Administrar clave de cifrado

  • Artículo

Todos los entornos de Microsoft Dataverse usan cifrado de datos transparente (TDE) de SQL Server para realizar cifrado de datos en tiempo real cuando se escriben en el disco, lo que también se conoce como cifrado en reposo.

De forma predeterminada, Microsoft almacena y administra la clave de cifrado de base de datos para sus entornos para que usted no tenga que hacerlo. La característica de claves de administración en el Centro de administración de Microsoft Power Platform ofrece a los administradores la capacidad de autoadministrar la clave de cifrado de base de datos que está asociada al inquilino de Dataverse.

Importante

  • A partir del 2 de junio de 2023, este servicio se actualizará a Clave de cifrado administrada por el cliente. Los nuevos clientes que necesiten administrar su propia clave de cifrado utilizarán el servicio actualizado, ya que este servicio ya no se ofrece.
  • Las claves de cifrado de base de datos autoadministradas solo están disponibles para clientes que tienen más de 1000 licencias de Power Apps por usuario, o más de 1000 licencias de Dynamics 365 Enterprise, o más de 1000 licencias de una combinación de ambos en un solo inquilino. Para participar en este programa, envíe una solicitud de soporte técnico.

La administración de claves de cifrado solo se aplica a bases de datos de entornos de Azure SQL. Las características y los servicios siguientes siguen usando la clave de cifrado administrada por Microsoft para cifrar sus datos y no se pueden cifrar con la clave de cifrado autoadministrada:

  • Copilotos y características de IA generativa en Microsoft Power Platform y Microsoft Dynamics 365
  • Búsqueda de Dataverse
  • Tablas elásticas
  • Mobile Offline
  • Registro de actividad (portal de Microsoft 365)
  • Exchange (sincronización del lado del servidor)

Nota

  • Microsoft debe activar la función de clave de cifrado de base de datos de autogestión para su inquilino antes de que pueda utilizar la función.
  • Para usar las características de administración del cifrado de datos para un entorno, se debe crear el entorno después de que Microsoft haya activado la característica de autoadministración de la clave de cifrado de base de datos.
  • Soporte de Archivo e Imagen con un tamaño de <128 MB se puede habilitar si su entorno tiene la versión 9.2.21052.00103 o superior.
  • La mayoría de los entornos existentes tienen archivos y registros almacenados en bases de datos que no son de Azure SQL. Estos entornos no pueden optar a usar la clave de cifrado autoadministrada. Solo los entornos nuevos (una vez que se haya inscrito en este programa) se podrán habilitar con una clave de cifrado autoadministrada.

Introducción a la administración de claves

Con la administración de claves, los administradores pueden proporcionar su propia clave de cifrado o hacer que se genere una clave de cifrado, que se usa para proteger la base de datos para un entorno.

La característica de administración de claves admite archivos de claves de cifrado PFX y BYOK, como los almacenados en un módulo de seguridad de hardware (HSM). Para usar la opción de cargar claves de cifrado necesita la clave de cifrado pública y privada.

La característica de administración de claves elimina la complejidad de la administración de claves de cifrado mediante el uso de Azure Key Vault para almacenar claves de cifrado de forma segura. Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que utilizan las aplicaciones y los servicios en la nube. La función de administración de claves no requiere que tenga una suscripción de Azure Key Vault y, en la mayoría de las situaciones, no es necesario acceder a las claves de cifrado utilizadas para Dataverse dentro de la bóveda.

La característica de administración de claves permite realizar las siguientes tareas.

  • Habilitar la capacidad de autoadministrar claves de cifrado de base de datos que están asociadas con entornos.

  • Generar nuevas claves de cifrado o cargue archivos de claves de cifrado .PFX o .BYOK existentes.

  • Bloquear y desbloquear entornos de inquilinos.

    Advertencia

    Mientras un inquilino está bloqueado, nadie puede acceder a los entornos dentro del inquilino. Más información: Bloquear el inquilino.

Conocer el riesgo potencial de administrar claves

Al igual que con cualquier aplicación fundamental para la empresa, el personal de la organización que tienen acceso de nivel administrativo debe ser de confianza. Antes de usar la característica de administración de claves, debe comprender el riesgo cuando administra claves de cifrado de base de datos. Es concebible que un administrador malintencionado (una persona a la que se concede o ha obtenido acceso de nivel de administrador con intención de dañar la seguridad o los procesos de negocio de una organización) que trabaja en la organización pueda usar la característica de administración de claves para crear una clave y usarla para bloquear todos los entornos en el inquilino.

Considere la secuencia de eventos siguiente.

El administrador malintencionado inicia sesión en el Centro de administración de Power Platform, va a la pestaña Entornos y selecciona Administrar clave de cifrado. A continuación, el administrador malintencionado crea una nueva clave con una contraseña, descarga la clave de cifrado en su unidad local y activa la nueva clave. Ahora todas las bases de datos de entornos se cifran con la nueva clave. A continuación, el administrador malintencionado bloquea el inquilino con la clave recién descargada y luego toma o elimina la clave de cifrado descargada.

Estas acciones darán lugar a que se deshabiliten todos los entornos dentro del inquilino desde el acceso en línea y hará que no se puedan restaurar todas las copias de seguridad de bases de datos.

Importante

Para evitar que administradores malintencionados interrumpan las operaciones empresariales bloqueando la base de datos, la característica de claves administradas no permite que los entornos de inquilinos se bloqueen durante 72 horas después de haber cambiado o activado la clave de cifrado. Esto proporciona hasta 72 horas para que otros administradores reviertan cualquier cambio de clave no autorizado.

Requisitos de las claves de cifrado

Si ofrece su propia clave de cifrado, la clave debe cumplir estos requisitos para que la acepte Azure Key Vault.

  • El formato de archivo de claves de cifrado debe ser PFX o BYOK.
  • RSA de 2048 bits.
  • Tipo de clave de RSA-HSM (requiere una solicitud de Soporte técnico de Microsoft).
  • Los archivos de claves de cifrado PFX deben estar protegidos por contraseña.

Para obtener más información sobre cómo generar y transferir una clave protegida por HSM a través de Internet consulte Cómo generar y transferir claves protegidas por HSM para Almacén de claves de Azure. Solo se admite la clave HSM del proveedor nCipher. Antes de generar su clave HSM, vaya al centro de administración de Power Platform, en la ventana Administrar claves de cifrado/Crear nueva clave para obtener el Id. de suscripción para la región de su entorno. Debe copiar y pegar este Id. de suscripción en su HSM para crear la clave. Esto garantizará que solo nuestro Azure Key Vault pueda abrir su archivo.

Tareas de administración de claves

Para simplificar las tareas de administración de claves, las tareas se desglosan en tres áreas:

  1. Generar o cargar la clave de cifrado para un inquilino
  2. Activar una clave de cifrado para un inquilino
  3. Administrar cifrado para un entorno

Los administradores pueden utilizar los cmdlets del Centro de administración de Power Platform o el Módulo de administración de Power Platform para realizar las tareas de administración de claves de protección de inquilinos que se describen aquí.

Generar o cargar la clave de cifrado para un inquilino

Todas las claves de cifrado se almacenan en Azure Key Vault y solo puede haber un activo clave en cualquier momento. Puesto que la clave activa se usa para cifrar todos los entornos en el inquilino, la administración del cifrado se opera en el nivel de inquilino. Una vez que la clave está activada, se puede seleccionar cada entorno individual para usar la clave para el cifrado.

Use este procedimiento para establecer la característica de administración de claves la primera vez para un entorno o para cambiar (o renovar) una clave de cifrado para un inquilino ya autoadministrado.

Advertencia

Cuando realice por primera vez los pasos descritos aquí, optará por la autoadministración de sus claves de cifrado. Más información: Conocer el riesgo potencial de administrar sus claves.

  1. Inicie sesión en el Centro de administración de Power Platform, como administrador (administrador de Dynamics 365, administrador global o administrador de Microsoft Power Platform).

  2. Seleccione la pestaña Entornos y, a continuación, seleccione Administrar claves de cifrado en la barra de herramientas.

  3. Seleccione Confirmar para confirmar el riesgo de la clave de administración.

  4. Seleccione Nueva clave en la barra de herramientas.

  5. En el panel izquierdo, complete los detalles para generar o cargar una clave:

    • Seleccione una Región. Esta opción se muestra solo si su inquilino tiene varias regiones.
    • Introduzca un Nombre de clave.
    • Seleccione una de las opciones siguientes:

  6. Seleccione Siguiente.

Generar una nueva clave (.pfx)

  1. Introduzca una contraseña y vuelva a introducirla para confirmarla.
  2. Seleccione Crear y, a continuación, seleccione la notificación del archivo creado en su navegador.
  3. El archivo .PFX de la clave de cifrado se descarga en la carpeta de descarga predeterminada de su navegador web. Guarde el archivo en una ubicación segura (le recomendamos que realice una copia de seguridad de esta clave junto con su contraseña).

Cargar una clave (.pfx o .byok)

  1. Seleccione Cargar la clave, seleccione el archivo .pfx o .byok 1 y luego seleccione Abrir.
  2. Escriba la contraseña para la clave y luego seleccione Crear.

1 Para archivos de claves de cifrado .byok, asegúrese de usar el Id. de suscripción que se muestra en la pantalla cuando exporte la clave de cifrado desde el HSM local. Más información: Cómo generar y transferir claves protegidas por HSM para Azure Key Vault.

Nota

Para reducir el número de pasos para que el administrador administre el proceso de clave, la clave se activa automáticamente cuando se carga por primera vez. Todas las cargas de claves posteriores requieren un paso adicional para activar la clave.

Activar una clave de cifrado para un inquilino

Una vez que se genera o se carga una clave de cifrado para el inquilino, esta se puede activar.

  1. Inicie sesión en el Centro de administración de Power Platform, como administrador (administrador de Dynamics 365, administrador global o administrador de Microsoft Power Platform).
  2. Seleccione la pestaña Entornos y, a continuación, seleccione Administrar claves de cifrado en la barra de herramientas.
  3. Seleccione Confirmar para confirmar el riesgo de la clave de administración.
  4. Seleccione una clave que tenga un estado Disponible y luego seleccione Activar clave en la barra de herramientas.
  5. Seleccione Confirmar para confirmar el cambio de la clave.

Cuando activa una clave para el inquilino, el servicio de administración de claves tarda un tiempo en activar la clave. El estado del Estado de la clave muestra la clave como Instalando cuando se activa la clave nueva o cargada. Una vez que se activa la clave, se produce lo siguiente:

  • Todos los entornos cifrados se cifran automáticamente con la clave activa (no hay tiempo de inactividad con esta acción).
  • Cuando está activada, la clave de cifrado se aplicará a todos los entornos que se cambien de una clave de cifrado proporcionada por Microsoft a una autoadministrada.

Importante

Para simplificar el proceso de administración de claves para que todos los entornos sean administrados por la misma clave, la clave activa no se puede actualizar cuando haya entornos bloqueados. Todos los entornos bloqueados deben desbloquearse antes de que se pueda activar una nueva clave. Si hay entornos bloqueados que no tienen que desbloquearse, deben eliminarse.

Nota

Después de que se active una clave de cifrado, no podrá activar otra clave durante 24 horas.

Administrar cifrado para un entorno

De forma predeterminada, cada entorno se cifra con la clave de cifrado proporcionada por Microsoft. Una vez que se active una clave de cifrado para el inquilino, los administradores pueden elegir cambiar el cifrado predeterminado para usar las claves de cifrado activadas. Para usar la clave activada, siga estos pasos.

Aplicar clave de cifrado a un entorno

  1. Iniciar sesión en el centro de administración de Power Platform, utilizando las credenciales del rol de administrador de entorno o sistema Administrador.
  2. Seleccione la pestaña Entornos.
  3. Abra un entorno cifrado proporcionado por Microsoft.
  4. Seleccionar Ver todo.
  5. En la sección Cifrado de entorno, seleccione Administrar.
  6. Seleccione Confirmar para confirmar el riesgo de la clave de administración.
  7. Seleccione Aplicar esta clave para aceptar cambiar el cifrado para usar la clave activada.
  8. Seleccione Confirmar para confirmar que está administrando la clave directamente y que hay tiempo de inactividad para esta acción.

Devolver una clave de cifrado administrada a una clave de cifrado proporcionada por Microsoft

Volver a la clave de cifrado proporcionada por Microsoft configura el entorno al comportamiento predeterminado en el que Microsoft administra la clave de cifrado para usted.

  1. Iniciar sesión en el centro de administración de Power Platform, utilizando las credenciales del rol de administrador de entorno o sistema Administrador.
  2. Seleccione la pestaña Entornos y luego seleccione un entorno que se cifra con una clave autoadministrada.
  3. Seleccionar Ver todo.
  4. En la sección Cifrado de entorno, seleccione Administrar y luego seleccione Confirmar.
  5. En Volver a la administración estándar de claves, seleccione Volver.
  6. Para entornos de producción, confirme el entorno introduciendo el nombre del entorno.
  7. Seleccione Confirmar para volver a la administración estándar de claves de cifrado.

Bloquear el inquilino

Puesto que solo hay una clave activa por inquilino, bloquear el cifrado para el inquilino deshabilita todos los entornos que se encuentra en el inquilino. Todos los entornos bloqueados permanecerán inaccesibles para todos, incluido Microsoft, hasta que un administrador de Power Platform de la organización los desbloquee con la tecla que usó para bloquearlos.

Precaución

Nunca debe bloquear los entornos de inquilino como parte del proceso de negocio normal. Cuando bloquee un inquilino de Dataverse, todos los entornos se desconectarán por completo y nadie podría acceder a ellos, incluido Microsoft. Además, los servicios como sincronización y mantenimiento se detienen. Si decide salir del servicio, bloquear el inquilino puede garantizar que nadie vuelva a acceder a sus datos en línea.
Tenga en cuenta lo siguiente acerca del bloqueo de entornos de inquilinos:

  • Los entornos bloqueados no se pueden restaurar de la copia de seguridad.
  • Los entornos bloqueados se eliminan si no desbloquean después de 28 días.
  • No puede bloquear los entornos durante 72 horas después de un cambio de clave de cifrado.
  • Bloquear un inquilino bloquea todos los entornos activos dentro del inquilino.

Importante

  • Debe esperar al menos una hora después de que bloquee entornos activos antes de poder desbloquearlos.
  • Una vez que comience el proceso de bloqueo, se eliminan todas las claves de cifrado con un estado Activo o Disponible. El proceso de bloqueo puede tardar hasta una hora y, durante este tiempo, no se permite desbloquear entornos bloqueados.
  1. Inicie sesión en el Centro de administración de Power Platform, como administrador (administrador de Dynamics 365, administrador global o administrador de Microsoft Power Platform).
  2. Seleccione la pestaña Entornos y, a continuación, en la barra de comandos seleccione Administrar claves de cifrado en la barra de herramientas.
  3. Seleccione la clave Activa y, a continuación, seleccione Bloquear entornos activos.
  4. En el panel derecho, seleccione Cargar clave activa, busque y seleccione la clave, introduzca una contraseña y luego seleccione Bloquear.
  5. Cuando se le solicite, escriba el texto que se muestra en la pantalla para confirmar que desea bloquear todos los entornos en la región y, a continuación, seleccione Confirmar.

Desbloquear entornos bloqueados

Para desbloquear entornos, primero debe cargar y luego activar la clave de cifrado de inquilinos con la misma clave que se utilizó para bloquear el inquilino. Tenga en cuenta que los entornos bloqueados no se desbloquean automáticamente una vez que se haya activado la clave. Cada entorno bloqueado tiene que desbloquearse individualmente.

Importante

  • Debe esperar al menos una hora después de que bloquee entornos activos antes de poder desbloquearlos.
  • El proceso de desbloqueo puede tardar hasta una hora. Una vez que la clave está desbloqueada, puede usar la clave en Administrar cifrado para un entorno.
  • No puede generar una nueva o cargar una clave existente hasta que todos los entornos bloqueados estén desbloqueados.
Desbloquear clave de cifrado
  1. Inicie sesión en el Centro de administración de Power Platform, como administrador (administrador de Dynamics 365, administrador global o administrador de Microsoft Power Platform).
  2. Seleccione la pestaña Entornos y, a continuación, seleccione Administrar claves de cifrado.
  3. Seleccione la clave que tenga un estado Bloqueado y luego en la barra de comando seleccione Desbloquear clave.
  4. Seleccione Cargar clave bloqueada, busque y seleccione la clave que se usó para bloquear el inquilino, introduzca una contraseña y luego seleccione Desbloquear. La clave aparece en un estado Instalando. Debe esperar hasta que la clave se encuentra en estado Activo antes de poder desbloquear entornos bloqueados.
  5. Para desbloquear un entorno, consulte la siguiente sección.
Desbloquear entornos

  1. Seleccione la pestaña Entornos y, a continuación, seleccione el nombre del entorno bloqueado.

    Propina

    No seleccione la fila. Seleccione el nombre del entorno. Abrir entorno para ver configuración.

  2. En la sección Detalles, seleccione Ver todo para mostrar el panel Detalles en la parte derecha.

  3. En la sección de cifrado Entorno en el panel Detalles, seleccione Administrar.

    Panel de detalles de entorno.

  4. En la página Cifrado de entorno, seleccione Desbloquear.

    Desbloquear entorno.

  5. Seleccione Confirmar para confirmar que desea desbloquear el entorno.

  6. Repita los pasos anteriores para desbloquear entornos adicionales.

Operaciones de la base de datos del entorno

Un inquilino de cliente puede tener entornos cifrados con la clave administrada de Microsoft y entornos cifrados con la clave administrada por el cliente. Para mantener la integridad y la protección de los datos, los siguientes controles están disponibles a la hora de administrar las operaciones de la base de datos del entorno.

  1. Restaurar El entorno que se va a sobrescribir (el entorno en el que se hace la restauración) está restringido al mismo entorno desde donde se tomó la copia de seguridad o a otro entorno que esté cifrado con la misma clave administrada por el cliente.

    Restaurar copia de seguridad.

  2. Copia El entorno que se va a sobrescribir (el entorno donde se hace la copia) está restringido a otro entorno que está cifrado con la misma clave administrada por el cliente.

    Copiar entorno.

    Nota

    Si se creó un entorno de investigación de soporte para solucionar un problema de soporte en un entorno administrado por el cliente, la clave de cifrado para el entorno de investigación de soporte se debe cambiar a la clave administrada por el cliente antes de poder realizar la operación de copia del entorno.

  3. Restablecer Se eliminarán los datos cifrados del entorno, incluidas las copias de seguridad. Después de restablecer el entorno, el cifrado del entorno volverá a la clave administrada de Microsoft.

Consulte también

SQL Server: Cifrado de datos transparente (TDE)