Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo proporciona información general sobre cómo se usa el cifrado en Microsoft Azure. Trata las áreas principales de cifrado, incluidos el cifrado en reposo, el cifrado en paquetes piloto y la administración de claves con Azure Key Vault.
Cifrado de datos en reposo
Los datos en reposo incluyen información que se encuentra en el almacenamiento persistente en un medio físico, en cualquier formato digital. Microsoft Azure ofrece una variedad de soluciones de almacenamiento de datos para satisfacer diferentes necesidades, incluidos el almacenamiento de tablas, blobs y archivos, así como el almacenamiento en disco. Microsoft también proporciona cifrado para proteger Azure SQL Database, Azure Cosmos DB y Azure Data Lake.
El cifrado de datos en reposo mediante el cifrado AES 256 está disponible para los servicios en todo el software como servicio (SaaS), plataforma como servicio (PaaS) y modelos de nube de infraestructura como servicio (IaaS).
Para obtener una explicación detallada sobre cómo se cifran los datos en reposo en Azure, consulte Azure Data Encryption-at-Rest.
Modelos de cifrado de Azure
Azure admite distintos modelos de cifrado, incluido el cifrado de servidor que usa claves administradas por el servicio, claves administradas por el cliente en Key Vault o las claves administradas por el cliente en el hardware controlado por el cliente. Con el cifrado de cliente, puede administrar y almacenar claves de forma local o en otra ubicación segura.
Cifrado de cliente
El cifrado de cliente se realiza fuera de Azure. Incluye:
- Datos cifrados por una aplicación que se ejecuta en el centro de datos del cliente o mediante una aplicación de servicio
- Datos que ya están cifrados cuando Azure los recibe
Con el cifrado del lado cliente, los proveedores de servicios en la nube no tienen acceso a las claves de cifrado y no pueden descifrar estos datos. Mantenga un control completo de las claves.
Cifrado del servidor
Los tres modelos de cifrado del lado servidor ofrecen diferentes características de administración de claves:
- Claves administradas por el servicio: proporciona una combinación de control y comodidad con una sobrecarga baja.
- Claves administradas por el cliente: proporciona control sobre las claves, incluida la compatibilidad con Bring Your Own Keys (BYOK) o le permite generar nuevas claves.
- Claves administradas por el servicio en hardware controlado por el cliente: permite administrar claves en el repositorio propietario, fuera del control de Microsoft (también denominado Host Your Own Key o HYOK)
Azure Disk Encryption
Importante
Azure Disk Encryption está programado para su retirada el 15 de septiembre de 2028. Hasta esa fecha, puede seguir usando Azure Disk Encryption sin interrupciones. El 15 de septiembre de 2028, las cargas de trabajo habilitadas para ADE seguirán ejecutándose, pero los discos cifrados no se desbloquearán después de reiniciar la máquina virtual, lo que provocará una interrupción del servicio.
Utilice el cifrado en el host para nuevas máquinas virtuales. Todas las máquinas virtuales habilitadas para ADE (incluidas las copias de seguridad) deben migrar al cifrado en el host antes de la fecha de retirada para evitar interrupciones del servicio. Consulte Migre desde Azure Disk Encryption al cifrado en el host para obtener más información.
Todos los discos, instantáneas e imágenes administrados están cifrados mediante Storage Service Encryption con una clave administrada por servicio. Azure también ofrece opciones para proteger discos temporales, cachés y administrar claves en Azure Key Vault. Para obtener más información, consulte Información general sobre las opciones de cifrado de disco administrado.
Cifrado del servicio Azure Storage
Los datos en reposo de Azure Blob Storage y los recursos compartidos de archivos de Azure se pueden cifrar en escenarios de cliente y servidor.
Azure Storage Service Encryption (SSE) puede cifrar automáticamente los datos antes de almacenarlos y descifra automáticamente los datos al recuperarlos. Storage Service Encryption usa el cifrado AES de 256 bits, uno de los cifrados de bloques más seguros disponibles.
Cifrado de Azure SQL Database
Azure SQL Database es un servicio de base de datos relacional de uso general que admite estructuras como datos relacionales, JSON, espacial y XML. SQL Database admite el cifrado de servidor a través de la característica Cifrado de datos transparente (TDE) y el cifrado de cliente a través de la característica Always Encrypted.
Cifrado de datos transparente
TDE cifra los archivos de datos de SQL Server, Azure SQL Database y Azure Synapse Analytics en tiempo real mediante una clave de cifrado de base de datos (DEK). TDE está habilitado de forma predeterminada en las bases de datos de Azure SQL recién creadas.
Siempre Cifrado
La característica Always Encrypted de Azure SQL permite cifrar los datos dentro de las aplicaciones cliente antes de almacenarlos en Azure SQL Database. Puede habilitar la delegación de la administración de bases de datos local a terceros y mantener la separación entre aquellos que poseen y pueden ver los datos y los que lo administran.
Cifrado de nivel de celda o columna
Con Azure SQL Database, puede aplicar el cifrado simétrico a una columna de datos mediante Transact-SQL. Este enfoque se denomina cifrado de nivel de celda o cifrado de nivel de columna (CLE), ya que puede usarlo para cifrar columnas o celdas específicas con claves de cifrado diferentes, lo que proporciona una funcionalidad de cifrado más granular que TDE.
Cifrado de base de datos Azure Cosmos DB
Azure Cosmos DB es la base de datos multimodelo distribuida globalmente de Microsoft. Los datos de usuario almacenados en Azure Cosmos DB en almacenamiento no volátil (unidades de estado sólido) se cifran de forma predeterminada mediante claves administradas por el servicio. Puede agregar una segunda capa de cifrado con sus propias claves mediante la característica claves administradas por el cliente (CMK ).
Cifrado de Azure Data Lake
Azure Data Lake es un repositorio de datos de toda la empresa. Data Lake Store admite el cifrado transparente "activado de forma predeterminada" de datos en reposo, que se configura durante la creación de la cuenta. De forma predeterminada, Azure Data Lake Store administra las claves en su nombre, pero tiene la opción de administrarlas usted mismo.
Cifrado de datos en tránsito
Azure ofrece varios mecanismos para mantener la privacidad de los datos cuando se mueven de una ubicación a otra.
Cifrado de capa de vínculo de datos
Cada vez que el tráfico del cliente de Azure se mueve entre centros de datos (fuera de los límites físicos no controlados por Microsoft), se aplica un método de cifrado de capa de vínculo de datos mediante los estándares de seguridad MAC IEEE 802.1AE (también conocido como MACsec) desde un punto a otro en el hardware de red subyacente. Los paquetes se cifran en los dispositivos antes de enviarlos, lo que impide ataques físicos de intermediario o de espionaje y escuchas telefónicas. Este cifrado MACsec está activado de forma predeterminada para todo el tráfico de Azure que viaja dentro de una región o entre regiones.
Cifrado TLS
Microsoft ofrece a los clientes la capacidad de usar el protocolo seguridad de la capa de transporte (TLS) para proteger los datos cuando viaja entre los servicios en la nube y los clientes. Los centros de datos de Microsoft negocian una conexión TLS con sistemas cliente que se conectan a servicios de Azure. TLS proporciona autenticación sólida, privacidad de mensajes e integridad.
Importante
Azure está realizando la transición a requerir TLS 1.2 o posterior para todas las conexiones a los servicios de Azure. La mayoría de los servicios de Azure completaron esta transición el 31 de agosto de 2025. Asegúrese de que las aplicaciones usan TLS 1.2 o posterior.
La confidencialidad directa perfecta (PFS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Las conexiones admiten longitudes de clave de 2048 bits basadas en RSA, longitudes de clave ECC de 256 bits, autenticación de mensajes SHA-384 y cifrado de datos AES-256.
Transacciones de Azure Storage
Si interactúa con Azure Storage a través de Azure Portal, todas las transacciones se realizan a través de HTTPS. También se puede usar la API de REST de Storage a través de HTTPS para interactuar con Azure Storage. Puede aplicar el uso de HTTPS al llamar a las API REST habilitando el requisito de transferencia segura para la cuenta de almacenamiento.
Las firmas de acceso compartido (SAS), que se pueden usar para delegar el acceso a objetos de Azure Storage, incluyen una opción para especificar que solo se puede usar el protocolo HTTPS.
Cifrado de SMB
SMB 3.0, que se usa para acceder a recursos compartidos de Azure Files, admite el cifrado y está disponible en Windows Server 2012 R2, Windows 8, Windows 8.1 y Windows 10. Permite el acceso entre regiones y el acceso en el escritorio.
Cifrado de VPN
Puede conectarse a Azure a través de una red privada virtual que crea un túnel seguro para proteger la privacidad de los datos enviados a través de la red.
Puertas de enlace de VPN de Azure
Azure VPN Gateway puede enviar tráfico cifrado entre la red virtual y la ubicación local a través de una conexión pública o entre redes virtuales. Las VPN de sitio a sitio usan IPsec para el cifrado de transporte.
VPN de punto a sitio
Las VPN de punto a sitio permiten a los equipos cliente individuales acceder a una instancia de Azure Virtual Network. El Protocolo de tunelización de sockets seguros (SSTP) se usa para crear el túnel VPN. Para obtener más información, consulte Configuración de una conexión de punto a sitio a una red virtual.
VPN de sitio a sitio
Una conexión vpn gateway de sitio a sitio conecta la red local a una red virtual de Azure a través de un túnel VPN IPsec/IKE. Para obtener más información, consulte Creación de una conexión de sitio a sitio.
Administración de claves con Key Vault
Sin la protección adecuada y la administración de claves, el cifrado se hace inútil. Azure Key Vault es la solución recomendada por Microsoft para administrar y controlar el acceso a las claves de cifrado que usan los servicios en la nube.
Key Vault libera a las empresas de la necesidad de configurar, aplicar revisiones y mantener los módulos de seguridad de hardware (HSM) y el software de administración de claves. Con Key Vault, mantiene el control: Microsoft nunca ve las claves y las aplicaciones no tienen acceso directo a ellas. También puede importar o generar claves en HSM.
Para más información sobre la administración de claves en Azure, consulte Administración de claves en Azure.
Pasos siguientes
- Introducción a la seguridad de Azure
- Introducción a la seguridad de red de Azure
- Introducción a la seguridad de Azure Database
- Introducción a la seguridad de máquinas virtuales de Azure
- Cifrado de datos en reposo
- Procedimientos recomendados de cifrado y seguridad de datos
- Administración de claves en Azure