seguridad de los datos o la aplicación puede estar en peligro. Detalles: Azure Resource Manager puede implementar de manera segura los certificados almacenados en Azure Key Vault para las máquinas virtuales de Azure cuando estas se implementan. Al establecer directivas de acceso adecuadas para el almacén de claves, también controla quién obtiene acceso al certificado. Otra ventaja es que administra todos los certificados desde el mismo sitio en Azure Key Vault. Consulte Deploy Certificates to VMs from customer-managed Key Vault (Implementar certificados en VM desde una instancia de Key Vault administrada por el usuario) para obtener más información.

Procedimiento recomendado: asegúrese de que puede recuperar almacenes de claves u objetos de almacén de claves si se eliminan. Detalles: la eliminación de almacenes de claves u objetos de almacén de claves puede ser involuntaria o malintencionada. Habilite las características de protección de purga y eliminación temporal de Key Vault, especialmente para las claves que se usan para cifrar datos en reposo. La eliminación de estas claves es equivalente a la pérdida de datos, así que, si es necesario, puede recuperar almacenes eliminados y objetos de almacén. Practique las operaciones de recuperación de Key Vault de forma periódica.

Nota

Si un usuario tiene permisos de colaborador (Azure RBAC) en un plano de administración de Key Vault, se puede conceder a sí mismo acceso al plano de datos estableciendo la directiva de acceso al almacén de claves. Se recomienda controlar de forma estricta quién tiene acceso de colaborador a los almacenes de claves, con el fin de garantizar que las personas autorizadas son las únicas que pueden acceder a los almacenes de claves, las claves, los secretos y los certificados, y administrarlos.

Administración con estaciones de trabajo seguras

Nota

El administrador o propietario de la suscripción debe usar una estación de trabajo de acceso seguro o una estación de trabajo con privilegios de acceso.

Puesto que la mayoría de los ataques van destinados al usuario final, el punto de conexión se convierte en uno de los principales puntos de ataque. Un atacante que ponga en peligro el punto de conexión puede aprovechar las credenciales del usuario para acceder a los datos de la organización. La mayoría de los ataques a los puntos de conexión aprovechan el hecho de que los usuarios finales son administradores en sus estaciones de trabajo locales.

Procedimiento recomendado: use una estación de trabajo de administración segura para proteger los datos, las tareas y las cuentas confidenciales. Detalles: use una estación de trabajo con privilegios para reducir la superficie expuesta a ataques de las estaciones de trabajo. Estas estaciones de trabajo de administración seguras pueden ayudar a mitigar algunos de estos ataques y a garantizar la mayor seguridad de sus datos.

Procedimiento recomendado: asegúrese de que los puntos de conexión están protegidos. Detalles: aplique directivas de seguridad en todos los dispositivos que se usen para consumir datos, independientemente de la ubicación de dichos datos (nube o entorno local).

Protección de los datos en reposo

El cifrado de los datos en reposo es un paso obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos.

Procedimiento recomendado: cifre los discos para proteger los datos. Detalle:Use Azure Disk Encryption para VM de Linux o Azure Disk Encryption para VM de Windows. El cifrado de discos combina la función estándar de Linux dm-crypt o de Windows BitLocker para proporcionar un cifrado de volumen para el sistema operativo y los discos de datos.

Azure Storage y Azure SQL Database cifran los datos en reposo de forma predeterminada y muchos servicios ofrecen el cifrado como opción. Puede usar Azure Key Vault para mantener el control de las claves que se usan para acceder a los datos y cifrarlos. Consulte Compatibilidad con modelo de cifrado de proveedores de recursos de Azure para obtener más información.

Procedimientos recomendados: use el cifrado para mitigar los riesgos relacionados con el acceso no autorizado a los datos. Detalles: cifre las unidades antes de escribir información confidencial en ellas.

Las organizaciones que no aplican el cifrado de datos están más expuestas a problemas de confidencialidad de los datos. Por ejemplo, los usuarios no autorizados pueden robar datos de las cuentas en peligro u obtener acceso no autorizado a los datos codificados en ClearFormat. Las compañías también tienen que demostrar que son diligentes y que usan los controles de seguridad adecuados para mejorar la seguridad de los datos a fin de cumplir las normas del sector.

Protección de los datos en tránsito

La protección de los datos en tránsito debe ser una parte esencial de su estrategia de protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar datos entre diferentes ubicaciones. En algunas circunstancias, es posible que desee aislar el canal de comunicación completo entre infraestructura local y en la nube mediante una VPN.

Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse usar medidas de seguridad apropiadas, como HTTPS o VPN. Al enviar tráfico cifrado entre una instancia de Azure Virtual Network y una ubicación local a través de Internet público, use Azure VPN Gateway.

Estos son los procedimientos recomendados específicos para usar Azure VPN Gateway, SSL/TLS y HTTPS.

Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde varias estaciones de trabajo situadas en el entorno local. Detalles: use VPN de sitio a sitio.

Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde una estación de trabajo situada en el entorno local. Detalles: use VPN de punto a sitio.

Procedimiento recomendado: mueva los conjuntos de datos grandes a través de un vínculo WAN de alta velocidad dedicado. Detalles: use ExpressRoute. Si decide usar ExpressRoute, también puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos para una mayor protección.

Procedimiento recomendado: interactúe con Azure Storage a través de Azure Portal. Detalles: todas las transacciones se realizan a través de HTTPS. También se puede usar la API de REST Storage a través de HTTPS para interactuar con Azure Storage.

Las organizaciones que no protegen los datos en tránsito son más susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión. Estos ataques pueden ser el primer paso para obtener acceso a datos confidenciales.

Protección de los datos en uso

Reducir la necesidad de confianza La ejecución de cargas de trabajo en la nube necesita confianza. Esta confianza se concede a varios proveedores que habilitan diferentes componentes de la aplicación.

  • Proveedores de software de aplicaciones: confíe en el software mediante la implementación en el entorno local, el uso de código abierto o la creación de software de aplicaciones interno.
  • Proveedores de hardware: confíe en el hardware mediante el uso de hardware local o hardware interno.
  • Proveedores de infraestructura: confíe en los proveedores de servicios en la nube o administre sus propios centros de datos locales.

Reducir la superficie expuesta a ataques La base de computación de confianza (TCB) hace referencia a todos los componentes de hardware, firmware y software del sistema que proporcionan un entorno seguro. Los componentes de la TCB se consideran "críticos". Si un componente de la TCB está en peligro, toda la seguridad del sistema puede verse comprometida. Una TCB menor significa una mayor seguridad. Existe menos riesgo de exposición a diversas vulnerabilidades, malware, ataques y usuarios malintencionados.

La computación confidencial de Azure puede ayudarle a:

  • Impida el acceso no autorizado: Ejecute información confidencial en la nube. Confíe en que Azure proporciona la mejor protección de datos posible, con poco o ningún cambio respecto a lo que se hace hoy.
  • Cumplir con las normativas: Migre a la nube y mantenga el control total de los datos para satisfacer las regulaciones gubernamentales para proteger la información personal y la dirección IP de la organización.
  • Asegurar la colaboración segura y la no confiable: Afronte los problemas de escala de trabajo de todo el sector mediante la combinación de datos entre organizaciones, incluso competidores, para desbloquear amplios análisis de datos y obtener información más detallada.
  • Aislar el procesamiento: Ofrezca una nueva gama de productos que eliminen la responsabilidad sobre los datos privados con un procesamiento ciego. El proveedor de servicios no puede ni siquiera recuperar los datos de usuario.

Más información acerca de la computación confidencial.

Proteger el correo electrónico, los documentos y los datos confidenciales

Es recomendable controlar y proteger el correo electrónico, los documentos y los datos confidenciales que comparte fuera de su compañía. Azure Information Protection es una solución basada en la nube que ayuda a las organizaciones a clasificar, etiquetar y proteger sus documentos y correos electrónicos. Esto puede ser automático para los administradores que definen reglas y condiciones, manual para los usuarios o una combinación de ambas opciones cuando los usuarios reciben recomendaciones.

Es posible identificar la clasificación en todo momento, independientemente de dónde se almacenan los datos o con quién se comparten. Las etiquetas incluyen distintivos visuales, como un encabezado, pie de página o marca de agua. Se agregan metadatos a los archivos y encabezados de correo electrónico en texto no cifrado. El texto no cifrado garantiza que otros servicios, como las soluciones para evitar la pérdida de datos, puedan identificar la clasificación y tomar las medidas adecuadas.

La tecnología de protección usa Azure Rights Management (Azure RMS). Esta tecnología está integrada con otras aplicaciones y servicios en la nube de Microsoft, como Microsoft 365 y Microsoft Entra ID. Esta tecnología de protección usa directivas de autorización, identidad y cifrado. La protección que se aplica mediante Azure RMS se mantiene con los documentos y correos electrónicos, independientemente de la ubicación, ya sea dentro o fuera de la organización, las redes, los servidores de archivos y las aplicaciones.

Esta solución de protección de información le ofrece control sobre sus datos, incluso cuando se comparten con otras personas. También puede usar Azure RMS con sus propias aplicaciones de línea de negocio y soluciones de protección de información de proveedores de software, tanto si estas aplicaciones y soluciones están en un entorno local como si están en la nube.

Se recomienda que:

  • Implemente Azure Information Protection para su organización.
  • Aplique etiquetas que reflejen sus requisitos empresariales. Por ejemplo, aplique la etiqueta "extremadamente confidencial" a todos los documentos y correos electrónicos que contienen datos de alto secreto para clasificar y proteger estos datos. A continuación, solo los usuarios autorizados podrán acceder a estos datos, con cualquier restricción que especifique.
  • Configure el registro de uso para Azure RMS para que pueda supervisar cómo usa el servicio de protección su organización.

Las organizaciones con puntos débiles en la clasificación de datos y la protección de archivos pueden ser más susceptibles a la fuga o el uso incorrecto de datos. Con la protección adecuada de los archivos, puede analizar los flujos de datos para extraer conclusiones sobre su negocio, detectar comportamientos de riesgo y tomar medidas correctivas, realizar un seguimiento del acceso a los documentos, etc.

Pasos siguientes

Consulte Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad de Azure y los servicios de Microsoft relacionados: