Habilitación del cifrado de infraestructura para el cifrado doble de datos

Azure Storage cifra automáticamente todos los datos de una cuenta de almacenamiento en el nivel de servicio mediante AES de 256 bits con cifrado de modo GCM, uno de los cifrados de bloques más seguros disponibles y es compatible con FIPS 140-2. Los clientes que requieren mayores niveles de garantía de que sus datos son seguros también pueden habilitar AES de 256 bits con cifrado CBC en el nivel de infraestructura de Azure Storage para el cifrado doble. El cifrado doble de los datos de Azure Storage sirve de protección en caso de que uno de los algoritmos de cifrado o las claves puedan estar en peligro. En este escenario, la capa adicional de cifrado también protege los datos.

El cifrado de infraestructura se puede habilitar para toda la cuenta de almacenamiento o para un ámbito de cifrado dentro de una cuenta. Cuando se habilita el cifrado de infraestructura para una cuenta de almacenamiento o un ámbito de cifrado, los datos se cifran dos veces (una vez en el nivel de servicio y otra en el nivel de infraestructura) con dos algoritmos de cifrado y dos claves diferentes.

El cifrado de nivel de servicio permite usar claves administradas por Microsoft o claves administradas por el cliente con Azure Key Vault o el modelo de seguridad de hardware (HSM) administrado de Key Vault. El cifrado en el nivel de infraestructura se basa en las claves administradas por Microsoft y siempre usa una clave independiente. Para más información sobre la administración de claves con el cifrado de Azure Storage, consulte la sección Información sobre la administración de claves de cifrado.

Para cifrar dos veces los datos, primero debe crear una cuenta de almacenamiento o un ámbito de cifrado que estén configurados para el cifrado de infraestructura. En este artículo se describe cómo habilitar el cifrado de infraestructura.

Importante

El cifrado de infraestructura se recomienda en escenarios en los que es necesario cifrar los datos doblemente debido a los requisitos de cumplimiento. En la mayoría de los demás escenarios, el cifrado de Azure Storage proporciona un algoritmo de cifrado lo suficientemente eficaz y es poco probable que presente alguna ventaja con respecto al uso del cifrado de infraestructura.

Creación de una cuenta con el cifrado de infraestructura habilitado

Para habilitar el cifrado de infraestructura para una cuenta de almacenamiento, debe configurar la cuenta de almacenamiento para que use el cifrado de infraestructura en el momento de crear la cuenta. Una vez que la cuenta se ha creado, no se puede habilitar o deshabilitar el cifrado de infraestructura. La cuenta de almacenamiento debe ser de tipo de uso general v2, blob en bloques premium, blob en páginas premium o recursos compartidos de archivos Premium.

Para usar Azure Portal con el fin de crear una cuenta de almacenamiento con el cifrado de infraestructura habilitado, siga estos pasos:

  1. En Azure Portal, vaya a la página Cuentas de almacenamiento.

  2. Elija el botón Agregar para agregar una nueva cuenta de uso general v2, blob en bloques premium, blob en páginas premium o recurso compartido de archivos Premium.

  3. En la pestaña Cifrar, busque Habilitar cifrado de infraestructura y seleccione Habilitado.

  4. Seleccione Revisar y crear para terminar de crear la cuenta de almacenamiento.

    Captura de pantalla que muestra cómo habilitar el cifrado de infraestructura al crear la cuenta.

Para comprobar que el cifrado de infraestructura está habilitado para una cuenta de almacenamiento con Azure Portal, siga estos pasos:

  1. Vaya a la cuenta de almacenamiento en Azure Portal.

  2. En Seguridad y redes, elija Cifrado.

    Captura de pantalla que muestra cómo comprobar que el cifrado de infraestructura está habilitado para la cuenta.

Azure Policy proporciona una directiva integrada para requerir que el cifrado de infraestructura esté habilitado para una cuenta de almacenamiento. Para obtener más información, consulte la sección Almacenamiento de las definiciones de directivas integradas de Azure Policy.

Creación de un ámbito de cifrado con el cifrado de infraestructura habilitado

Si el cifrado de infraestructura está habilitado para una cuenta, cualquier ámbito de cifrado creado en esa cuenta usa automáticamente el cifrado de infraestructura. Si el cifrado de infraestructura no está habilitado en el nivel de cuenta, tiene la opción de habilitarlo para un ámbito de cifrado en el momento de crear el ámbito. La configuración de cifrado de infraestructura para un ámbito de cifrado no se puede cambiar después de crear el ámbito. Para más información, consulte Creación de un ámbito de cifrado.

Pasos siguientes