Más información sobre el cifrado de Azure Elastic SAN

Azure Elastic SAN usa el cifrado del lado servidor (SSE) para cifrar automáticamente los datos almacenados en una instancia de Elastic SAN. SSE protege los datos y le ayuda a cumplir los requisitos de seguridad y cumplimiento de la organización.

Los datos de los volúmenes de Azure Elastic SAN se cifran y descifran de forma transparente mediante cifrado AES de 256 bits, uno de los cifrados de bloques más seguros disponibles y es compatible con FIPS 140-2. Para más información sobre de los módulos criptográficos subyacentes al cifrado de datos de Azure, consulte API de criptografía: próxima generación.

SSE está habilitado de manera predeterminada y no se puede deshabilitar. SSE no se puede deshabilitar, no afecta al rendimiento de la instancia de Elastic SAN y no tiene ningún costo adicional asociado.

Información sobre la administración de claves de cifrado

Hay dos tipos de claves de cifrado disponibles: claves administradas por la plataforma y claves administradas por el cliente. Los datos escritos en un volumen de Elastic SAN se cifran con claves administradas por la plataforma (administradas por Microsoft) de manera predeterminada. Si lo prefiere, puede usar claves administradas por el cliente en su lugar, si tiene requisitos específicos de seguridad y cumplimiento de la organización.

Al configurar un grupo de volúmenes, puede optar por usar claves administradas por la plataforma o administradas por el cliente. Todos los volúmenes de un grupo de volúmenes heredan la configuración del grupo de volúmenes. Puede cambiar entre claves administradas por el cliente y administradas por la plataforma en cualquier momento. Si cambia entre estos tipos de claves, el servicio Elastic SAN vuelve a cifrar la clave de cifrado de datos con la nueva KEK. La protección de la clave de cifrado de datos cambia, pero los datos de los volúmenes de Elastic SAN siempre permanecen cifrados. No se requiere ninguna acción adicional por su parte para asegurarse de que los datos están protegidos.

Claves administradas por el cliente

Si usa claves administradas por el cliente, debe usar una instancia de Azure Key Vault para almacenarlas.

Puede crear e importar sus propias claves RSA y almacenarlas en Azure Key Vault, o bien puede generar nuevas claves RSA mediante Azure Key Vault. Puede usar las API de Azure Key Vault o las interfaces de administración para generar las claves. La instancia de Elastic SAN y el almacén de claves pueden estar en distintas regiones y suscripciones, pero deben estar en el mismo inquilino de Microsoft Entra ID.

En el diagrama siguiente, se muestra cómo usa Azure Elastic SAN Microsoft Entra ID y un almacén de claves para realizar solicitudes mediante la clave administrada por el cliente:

En la lista siguiente se explican los pasos numerados del diagrama:

1. Un administrador de Azure Key Vault concede permisos a una identidad administrada para acceder al almacén de claves que contiene las claves de cifrado. La identidad administrada puede ser una identidad asignada por el usuario que cree y administre o una identidad asignada por el sistema asociada al grupo de volúmenes.
2. Un propietario del grupo de volúmenes de Azure Elastic SAN configura el cifrado con una clave administrada por el cliente para el grupo de volúmenes.
3. Azure Elastic SAN usa los permisos concedidos a la identidad administrada en el paso 1 para autenticar el acceso al almacén de claves mediante Microsoft Entra ID.
4. Azure Elastic SAN encapsula la clave de cifrado de datos con la clave administrada por el cliente del almacén de claves.
5. En operaciones de lectura y escritura, Azure Elastic SAN envía solicitudes a Azure Key Vault para desencapsular la clave de cifrado de la cuenta con el fin de realizar operaciones de cifrado y descifrado.

Pasos siguientes

• Configuración de claves administradas por el cliente para Azure Elastic SAN mediante Azure Key Vault
• Administración de claves de cliente para el cifrado de datos de Azure Elastic SAN