Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Azure Storage usa el cifrado del lado del servicio (SSE) para cifrar automáticamente los datos cuando se conservan en la nube. Azure Storage cifrado protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización.
Microsoft recomienda usar el cifrado del lado del servicio para proteger los datos en la mayoría de los escenarios. Sin embargo, las bibliotecas cliente de Azure Storage para Blob Storage y Queue Storage también proporcionan cifrado del lado cliente para los clientes que necesitan cifrar datos en el cliente. Para obtener más información, consulte la sección sobre el cifrado de cliente para blobs y colas.
Acerca del cifrado del lado del servicio Azure Storage
Los datos de Azure Storage se cifran y descifran de forma transparente mediante cifrado de
Azure Storage usa el cifrado del lado del servidor con el modo Galois/Counter de 256 bits AES (AES-GCM) para cifrar los objetos subidos. Azure Storage cifrado está habilitado para todas las cuentas de almacenamiento, incluidas las cuentas de almacenamiento Resource Manager y clásicas. El cifrado de Azure Storage no se puede deshabilitar. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código o las aplicaciones para aprovechar Azure Storage cifrado.
Los datos de una cuenta de almacenamiento se cifran independientemente del nivel de rendimiento (estándar o premium), el nivel de acceso (frecuente o esporádico) o el modelo de implementación (Azure Resource Manager o clásico). Todos los blobs en bloques nuevos y existentes, los blobs anexos y los blobs en páginas se cifran, incluidos los blobs en el nivel de archivo. Todas las opciones de redundancia de Azure Storage admiten el cifrado y todos los datos de las regiones primarias y secundarias se cifran cuando la replicación geográfica está habilitada. Todos los recursos de Azure Storage se cifran, incluidos blobs, discos, archivos, colas y tablas. También se cifran todos los metadatos de objetos.
No hay ningún costo adicional para Azure Storage cifrado.
Para obtener más información sobre los módulos criptográficos subyacentes al cifrado de Azure Storage, consulte Cryptography API: Next Generation.
Para obtener información sobre el cifrado y la administración de claves para Azure discos administrados, consulte Cifrado del lado servidor de discos administrados Azure.
Información sobre la administración de claves de cifrado
Los datos de una nueva cuenta de almacenamiento se cifran con claves administradas Microsoft de forma predeterminada. Puede seguir confiando en claves administradas por Microsoft para el cifrado de los datos, o bien puede administrar el cifrado con sus propias claves. Si opta por administrar el cifrado con sus propias claves, tiene dos opciones. Puede usar cualquiera de los tipos de administración de claves, o ambos:
- Puede especificar una clave administrada por customer usar para cifrar y descifrar datos en Blob Storage y en Azure Files.1,2 Las claves administradas por el cliente deben almacenarse en Azure Key Vault o Azure Key Vault módulo de seguridad de hardware administrado (HSM). Para obtener más información sobre las claves administradas por el cliente, consulte Use las claves administradas por el cliente para el cifrado de Azure Storage.
- Puede especificar una clave proporcionada por customer en operaciones de Blob Storage. Un cliente que realiza una solicitud de lectura o escritura en Blob Storage puede incluir una clave de cifrado en la solicitud de control pormenorizado sobre cómo se cifran y descifran los datos de blobs. Para obtener más información sobre las claves proporcionadas por el cliente, consulte Provide una clave de cifrado en una solicitud para Blob Storage.
De forma predeterminada, una cuenta de almacenamiento está cifrada con una clave cuyo ámbito es toda la cuenta de almacenamiento. Los ámbitos de cifrado permiten administrar el cifrado con una clave cuyo ámbito es un contenedor o un blob individual. Se pueden usar ámbitos de cifrado para crear límites seguros entre los datos que residen en la misma cuenta de almacenamiento, pero que pertenecen a clientes distintos. Los ámbitos de cifrado pueden usar claves administradas Microsoft o claves administradas por el cliente. Para obtener más información sobre los ámbitos de cifrado, vea Ámbitos de cifrado para Blob Storage.
En la tabla siguiente se comparan las opciones de administración de claves para Azure Storage cifrado.
| Parámetro de administración de claves | claves administradas por Microsoft | Claves administradas por el cliente | Claves proporcionadas por el cliente |
|---|---|---|---|
| Operaciones de cifrado y descifrado | Azure | Azure | Azure |
| servicios de Azure Storage compatibles | Todos | Blob Storage, Azure Files1,2 | Almacenamiento de Blobs |
| Almacenamiento de claves | almacén de claves de Microsoft | Azure Key Vault o HSM de Key Vault | Propio almacén de claves del cliente |
| Responsabilidad de la rotación de claves | Microsoft | Cliente | Cliente |
| Control de claves | Microsoft | Cliente | Cliente |
| Ámbito clave | Cuenta (valor predeterminado), contenedor o blob | Cuenta (valor predeterminado), contenedor o blob | N/D |
1 Para obtener información sobre cómo crear una cuenta que admita el uso de claves administradas por el cliente con Queue Storage, consulte Creación de una cuenta que admita las claves administradas por el cliente para colas.
2 Para obtener información sobre cómo crear una cuenta que admita el uso de claves administradas por el cliente con Table Storage, consulte Creación de una cuenta que admita las claves administradas por el cliente para tablas.
Nota:
Las claves administradas por Microsoft se rotan apropiadamente de acuerdo con los requisitos de cumplimiento. Si tiene requisitos específicos de rotación de claves, Microsoft recomienda pasar a claves administradas por el cliente para poder administrar y auditar la rotación usted mismo.
Cifrado doble de los datos con cifrado de infraestructura
Los clientes que requieren altos niveles de garantía de que sus datos son seguros también pueden habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage. Cuando se habilita el cifrado de la infraestructura, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. El cifrado doble de datos de Azure Storage protege frente a un escenario en el que uno de los algoritmos de cifrado o claves puede estar en peligro. En este escenario, la capa adicional de cifrado también protege los datos.
El cifrado de nivel de servicio admite el uso de claves administradas por Microsoft o claves administradas por el cliente con Azure Key Vault. El cifrado de nivel de infraestructura se basa en claves administradas por Microsoft y siempre usa una clave independiente.
Para más información sobre cómo crear una cuenta de almacenamiento que habilite el cifrado de infraestructura, consulte Creación de una cuenta de almacenamiento con el cifrado de infraestructura habilitado para poder realizar el cifrado doble de datos.
Cifrado de cliente para blobs y colas
Las bibliotecas cliente de Azure Blob Storage para .NET, Java y Python admiten el cifrado de datos dentro de las aplicaciones cliente antes de cargarlos en Azure Storage y descifrar los datos mientras se descargan en el cliente. Las bibliotecas cliente de Queue Storage para .NET y Python también admiten el cifrado del lado cliente.
Nota:
Considere la posibilidad de usar las características de cifrado del lado del servicio proporcionadas por Azure Storage para proteger los datos, en lugar del cifrado del lado cliente.
Las bibliotecas cliente de Blob Storage y Queue Storage usan AES para cifrar los datos de usuario. Hay dos versiones del cifrado de cliente disponibles en las bibliotecas cliente:
- La versión 2 usa el modo Galois/Counter (GCM) con AES. Los SDK de Blob Storage y Queue Storage admiten el cifrado del lado cliente con v2.
- La versión 1 usa el modo Cipher Block Chaining (CBC) con AES. Los SDK de Blob Storage, Queue Storage y Table Storage admiten el cifrado del lado cliente con v1.
Advertencia
El uso de la versión 1 del cifrado de cliente no se recomienda debido a una vulnerabilidad de seguridad en la implementación de la biblioteca cliente del modo CBC. Para obtener más información sobre esta vulnerabilidad de seguridad, consulte Azure Storage actualizar el cifrado del lado cliente en el SDK para abordar la vulnerabilidad de seguridad. Si actualmente usa la versión 1, se recomienda actualizar la aplicación para que use la versión 2 del cifrado del lado de cliente y migrar los datos.
El SDK de Azure Table Storage solo admite el cifrado del lado cliente v1. No se recomienda usar el cifrado de cliente con Table Storage.
En la tabla siguiente se muestra qué bibliotecas cliente admiten qué versiones del cifrado de cliente y se proporcionan instrucciones para migrar a la versión 2 del cifrado de cliente.
| Biblioteca de cliente | Versión del cifrado de cliente compatible | Migración recomendada | Instrucciones adicionales |
|---|---|---|---|
| Blob Storage bibliotecas cliente para .NET (versión 12.13.0 y posteriores), Java (versión 12.18.0 y posteriores) y Python (versión 12.13.0 y posteriores) | 2,0 1.0 (se conserva únicamente por compatibilidad con versiones anteriores) |
Actualice el código para usar la versión 2 del cifrado de cliente. Descargue los datos cifrados para descifrarlos y, a continuación, vuelva a cifrarlos con la versión 2 del cifrado de cliente. |
Cifrado del lado del cliente para blobs |
| Blob Storage biblioteca cliente para .NET (versión 12.12.0 y posteriores), Java (versión 12.17.0 y posteriores) y Python (versión 12.12.0 y posteriores) | 1.0 (no se recomienda) | Actualice la aplicación para usar una versión del SDK de Blob Storage que admita el cifrado del lado cliente v2. Consulte la sección sobre la matriz de compatibilidad del SDK para el cifrado de cliente para obtener detalles. Actualice el código para usar la versión 2 del cifrado de cliente. Descargue los datos cifrados para descifrarlos y, a continuación, vuelva a cifrarlos con la versión 2 del cifrado de cliente. |
Cifrado del lado del cliente para blobs |
| Biblioteca cliente de Queue Storage para .NET (versión 12.11.0 y posteriores) y Python (versión 12.4 y posteriores) | 2,0 1.0 (se conserva únicamente por compatibilidad con versiones anteriores) |
Actualice el código para usar la versión 2 del cifrado de cliente. | Cifrado de cliente para colas |
| Biblioteca cliente de Queue Storage para .NET (versión 12.10.0 y posterior) y Python (versión 12.3.0 y posteriores) | 1.0 (no se recomienda) | Actualice la aplicación para usar una versión de la versión del SDK de Queue Storage que admita la versión 2 del cifrado de cliente. Consulte la sección sobre la matriz de compatibilidad del SDK para el cifrado de cliente Actualice el código para usar la versión 2 del cifrado de cliente. |
Cifrado de cliente para colas |
| Biblioteca cliente de Table Storage para .NET, Java y Python | 1.0 (no se recomienda) | No disponible. | N/D |
Pasos siguientes
- ¿Qué es Azure Key Vault?
- Claves administradas por el cliente para el cifrado de Azure Storage
- Ámbitos de cifrado para Blob Storage
- Provide una clave de cifrado en una solicitud para Blob Storage