Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los procedimientos recomendados para el cifrado y la seguridad de datos.
Los procedimientos recomendados se basan en un consenso de opinión y son válidos para las funcionalidades y conjuntos de características actuales de la plataforma Azure. Como las opiniones y las tecnologías cambian con el tiempo, este artículo se actualiza de forma periódica para reflejar dichos cambios.
Protección de datos
Para contribuir a proteger los datos en la nube, debe tener en cuenta los posibles estados que pueden tener los datos y los controles disponibles para ese estado. Los procedimientos recomendados para el cifrado y seguridad de datos de Azure están relacionados con los siguientes estados de datos:
- En reposo: esto incluye información sobre todos los objetos de almacenamiento, los contenedores y los tipos que existen de forma estática en medios físicos, ya sean discos magnéticos u ópticos.
- En tránsito: cuando se transfieren datos entre componentes, ubicaciones o programas, están en tránsito. Algunos ejemplos son la transferencia a través de la red, a través de un bus de servicio (del entorno local a la nube y viceversa, incluidas las conexiones híbridas como ExpressRoute), o durante el proceso de entrada/salida.
- En Uso: cuando se procesan los datos, las máquinas virtuales de proceso confidenciales basadas en conjuntos de chips AMD e Intel especializados mantienen los datos cifrados en memoria mediante claves administradas por hardware.
Elegir una solución de administración de claves
Proteger las claves es esencial para proteger los datos en la nube.
Azure ofrece varios servicios diferentes para proteger las claves criptográficas mediante HSM. Estas ofertas proporcionan escalabilidad y disponibilidad en la nube, a la vez que le proporcionan control total sobre las claves. Para obtener más información e instrucciones sobre cómo elegir entre estas ofertas de administración de claves, consulte Elección de la solución de administración de claves de Azure adecuada. Se recomienda Azure Key Vault Premium o Azure Key Vault Managed HSM para gestionar las claves de cifrado en reposo.
Administración con estaciones de trabajo seguras
Nota:
El administrador o propietario de la suscripción debe usar una estación de trabajo de acceso seguro o una estación de trabajo con privilegios de acceso.
Puesto que la mayoría de los ataques van destinados al usuario final, el punto de conexión se convierte en uno de los principales puntos de ataque. Un atacante que ponga en peligro el punto de conexión puede aprovechar las credenciales del usuario para acceder a los datos de la organización. La mayoría de los ataques a los puntos de conexión aprovechan el hecho de que los usuarios finales son administradores en sus estaciones de trabajo locales.
Práctica recomendada: use una estación de trabajo de administración segura para proteger datos, tareas y cuentas confidenciales. Detalle: use una estación de trabajo con privilegios de acceso para reducir la superficie de ataque en estaciones de trabajo. Estas estaciones de trabajo de administración seguras pueden ayudar a mitigar algunos de estos ataques y a garantizar la mayor seguridad de sus datos.
Práctica recomendada: garantice la protección del punto de conexión. Detalle: asegúrese de aplicar directivas de seguridad en todos los dispositivos que se usen para consumir datos, independientemente de su ubicación (nube o entorno local).
Protección de los datos en reposo
El cifrado de los datos en reposo es un paso obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos.
Procedimiento recomendado: aplique el cifrado en el host para ayudar a proteger los datos. Detalle: use el cifrado en el host: cifrado de un extremo a otro para la máquina virtual. El cifrado en el host es una opción de máquina virtual que mejora Azure Disk Storage Server-Side Encryption para asegurarse de que todos los discos temporales y las cachés de disco se cifran en reposo y fluyen cifrados a los clústeres de Storage.
La mayoría de los servicios de Azure, como Azure Storage y Azure SQL Database, cifran los datos en reposo de forma predeterminada. Puede usar Azure Key Vault para mantener el control de las claves que se usan para acceder a los datos y cifrarlos. Consulte Compatibilidad con modelo de cifrado de proveedores de recursos de Azure para obtener más información.
Procedimientos recomendados: use el cifrado para ayudar a mitigar los riesgos relacionados con el acceso a datos no autorizado. Detalle: Proporcione encriptación en sus servicios antes de escribir datos confidenciales en estos servicios.
Las organizaciones que no aplican el cifrado de datos están más expuestas a problemas de confidencialidad de los datos. Las compañías también tienen que demostrar que son diligentes y que usan los controles de seguridad adecuados para mejorar la seguridad de los datos a fin de cumplir las normas del sector.
Protección de los datos en tránsito
La protección de los datos en tránsito debe ser una parte esencial de su estrategia de protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar datos entre diferentes ubicaciones. En algunas circunstancias, es posible que desee aislar el canal de comunicación completo entre infraestructura local y en la nube mediante una VPN.
Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse usar medidas de seguridad apropiadas, como HTTPS o VPN. Al enviar tráfico cifrado entre una instancia de Azure Virtual Network y una ubicación local a través de Internet público, use Azure VPN Gateway.
Estos son los procedimientos recomendados específicos para usar Azure VPN Gateway, SSL/TLS y HTTPS.
Procedimiento recomendado: acceda de forma segura desde varias estaciones de trabajo situadas en el entorno local de Azure Virtual Network. Detalle: use VPN de sitio a sitio.
Práctica recomendada: proteja el acceso de una estación de trabajo individual ubicada en un entorno local en Azure Virtual Network. Detalle: use una VPN de punto a sitio.
Procedimiento recomendado: mueva los mayores conjuntos de datos a través de un vínculo WAN de alta velocidad dedicado. Detalle: use ExpressRoute. Si decide usar ExpressRoute, también puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos para una mayor protección.
Práctica recomendada: interactúe con Azure Storage a través de Azure Portal. Detalle: todas las transacciones se realizan a través de HTTPS. También se puede usar la API de REST Storage a través de HTTPS para interactuar con Azure Storage.
Las organizaciones que no protegen los datos en tránsito son más susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión. Estos ataques pueden ser el primer paso para obtener acceso a datos confidenciales.
Protección de los datos en uso
Reducir la necesidad de confianza La ejecución de cargas de trabajo en la nube necesita confianza. Esta confianza se concede a varios proveedores que habilitan diferentes componentes de la aplicación.
- Proveedores de software de aplicaciones: confíe en el software mediante la implementación en el entorno local, el uso de código abierto o la creación de software de aplicaciones interno.
- Proveedores de hardware: confíe en el hardware mediante el uso de hardware local o hardware interno.
- Proveedores de infraestructura: confíe en los proveedores de servicios en la nube o administre sus propios centros de datos locales.
Reducir la superficie expuesta a ataques La base de computación de confianza (TCB) hace referencia a todos los componentes de hardware, firmware y software del sistema que proporcionan un entorno seguro. Los componentes de la TCB se consideran "críticos". Si un componente de la TCB está en peligro, toda la seguridad del sistema puede verse comprometida. Una TCB menor significa una mayor seguridad. Existe menos riesgo de exposición a diversas vulnerabilidades, malware, ataques y usuarios malintencionados.
La computación confidencial de Azure puede ayudarle a:
- Impedir el acceso no autorizado: ejecutar datos confidenciales en la nube. Confíe en que Azure proporciona la mejor protección de datos posible, con poco o ningún cambio respecto a lo que se hace hoy.
- Cumplir con las normativas: Migre a la nube y mantenga el control total de los datos para satisfacer las regulaciones gubernamentales para proteger la información personal y la dirección IP de la organización.
- Garantizar una colaboración segura y que no es de confianza: abordar problemas a escala de trabajo a escala de todo el sector mediante la combinación de datos entre organizaciones, incluso competidores, para desbloquear análisis de datos amplios e información más detallada.
- Aislar el procesamiento: Ofrezca una nueva gama de productos que eliminen la responsabilidad sobre los datos privados con un procesamiento ciego. El proveedor de servicios no puede ni siquiera recuperar los datos de usuario.
Más información acerca de la computación confidencial.
Proteger el correo electrónico, los documentos y los datos confidenciales
Es recomendable controlar y proteger el correo electrónico, los documentos y los datos confidenciales que comparte fuera de su compañía. Azure Information Protection es una solución basada en la nube que ayuda a las organizaciones a clasificar, etiquetar y proteger sus documentos y correos electrónicos. Esto puede ser automático para los administradores que definen reglas y condiciones, manual para los usuarios o una combinación de ambas opciones cuando los usuarios reciben recomendaciones.
Es posible identificar la clasificación en todo momento, independientemente de dónde se almacenan los datos o con quién se comparten. Las etiquetas incluyen distintivos visuales, como un encabezado, pie de página o marca de agua. Se agregan metadatos a los archivos y encabezados de correo electrónico en texto no cifrado. El texto no cifrado garantiza que otros servicios, como las soluciones para evitar la pérdida de datos, puedan identificar la clasificación y tomar las medidas adecuadas.
La tecnología de protección usa Azure Rights Management (Azure RMS). Esta tecnología se integra con otros servicios y aplicaciones en la nube de Microsoft, como Microsoft 365 y Microsoft Entra ID. Esta tecnología de protección usa directivas de autorización, identidad y cifrado. La protección que se aplica mediante Azure RMS se mantiene con los documentos y correos electrónicos, independientemente de la ubicación, ya sea dentro o fuera de la organización, las redes, los servidores de archivos y las aplicaciones.
Esta solución de protección de información le ofrece control sobre sus datos, incluso cuando se comparten con otras personas. También puede usar Azure RMS con sus propias aplicaciones de línea de negocio y soluciones de protección de información de proveedores de software, tanto si estas aplicaciones y soluciones están en un entorno local como si están en la nube.
Se recomienda que:
- Implemente Azure Information Protection para su organización.
- Aplique etiquetas que reflejen sus requisitos empresariales. Por ejemplo, aplique la etiqueta "extremadamente confidencial" a todos los documentos y correos electrónicos que contienen datos de alto secreto para clasificar y proteger estos datos. A continuación, solo los usuarios autorizados podrán acceder a estos datos, con cualquier restricción que especifique.
- Configure el registro de uso para Azure RMS para que pueda supervisar cómo usa el servicio de protección su organización.
Las organizaciones con puntos débiles en la clasificación de datos y la protección de archivos pueden ser más susceptibles a la fuga o el uso incorrecto de datos. Con la protección adecuada de los archivos, puede analizar los flujos de datos para extraer conclusiones sobre su negocio, detectar comportamientos de riesgo y tomar medidas correctivas, realizar un seguimiento del acceso a los documentos, etc.
Pasos siguientes
Consulte Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.
En los siguientes recursos se ofrece más información general sobre la seguridad de Azure y los servicios de Microsoft relacionados:
- Blog del equipo de seguridad de Azure: ofrece información actualizada sobre lo último en seguridad de Azure
- Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de seguridad de Microsoft, incluidos problemas con Azure, o también mediante correo electrónico a secure@microsoft.com.