Seguridad y cifrado de datos en Azure Data Manager for Energy
En este artículo se proporciona información general sobre las características de seguridad en Azure Data Manager for Energy. Abarca las principales áreas de cifrado en reposo, cifrado en tránsito, TLS, https, claves administradas por Microsoft y clave administrada por el cliente.
Azure Data Manager for Energy usa varios recursos de almacenamiento para almacenar metadatos, datos de usuario, datos en memoria, etc. La plataforma usa el cifrado del lado del servicio para cifrar automáticamente todos los datos cuando se conservan en la nube. El cifrado de datos en reposo protege los datos para ayudarlo a satisfacer los requisitos de cumplimiento normativo y de seguridad de la organización. Todos los datos de Azure Data Manager for Energy se cifran con claves administradas por Microsoft de forma predeterminada. Además de la clave administrada por Microsoft, puede usar su propia clave de cifrado para proteger los datos en Azure Data Manager for Energy. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave administrada por Microsoft que cifra los datos.
Azure Data Manager for Energy admite el protocolo Seguridad de la capa de transporte (TLS 1.2) para proteger los datos cuando se transmiten entre los servicios en la nube y los clientes. TLS proporciona una autenticación sólida, privacidad de mensajes e integridad (lo que permite la detección de la manipulación, interceptación y falsificación de mensajes), interoperabilidad y flexibilidad de algoritmo.
Además de TLS, al interactuar con Azure Data Manager for Energy, todas las transacciones tienen lugar a través de HTTPS.
Configuración de claves administradas por el cliente (CMK) para la instancia de Azure Data Manager for Energy
Garrantzitsua
No se puede editar la configuración de CMK una vez creada la instancia de Azure Data Manager for Energy.
Paso 1: Configurar el almacén de claves
Puede usar un almacén de claves nuevo o existente para almacenar las claves administradas por el cliente. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault y ¿Qué es Azure Key Vault?
El uso de claves administradas del cliente con Azure Data Manager for Energy requiere la eliminación temporal y la protección de purga estén habilitadas en el almacén de claves. La eliminación temporal está habilitada de manera predeterminada al crear un almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga cuando cree el almacén de claves o después de crearlo.
Para obtener información sobre cómo crear un almacén de claves con Azure Portal, consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal. Al crear el almacén de claves, seleccione Habilitar protección de purga.
Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:
- Vaya al almacén de claves en Azure Portal.
- En Configuración, elija Propiedades.
- En la sección Protección de purga, elija Habilitar protección de purga.
Paso 2: Agregar una clave
- A continuación, agregue una clave al almacén de claves.
- Para obtener información sobre cómo agregar una clave con Azure Portal, consulte Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.
- Se recomienda que el tamaño de la clave RSA sea 3072; consulte Configuración de claves administradas por el cliente para la cuenta de Azure Cosmos DB | Microsoft Learn.
Paso 3: Elegir una identidad administrada para autorizar el acceso al almacén de claves
- Al habilitar las claves administradas por el cliente para una cuenta de Azure Data Manager for Energy existente, debe especificar una identidad administrada que se usará para autorizar el acceso al almacén de claves que contiene la clave. La identidad administrada debe tener permisos para acceder a la clave del almacén de claves.
- Puede crear una identidad administrada asignada por el usuario.
- Cree una instancia de Azure Data Manager for Energy.
- Seleccione la pestaña Cifrado.
En la pestaña de cifrado, seleccione Claves administradas por el cliente (CMK).
Para usar CMK, debe seleccionar el almacén de claves donde se almacena la clave.
Seleccione Clave de cifrado como "Seleccionar un almacén de claves y una clave".
A continuación, seleccione "Seleccionar un almacén de claves y una clave".
A continuación, seleccione el almacén de claves y la clave.
Después, la identidad administrada asignada por el usuario se usará para autorizar el acceso al almacén de claves que contiene la clave.
Seleccione "Seleccionar una identidad de usuario". Seleccione la identidad administrada asignada por el usuario que creó en los requisitos previos.
Esta identidad asignada por el usuario debe tener permisos de obtener clave, enumerar clave, encapsular clave y desencapsular clave en el almacén de claves. Para más información sobre la asignación de directivas de acceso de Azure Key Vault, consulte Asignación de una directiva de acceso de Key Vault.
También puede seleccionar Clave de cifrado como "Escribir la clave de URI". Es obligatorio que la clave tenga habilitada la eliminación temporal y la protección de purga. Tendrá que confirmarlo activando la casilla que se muestra a continuación.
A continuación, seleccione "Revisar y crear" después de completar otras pestañas.
Seleccione el botón "Crear".
Se crea una instancia de Azure Data Manager for Energy con claves administradas por el cliente.
Una vez que CMK esté habilitado, verá su estado en la pantalla Información general.
Puede ir al Cifrado y ver que CMK está habilitado con la identidad administrada por el usuario.
Más información sobre los vínculos privados.