Seguridad y cifrado de datos en Azure Data Manager for Energy

En este artículo se proporciona información general sobre las características de seguridad en Azure Data Manager for Energy. Abarca las principales áreas de cifrado en reposo, cifrado en tránsito, TLS, https, claves administradas por Microsoft y clave administrada por el cliente.

Cifrado de datos en reposo

Azure Data Manager for Energy usa varios recursos de almacenamiento para almacenar metadatos, datos de usuario, datos en memoria, etc. La plataforma usa el cifrado del lado del servicio para cifrar automáticamente todos los datos cuando se conservan en la nube. El cifrado de datos en reposo protege los datos para ayudarlo a satisfacer los requisitos de cumplimiento normativo y de seguridad de la organización. Todos los datos de Azure Data Manager for Energy se cifran con claves administradas por Microsoft de forma predeterminada. Además de la clave administrada por Microsoft, puede usar su propia clave de cifrado para proteger los datos en Azure Data Manager for Energy. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave administrada por Microsoft que cifra los datos.

Cifrado de los datos en tránsito

Azure Data Manager for Energy admite el protocolo Seguridad de la capa de transporte (TLS 1.2) para proteger los datos cuando se transmiten entre los servicios en la nube y los clientes. TLS proporciona una autenticación sólida, privacidad de mensajes e integridad (lo que permite la detección de la manipulación, interceptación y falsificación de mensajes), interoperabilidad y flexibilidad de algoritmo.

Además de TLS, al interactuar con Azure Data Manager for Energy, todas las transacciones tienen lugar a través de HTTPS.

Configuración de claves administradas por el cliente (CMK) para la instancia de Azure Data Manager for Energy

Garrantzitsua

No se puede editar la configuración de CMK una vez creada la instancia de Azure Data Manager for Energy.

Requisitos previos

Paso 1: Configurar el almacén de claves

  1. Puede usar un almacén de claves nuevo o existente para almacenar las claves administradas por el cliente. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault y ¿Qué es Azure Key Vault?

  2. El uso de claves administradas del cliente con Azure Data Manager for Energy requiere la eliminación temporal y la protección de purga estén habilitadas en el almacén de claves. La eliminación temporal está habilitada de manera predeterminada al crear un almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga cuando cree el almacén de claves o después de crearlo.

  3. Para obtener información sobre cómo crear un almacén de claves con Azure Portal, consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal. Al crear el almacén de claves, seleccione Habilitar protección de purga.

    Captura de pantalla de la habilitación de la protección de purga y la eliminación temporal al crear el almacén de claves

  4. Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:

    1. Vaya al almacén de claves en Azure Portal.
    2. En Configuración, elija Propiedades.
    3. En la sección Protección de purga, elija Habilitar protección de purga.

Paso 2: Agregar una clave

  1. A continuación, agregue una clave al almacén de claves.
  2. Para obtener información sobre cómo agregar una clave con Azure Portal, consulte Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.
  3. Se recomienda que el tamaño de la clave RSA sea 3072; consulte Configuración de claves administradas por el cliente para la cuenta de Azure Cosmos DB | Microsoft Learn.

Paso 3: Elegir una identidad administrada para autorizar el acceso al almacén de claves

  1. Al habilitar las claves administradas por el cliente para una cuenta de Azure Data Manager for Energy existente, debe especificar una identidad administrada que se usará para autorizar el acceso al almacén de claves que contiene la clave. La identidad administrada debe tener permisos para acceder a la clave del almacén de claves.
  2. Puede crear una identidad administrada asignada por el usuario.

Configuración de claves administradas por el cliente para una cuenta existente

  1. Cree una instancia de Azure Data Manager for Energy.
  2. Seleccione la pestaña Cifrado.

Recorte de pantalla de la pestaña Cifrado al crear Azure Data Manager for Energy.

  1. En la pestaña de cifrado, seleccione Claves administradas por el cliente (CMK).

  2. Para usar CMK, debe seleccionar el almacén de claves donde se almacena la clave.

  3. Seleccione Clave de cifrado como "Seleccionar un almacén de claves y una clave".

  4. A continuación, seleccione "Seleccionar un almacén de claves y una clave".

  5. A continuación, seleccione el almacén de claves y la clave.

    Recorte de pantalla que muestra la selección de la suscripción, el almacén de claves y la clave en el panel derecho que se abre después de elegir

  6. Después, la identidad administrada asignada por el usuario se usará para autorizar el acceso al almacén de claves que contiene la clave.

  7. Seleccione "Seleccionar una identidad de usuario". Seleccione la identidad administrada asignada por el usuario que creó en los requisitos previos.

Captura de pantalla del almacén de claves, la clave, la identidad asignada por el usuario y CMK en la pestaña de cifrado

  1. Esta identidad asignada por el usuario debe tener permisos de obtener clave, enumerar clave, encapsular clave y desencapsular clave en el almacén de claves. Para más información sobre la asignación de directivas de acceso de Azure Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

    Captura de pantalla de la directiva de acceso de obtener, enumerar, encapsular y desencapsular clave

  2. También puede seleccionar Clave de cifrado como "Escribir la clave de URI". Es obligatorio que la clave tenga habilitada la eliminación temporal y la protección de purga. Tendrá que confirmarlo activando la casilla que se muestra a continuación.

    Captura de pantalla del URI del almacén de claves para el cifrado

  3. A continuación, seleccione "Revisar y crear" después de completar otras pestañas.

  4. Seleccione el botón "Crear".

  5. Se crea una instancia de Azure Data Manager for Energy con claves administradas por el cliente.

  6. Una vez que CMK esté habilitado, verá su estado en la pantalla Información general.

    Recorte de pantalla de CMK habilitado en la página de información general de Azure Data Manager for Energy.

  7. Puede ir al Cifrado y ver que CMK está habilitado con la identidad administrada por el usuario.

    Recorte de pantalla de la configuración de CMK deshabilitada una vez instalada la instancia de Azure Data Manager for Energy.

Pasos siguientes

Más información sobre los vínculos privados.