Implementación del cifrado de datos en reposo en Azure Storage

Implementación del cifrado de datos en reposo en Azure Storage

01/03/2025

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación y configuración del cifrado de datos en reposo en Azure Storage. Proteger los datos almacenados es una medida de seguridad fundamental. Azure Storage ofrece un cifrado sólido de forma predeterminada con claves administradas de Microsoft (MMK) y permite el uso de claves administradas por el cliente (CMK) a través de Azure Key Vault para un mayor control [1].

Introducción

El cifrado de datos en reposo garantiza que los datos almacenados estén protegidos contra el acceso no autorizado. En Azure, todos los datos de Azure Storage están cifrados de forma predeterminada [2]. Para organizaciones con requisitos de cumplimiento estrictos, el uso de CMK es esencial ya que otorga control total sobre el ciclo de vida de las claves de cifrado (creación, rotación y revocación).

Esta guía cubrirá la configuración de ambos modelos de cifrado, centrándose en la implementación y validación de claves administradas por el cliente.

¿Por qué es crucial el cifrado de datos en reposo?

  • Protección contra acceso no autorizado: garantiza que los datos sean ilegibles sin la clave de descifrado.
  • Cumplimiento normativo: Ayuda a cumplir con regulaciones como LGPD, GDPR, HIPAA, etc.
  • Control de claves: con CMK, las organizaciones mantienen control total sobre las claves de cifrado.

Requisitos previos

  1. Suscripción activa de Azure.
  2. Acceso administrativo: Permisos para administrar cuentas de almacenamiento y almacenes de claves.
  3. Cuenta de Azure Storage existente (se prefiere StorageV2).
  4. Azure Key Vault para almacenar CMK.

Paso a paso: configurar el cifrado

1. Cifrado con claves administradas de Microsoft (predeterminado)

Esta es la configuración predeterminada y automática. Para comprobar:

  1. Navegue hasta su Cuenta de almacenamiento en Azure Portal.
  2. En Seguridad + Red, seleccione Cifrado.
  3. Confirme que el "Tipo de cifrado" predeterminado sea "Claves administradas de Microsoft".

2. Implementación de criptografía con claves administradas por el cliente (CMK)

2.1. Cree una bóveda de claves de Azure y una clave

  1. Cree una nueva Azure Key Vault. Importante: habilite Protección de purga durante la creación.
  2. Dentro de Key Vault, navegue hasta Claves y haga clic en Generar/Importar para crear una nueva clave (por ejemplo: storage-cmk-key).

2.2. Configurar el acceso a la cuenta de almacenamiento

  1. Navegue hasta su Cuenta de almacenamiento.
  2. Vaya a Cifrado y cambie el "Tipo de cifrado" a "Claves administradas por el cliente".
  3. Seleccione la opción para usar una clave de Key Vault. Cuando haga esto, Azure le pedirá que cree una identidad administrada para la cuenta de almacenamiento. Permitir.
  4. Ahora, regrese a Key Vault y vaya a Políticas de acceso.
  5. Cree una nueva política de acceso. Otorgue los permisos de clave "Obtener", "Wrap Key" y "Unwrap Key".
  6. En el paso "Principal de seguridad", busque y seleccione la identidad administrada para su cuenta de almacenamiento.
  7. Guarde la política de acceso.

2.3. Configure la cuenta de almacenamiento para usar CMK

  1. Regrese a la página Cifrado de su cuenta de almacenamiento.
  2. Seleccione Key Vault y la clave que creó.
  3. Guarde los cambios. A partir de ahora, todos los datos registrados en la cuenta se cifrarán con su clave.

Validación y pruebas

1. Prueba de acceso a datos

Después de configurar CMK, cargue y descargue un archivo. La operación debe ser transparente.

# Cargar un archivo de prueba
carga de blobs de almacenamiento az --nombre-cuenta <cuenta_almacenamiento> -c <contenedor> -n "test.txt" -f "local/ruta/a/test.txt" --auth-mode login

# Descargue el archivo de prueba
descarga de blobs de almacenamiento az --nombre-cuenta <cuenta_almacenamiento> -c <contenedor> -n "test.txt" -f "local/ruta/a/descargado.txt" --auth-mode login

2. Prueba de revocación de acceso a clave

Esta es la prueba más crítica para CMK.

  1. En Key Vault, navegue hasta la clave que se está utilizando.
  2. Haga clic en la versión de clave actual y cambie la configuración Activada a No.
  3. Espere unos minutos.
  4. Intente acceder a los datos de su cuenta de almacenamiento (por ejemplo, intente descargar el blob nuevamente).
  5. Resultado esperado: La operación debería fallar con un error de acceso denegado (403 Forbidden), demostrando que tienes control total sobre el acceso a los datos.
  6. No olvides volver a habilitar la clave para restaurar el acceso.

Rotación de claves

La rotación de claves es una práctica de seguridad esencial. Con CMK, tienes dos opciones:

  • Rotación manual: cree una nueva versión de la clave en Key Vault y actualice la configuración de cifrado en la cuenta de almacenamiento para que apunte a la nueva versión.
  • Rotación automática: al configurar CMK en la cuenta de almacenamiento, no especifique una versión de clave. La cuenta de almacenamiento comprobará Key Vault periódicamente y utilizará automáticamente la última versión de la clave [3].

Mejores prácticas

  • Habilite la protección contra borrado y la eliminación temporal en su Key Vault para proteger sus claves contra una eliminación accidental o maliciosa.
  • Utilice identidades administradas para permitir que la cuenta de almacenamiento acceda a Key Vault. Es más seguro que utilizar otros métodos.
  • Supervisar la actividad de Key Vault: utilice los registros de diagnóstico de Key Vault para auditar quién accede a sus claves y cuándo.
  • Requerir transferencia segura (HTTPS): al configurar su cuenta de almacenamiento, solicite siempre una transferencia segura para cifrar los datos en tránsito.

Conclusión

Cifrar datos en reposo en Azure Storage es una capa de defensa fundamental. Si bien las claves administradas por Microsoft brindan seguridad de forma predeterminada sin esfuerzo, las claves administradas por el cliente (CMK) brindan el nivel de control y garantía que requieren muchas organizaciones para cumplir con los estrictos requisitos de seguridad y cumplimiento. Al dominar la implementación y administración de CMK, se asegura de que sus datos permanezcan protegidos y bajo su control.

Referencias

[1]Microsoft. (2023). Descripción general del cifrado de Azure Storage. [2]Microsoft. (2023). Cifrado del servicio Azure Storage para datos en reposo. [3]Microsoft. (2023). Claves administradas por el cliente para el cifrado de Azure Storage.