Habilitación del cifrado de infraestructura para el cifrado doble de datos
Artículo
Azure Storage cifra automáticamente todos los datos de una cuenta de almacenamiento en el nivel de servicio mediante AES de 256 bits con cifrado de modo GCM, uno de los cifrados de bloques más seguros disponibles y es compatible con FIPS 140-2. Los clientes que requieren mayores niveles de garantía de que sus datos son seguros también pueden habilitar AES de 256 bits con cifrado CBC en el nivel de infraestructura de Azure Storage para el cifrado doble. El cifrado doble de los datos de Azure Storage sirve de protección en caso de que uno de los algoritmos de cifrado o las claves puedan estar en peligro. En este escenario, la capa adicional de cifrado también protege los datos.
El cifrado de infraestructura se puede habilitar para toda la cuenta de almacenamiento o para un ámbito de cifrado dentro de una cuenta. Cuando se habilita el cifrado de infraestructura para una cuenta de almacenamiento o un ámbito de cifrado, los datos se cifran dos veces (una vez en el nivel de servicio y otra en el nivel de infraestructura) con dos algoritmos de cifrado y dos claves diferentes.
El cifrado de nivel de servicio permite usar claves administradas por Microsoft o claves administradas por el cliente con Azure Key Vault o el modelo de seguridad de hardware (HSM) administrado de Key Vault. El cifrado en el nivel de infraestructura se basa en las claves administradas por Microsoft y siempre usa una clave independiente. Para más información sobre la administración de claves con el cifrado de Azure Storage, consulte la sección Información sobre la administración de claves de cifrado.
Para cifrar dos veces los datos, primero debe crear una cuenta de almacenamiento o un ámbito de cifrado que estén configurados para el cifrado de infraestructura. En este artículo se describe cómo habilitar el cifrado de infraestructura.
Importante
El cifrado de infraestructura se recomienda en escenarios en los que es necesario cifrar los datos doblemente debido a los requisitos de cumplimiento. En la mayoría de los demás escenarios, el cifrado de Azure Storage proporciona un algoritmo de cifrado lo suficientemente eficaz y es poco probable que presente alguna ventaja con respecto al uso del cifrado de infraestructura.
Creación de una cuenta con el cifrado de infraestructura habilitado
Para habilitar el cifrado de infraestructura para una cuenta de almacenamiento, debe configurar la cuenta de almacenamiento para que use el cifrado de infraestructura en el momento de crear la cuenta. Una vez que la cuenta se ha creado, no se puede habilitar o deshabilitar el cifrado de infraestructura. La cuenta de almacenamiento debe ser de tipo blob en bloques prémium o de uso general v2.
Para usar Azure Portal con el fin de crear una cuenta de almacenamiento con el cifrado de infraestructura habilitado, siga estos pasos:
En Azure Portal, vaya a la página Cuentas de almacenamiento.
Elija el botón Agregar para agregar una cuenta de almacenamiento de blob en bloques prémium o de uso general v2.
En la pestaña Cifrar, busque Habilitar cifrado de infraestructura y seleccione Habilitado.
Seleccione Revisar y crear para terminar de crear la cuenta de almacenamiento.
Para comprobar que el cifrado de infraestructura está habilitado para una cuenta de almacenamiento con Azure Portal, siga estos pasos:
Vaya a la cuenta de almacenamiento en Azure Portal.
En Seguridad y redes, elija Cifrado.
Para usar PowerShell para crear una cuenta de almacenamiento con el cifrado de infraestructura habilitado, asegúrese de haber instalado la versión 2.2.0 del módulo Az.Storage PowerShell, o cualquier versión posterior. Para más información, vea Instalar Azure PowerShell.
A continuación, cree una cuenta de almacenamiento de blob en bloques prémium o de uso general v2. Para ello, debe llamar al comando New-AzStorageAccount. Incluya la opción -RequireInfrastructureEncryption para habilitar el cifrado de infraestructura.
En el ejemplo siguiente se muestra cómo crear una cuenta de almacenamiento v2 de uso general configurada para el almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) y que tenga el cifrado de infraestructura habilitado para poder realizar un cifrado doble de los datos. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores:
Para comprobar que el cifrado de infraestructura está habilitado en una cuenta de almacenamiento, llame al comando Get-AzStorageAccount. Este comando devuelve un conjunto de propiedades de la cuenta de almacenamiento y sus valores. Recupere el campo RequireInfrastructureEncryption dentro de la propiedad Encryption y compruebe que esté establecida en True.
En el ejemplo siguiente se recupera el valor de la propiedad RequireInfrastructureEncryption. No olvide reemplazar los valores del marcador de posición entre corchetes angulares por sus propios valores:
Para usar la CLI de Azure para crear una cuenta de almacenamiento que tenga el cifrado de infraestructura habilitado, asegúrese de que esté instalada la versión 2.8.0 de la CLI de Azure, o cualquier versión posterior. Para más información, consulte Instalación de la CLI de Azure.
A continuación, cree una cuenta de almacenamiento de blobs en bloques prémium o de uso general v2 mediante la llamada al comando az storage account create e incluya --require-infrastructure-encryption option para habilitar el cifrado de infraestructura.
En el ejemplo siguiente se muestra cómo crear una cuenta de almacenamiento v2 de uso general configurada para el almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) y que tenga el cifrado de infraestructura habilitado para poder realizar un cifrado doble de los datos. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores:
Para comprobar que el cifrado de infraestructura está habilitado en una cuenta de almacenamiento, llame al comando az storage account show. Este comando devuelve un conjunto de propiedades de la cuenta de almacenamiento y sus valores. Busque el campo requireInfrastructureEncryption dentro de la propiedad encryption y compruebe que esté establecida en true.
En el ejemplo siguiente se recupera el valor de la propiedad requireInfrastructureEncryption. No olvide reemplazar los valores del marcador de posición entre corchetes angulares por sus propios valores:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
En el ejemplo siguiente de JSON se crea una cuenta de almacenamiento v2 de uso general configurada para el almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) y que tenga el cifrado de infraestructura habilitado para poder realizar un cifrado doble de los datos. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores:
Azure Policy proporciona una directiva integrada para requerir que el cifrado de infraestructura esté habilitado para una cuenta de almacenamiento. Para obtener más información, consulte la sección Almacenamiento de las definiciones de directivas integradas de Azure Policy.
Creación de un ámbito de cifrado con el cifrado de infraestructura habilitado
Si el cifrado de infraestructura está habilitado para una cuenta, cualquier ámbito de cifrado creado en esa cuenta usa automáticamente el cifrado de infraestructura. Si el cifrado de infraestructura no está habilitado en el nivel de cuenta, tiene la opción de habilitarlo para un ámbito de cifrado en el momento de crear el ámbito. La configuración de cifrado de infraestructura para un ámbito de cifrado no se puede cambiar después de crear el ámbito. Para más información, consulte Creación de un ámbito de cifrado.
