Share via

Acerca del cifrado de datos

  • Artículo

Los datos son el activo más valioso e insustituible de una organización, y el cifrado sirve como la última y más sólida línea de defensa en una estrategia de seguridad de datos de varias capas. Los productos y servicios en la nube empresarial de Microsoft utilizan el cifrado para proteger los datos de los clientes y ayudarlo a mantener el control sobre ellos.

Protección de datos en reposo

Cifrar su información hace que sea ilegible para personas no autorizadas, incluso si atraviesan sus firewalls, se infiltran en su red, obtienen acceso físico a sus dispositivos o eluden los permisos en su máquina local. El cifrado transforma los datos para que solo alguien con la clave de descifrado pueda acceder a ellos.

Dynamics 365 usa almacenamiento heterogéneo (Dataverse) para almacenar los datos. Los datos se distribuyen en diferentes tipos de almacenamiento:

  • Azure SQL Database para datos relacionales
  • Azure Blob Storage para datos binarios, como imágenes y documentos
  • Búsqueda de Azure para indexación de búsqueda
  • Registro de actividad de Microsoft 365 y Azure Cosmos DB para datos de auditoría
  • Azure Data Lake para análisis

Las bases de datos de Dataverse utilizan SQL TDE (Cifrado de datos transparente, compatible con FIPS 140-2) para proporcionar cifrado y descifrado de E/S en tiempo real de los datos y archivos de registro para el cifrado de datos en reposo. Azure Storage Encryption se usa para los datos en reposo almacenados en Azure Blob Storage. Estos se cifran y descifran de forma transparente mediante el cifrado AES de 256 bits compatible con FIPS 140-2.

De forma predeterminada, Microsoft almacena y administra la clave de cifrado de base de datos para sus entornos usando una clave administrada por Microsoft. Sin embargo, Power Platform proporciona una clave de cifrado administrada por el cliente (CMK) para mayor control de protección de datos, donde puede autogestionar la clave de cifrado de la base de datos. La clave de cifrado reside en su propio almacén de claves de Azure, lo que le permite rotar o intercambiar la clave de cifrado a pedido. También le permite evitar el acceso de Microsoft a sus datos de cliente cuando revoca la clave de acceso a nuestros servicios en cualquier momento.

Cifrado de datos en reposo

Los administradores pueden proporcionar su propia clave de cifrado utilizando su propio hardware generador de claves (HSM) o utilizar Azure Key Vault para generar una clave de cifrado. La característica de administración de claves elimina la complejidad de la administración de claves de cifrado mediante el uso de Azure Key Vault para almacenar claves de cifrado de forma segura. Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que utilizan las aplicaciones y los servicios en la nube. Las claves de cifrado deben cumplir los siguientes requisitos de Azure Key Vault:

Los administradores también pueden revertir la clave de cifrado a una clave administrada por Microsoft en cualquier momento.

Protección de datos en tránsito

Azure protege los datos en tránsito hacia o desde componentes externos, así como los datos en tránsito internamente, como entre dos redes virtuales. Azure usa protocolos de transporte estándar de la industria, como TLS, entre los dispositivos de los usuarios y los centros de datos de Microsoft, y dentro de los mismos centros de datos. Para proteger aún más sus datos, la comunicación interna entre los servicios de Microsoft utiliza la red troncal de Microsoft y, por lo tanto, no está expuesta a la Internet pública.

Microsoft utiliza varios métodos de cifrado, protocolos y algoritmos en sus productos y servicios para ayudar a proporcionar una ruta segura para que los datos viajen a través de la infraestructura y para ayudar a proteger la confidencialidad de los datos que se almacenan dentro de la infraestructura. Microsoft utiliza algunos de los protocolos de cifrado más fuertes y seguros de la industria para proporcionar una barrera contra el acceso no autorizado a sus datos. La administración adecuada de claves es un elemento esencial en las mejores prácticas de cifrado, y Microsoft ayuda a garantizar que las claves de cifrado estén debidamente protegidas.

Cifrado de datos en tránsito

Los ejemplos de protocolos y tecnologías incluyen:

  • Seguridad de la capa de transporte/Capa de sockets seguros (TLS/SSL), que utiliza criptografía simétrica basada en un secreto compartido para cifrar las comunicaciones a medida que viajan por la red.
  • Seguridad de protocolo de Internet (IPsec), un conjunto de protocolos estándar de la industria que se utiliza para proporcionar autenticación, integridad y confidencialidad de los datos a nivel de paquete IP a medida que se transfieren a través de la red.
  • Estándar de cifrado avanzado (AES)-256, la especificación del Instituto Nacional de Estándares y Tecnología (NIST) para un cifrado de datos de clave simétrica que fue adoptado por el gobierno de EE. UU. para reemplazar el Estándar de cifrado de datos (DES) y la tecnología de cifrado de clave pública RSA 2048.