Recomendaciones para la encriptación de datos
Se aplica a esta recomendación de lista de comprobación de seguridad de buena arquitectura de Power Platform:
| SE:06 | Cifre los datos mediante métodos modernos y estándar para proteger la confidencialidad y la integridad. Alinee el alcance del cifrado con las clasificaciones de los datos y dé prioridad a los métodos de cifrado nativos de la plataforma. |
|---|
Si sus datos no están protegidos, pueden modificarse de forma maliciosa, lo que provoca la pérdida de integridad y confidencialidad.
Esta guía describe las recomendaciones para cifrar y proteger sus datos. El cifrado es el proceso de utilizar algoritmos de criptografía para hacer que los datos sean ilegibles y bloquearlos con una clave. En el estado cifrado, los datos no se pueden descifrar. Solo se puede descifrar utilizando una clave emparejada con la clave de cifrado.
Definiciones
| Términos | Definición |
|---|---|
| Certificados | Archivos digitales que contienen las claves públicas de cifrado o descifrado. |
| Descifrado | El proceso en el que los datos cifrados se desbloquean con un código secreto. |
| Cifrado | Proceso por el que los datos se hacen ilegibles y se bloquean con un código secreto. |
| Claves | Un código secreto que se usa para bloquear o desbloquear datos cifrados. |
Estrategias clave de diseño
Los mandatos organizacionales o los requisitos regulatorios pueden imponer mecanismos de cifrado. Por ejemplo, podría existir el requisito de que los datos permanezcan solo en la región seleccionada y que se mantengan copias de los datos en esa región.
Estos requisitos suelen ser el mínimo básico. Esfuércese por alcanzar un mayor nivel de protección. Es responsable de prevenir fugas de confidencialidad y manipulación de datos confidenciales, ya sean datos de usuarios externos o datos de empleados.
Los datos son el activo más valioso e insustituible de una organización, y el cifrado sirve como la última y más sólida línea de defensa en una estrategia de seguridad de datos de varias capas. Los productos y servicios en la nube empresarial de Microsoft utilizan el cifrado para proteger los datos de los clientes y ayudarlo a mantener el control sobre ellos.
Escenarios de encriptación
Es probable que los mecanismos de cifrado necesiten proteger los datos en tres etapas:
Los datos en reposo es toda la información que se guarda en objetos de almacenamiento. De forma predeterminada, Microsoft almacena y administra la clave de cifrado de base de datos para sus entornos usando una clave administrada por Microsoft. Sin embargo, Power Platform proporciona una clave de cifrado administrada por el cliente (CMK) para mayor control de protección de datos, donde puede autogestionar la clave de cifrado de la base de datos.
Datos en proceso son los datos que se están utilizando como parte de un escenario interactivo o cuando un proceso en segundo plano, como la actualización, toca estos datos. Power Platform carga datos en procesamiento en el espacio de memoria de una o más cargas de trabajo de servicio. Para facilitar la funcionalidad de la carga de trabajo, los datos que se almacenan en la memoria no se cifran.
Los datos en tránsito es información que se transfiere entre componentes, ubicaciones o programas. Azure usa protocolos de transporte estándar de la industria, como Transport Layer Security (TLS), entre los dispositivos de los usuarios y los centros de datos de Microsoft, y dentro de los mismos centros de datos.
Mecanismos de cifrado nativos
De forma predeterminada, Microsoft almacena y administra la clave de cifrado de base de datos para sus entornos usando una clave administrada por Microsoft. Sin embargo, Power Platform proporciona una clave de cifrado administrada por el cliente (CMK) para mayor control de protección de datos, donde puede autogestionar la clave de cifrado de la base de datos. La clave de cifrado reside en su propio almacén de claves de Azure, lo que le permite rotar o intercambiar la clave de cifrado a pedido. También le permite evitar el acceso de Microsoft a sus datos de cliente cuando revoca la clave de acceso a nuestros servicios en cualquier momento.
Claves de cifrado
De forma predeterminada, los servicios Power Platform utilizan claves de cifrado administradas por Microsoft para cifrar y descifrar datos. Azure es responsable de la gestión de claves.
Puede optar por claves administradas por el cliente. Power Platform todavía usa sus claves, pero es responsable de las operaciones clave.
Facilitación de Power Platform
Las siguientes secciones describen características y capacidades de Power Platform que puede usar para cifrar sus datos.
Clave administrada por el cliente
Todos los datos del cliente almacenados en Power Platform se cifran de forma predeterminada mediante una clave de cifrado segura administrada por Microsoft. Las organizaciones con requisitos de cumplimiento y privacidad de datos para proteger sus datos y administrar sus propias claves pueden utilizar la capacidad de claves administradas por el cliente. La clave administrada por el cliente proporciona protección de datos adicional donde usted mismo administra la clave de cifrado de datos asociada con su entorno de Dataverse. El uso de esta capacidad le permite rotar o intercambiar claves de cifrado a pedido. Además, evita que Microsoft pueda acceder a sus datos cuando revoca la clave del servicio. Para más información, ver Administrar su clave de encriptación administrada por el cliente.
Residencia de datos
Un inquilino de Azure Active Directory (Azure AD) alberga información que es relevante para una organización y su seguridad. Cuando un inquilino de Azure AD inicia sesión en servicios de Power Platform, el país o región seleccionados del arrendatario se asignan a la geografía de Azure más adecuada donde existe un despliegue de Power Platform. Power Platform almacena los datos del cliente en la geografía de Azure asignada al arrendatario, o ubicación geográfica, excepto cuando las organizaciones implementan servicios en varias regiones.
Los servicios de Power Platform se encuentran en geografías de Azure específicas. Para obtener más información sobre dónde están disponibles los servicios de Power Platform, dónde se almacenan los datos y cómo se usan, consulte Microsoft Trust Center. Los compromisos sobre la ubicación de los datos de cliente en reposo se especifican en los Términos de procesamiento de datos de los Términos de Microsoft Online Services. Microsoft también proporciona centros de datos para entidades soberanas.
Datos en reposo
A menos que se indique lo contrario en la documentación, los datos del cliente permanecen en su fuente original (por ejemplo, Dataverse o SharePoint). Todos los datos conservados por Power Platform se cifran de forma predeterminada con claves administradas por Microsoft.
Datos en procesamiento
Los datos están en proceso cuando se están utilizando como parte de un escenario interactivo o cuando un proceso en segundo plano, como la actualización, toca estos datos. Power Platform carga datos en procesamiento en el espacio de memoria de una o más cargas de trabajo de servicio. Para facilitar la funcionalidad de la carga de trabajo, los datos que se almacenan en la memoria no se cifran.
Datos en tránsito
Power Platform requiere que todo el tráfico HTTP entrante se cifre con TLS 1.2 o superior. Se rechazan las solicitudes que intentan utilizar TLS 1.1 o inferior.
Para más información, consulte Acerca del cifrado de datos en Power Platform y Almacenamiento de datos y gobernanza en Power Platform.
Consulte también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de