Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo describe cómo Microsoft Azure utiliza el cifrado. Cubre áreas principales de cifrado, incluyendo cifrado en reposo, cifrado en tránsito y gestión de claves con Azure Key Vault.
Cifrado en reposo
Los datos en reposo incluyen información que reside en almacenamiento persistente en medios físicos en cualquier formato digital. Azure ofrece muchas soluciones de almacenamiento de datos, incluyendo archivos de archivo, disco, blobs y tablas. Azure también proporciona cifrado para proteger Azure SQL Database, Azure Cosmos DB y Azure Data Lake Storage.
Puedes usar cifrado de AES-256 para proteger los datos en reposo en los servicios de los modelos de nube de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS).
Para más información sobre cómo Azure cifra los datos en reposo, véase Cifrado de datos en reposo.
Modelos de cifrado de Azure
Azure admite distintos modelos de cifrado, incluido el cifrado de servidor que usa claves administradas por el servicio, claves administradas por el cliente en Key Vault o las claves administradas por el cliente en el hardware controlado por el cliente. Mediante el cifrado del lado cliente, puede administrar y almacenar claves locales o en otra ubicación segura.
Cifrado de cliente
El cifrado del lado cliente se realiza fuera de Azure. Incluye:
- Datos cifrados por una aplicación que se ejecuta en tu centro de datos o por una aplicación de servicio.
- Datos que ya están cifrados cuando Azure los recibe.
Al usar cifrado en el lado del cliente, los proveedores de servicios en la nube no tienen acceso a las claves de cifrado y no pueden descifrar los datos. Mantenga un control completo de las claves.
Cifrado del servidor
Los tres modelos de cifrado del lado servidor ofrecen diferentes características de administración de claves:
- Claves administradas por el servicio: proporciona una combinación de control y comodidad con una sobrecarga baja.
- Claves gestionadas por el cliente: Te dan control sobre las llaves, incluyendo el soporte de Bring Your Own Key (BYOK), o te permiten generar nuevas.
- Claves gestionadas por servicios en hardware controlado por el cliente: Te permite gestionar claves en tu repositorio propietario fuera del control de Microsoft. Este modelo también se denomina Host Your Own Key (HYOK).
Azure Disk Encryption
Importante
Azure Disk Encryption está programado para su retirada el 15 de septiembre de 2028. Hasta esa fecha, puede seguir usando Azure Disk Encryption sin interrupciones. El 15 de septiembre de 2028, las cargas de trabajo habilitadas para ADE seguirán ejecutándose, pero los discos cifrados no se desbloquearán después de reiniciar la máquina virtual, lo que provocará una interrupción del servicio.
Use el cifrado en el host para nuevas máquinas virtuales o pruebe el tamaños de máquina virtual confidenciales con cifrado de disco de sistema operativo para cargas de trabajo de procesamiento confidencial. Todas las máquinas virtuales habilitadas para ADE (incluidas las copias de seguridad) deben migrar al cifrado en el host antes de la fecha de retirada para evitar interrupciones del servicio. Consulte Migre desde Azure Disk Encryption al cifrado en el host para obtener más información.
Azure cifra por defecto todos los discos gestionados, instantáneas e imágenes usando Storage Service Encryption con una clave gestionada por servicios. Para máquinas virtuales, el cifrado en el host proporciona cifrado de extremo a extremo para los datos de la VM, incluyendo discos temporales y cachés de sistemas operativos y datos en disco. Azure también ofrece opciones para administrar claves en Azure Key Vault. Para obtener más información, consulte Información general sobre las opciones de cifrado de disco administrado.
Cifrado de Azure Storage
Puedes cifrar datos en reposo en Azure Blob Storage y en los recursos compartidos de archivos de Azure, tanto en escenarios del lado del servidor como del lado del cliente.
El cifrado de Azure Storage cifra automáticamente los datos antes de almacenarlos y los descifra cuando los recuperas. El cifrado de Azure Storage utiliza cifrado AES de 256 bits, un cifrado por bloques fuerte.
Cifrado de Azure SQL Database
Azure SQL Database es un servicio de base de datos relacional de uso general que admite estructuras como datos relacionales, JSON, espacial y XML. SQL Database admite el cifrado del lado servidor a través de la característica Cifrado de datos transparente (TDE) y el cifrado del lado cliente a través de la característica Always Encrypted.
Cifrado de datos transparente
Cifrado de datos transparente (TDE) cifra archivos de datos de SQL Server, Azure SQL Database y Azure Synapse Analytics en tiempo real utilizando una clave de cifrado de base de datos (DEK). TDE está habilitado de forma predeterminada en las bases de datos de Azure SQL recién creadas.
Siempre Cifrado
La función Always Encrypted en Azure SQL te ayuda a cifrar datos dentro de las aplicaciones cliente antes de almacenarlos en Azure SQL Database. Puede habilitar la delegación de la administración de bases de datos local a terceros a la vez que mantiene la separación entre aquellos que poseen y pueden ver los datos y los que lo administran.
Cifrado de nivel de celda o columna
Con Azure SQL Database, puede aplicar el cifrado simétrico a una columna de datos mediante Transact-SQL. Este enfoque se denomina cifrado a nivel de celda o cifrado a nivel de columna (CLE). Puedes usarlo para cifrar columnas o celdas específicas con diferentes claves de cifrado, lo que proporciona una capacidad de cifrado más granular que TDE.
Cifrado de base de datos Azure Cosmos DB
Azure Cosmos DB es una base de datos multimodelo distribuida globalmente. Azure Cosmos DB cifra por defecto los datos de usuario almacenados en almacenamiento no volátil, como discos de estado sólido, utilizando claves gestionadas por servicios. Puede agregar una segunda capa de cifrado con sus propias claves mediante la característica claves administradas por el cliente (CMK ).
Cifrado en reposo en Azure Data Lake Storage
Azure Data Lake Storage es una solución de data lake empresarial basada en la nube basada en Azure Storage. Azure Data Lake Storage cifra todos los datos en reposo utilizando claves gestionadas por Microsoft o claves gestionadas por el cliente. Para obtener más información, consulte la documentación sobre el cifrado de Azure Storage para datos en reposo.
Cifrado en tránsito
Azure ofrece muchos mecanismos para ayudar a mantener los datos privados mientras se mueven de una ubicación a otra.
Cifrado de capa de vínculo de datos
Siempre que el tráfico de clientes de Azure se mueve entre centros de datos a través de enlaces fuera de los límites físicos que controla Microsoft, Azure aplica un método de cifrado de capa de enlace de datos utilizando los estándares de seguridad MAC IEEE 802.1AE, también conocidos como MACsec. El hardware de red subyacente cifra los paquetes antes de enviarlos, lo que ayuda a prevenir ataques físicos de persona en el centro, espionaje o intervención telefónica. El cifrado MACsec está activado por defecto para todo el tráfico de Azure que viaja dentro de una región o entre regiones.
Cifrado TLS
Los clientes pueden utilizar la Seguridad de la Capa de Transporte (TLS) para proteger los datos mientras viajan entre los servicios de Azure y los sistemas del cliente. Los centros de datos de Microsoft negocian conexiones TLS con sistemas clientes que se conectan a los servicios de Azure. TLS proporciona autenticación sólida, privacidad de mensajes e integridad.
Importante
Azure está realizando la transición a requerir TLS 1.2 o posterior para todas las conexiones a los servicios de Azure. La mayoría de los servicios de Azure completaron esta transición el 31 de agosto de 2025. Asegúrese de que las aplicaciones usan TLS 1.2 o posterior.
La confidencialidad directa perfecta (PFS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas para cada conexión. Las conexiones admiten longitudes de clave de 2048 bits basadas en RSA, longitudes de clave ECC de 256 bits, autenticación de mensajes SHA-384 y cifrado de datos AES-256.
Transacciones de Azure Storage
Si interactúa con Azure Storage a través de Azure Portal, todas las transacciones se realizan a través de HTTPS. También se puede usar la API de REST de Storage a través de HTTPS para interactuar con Azure Storage. Puede aplicar el uso de HTTPS al llamar a las API REST habilitando el requisito de transferencia segura para la cuenta de almacenamiento.
Las firmas de acceso compartido (SAS), que puedes usar para delegar acceso a objetos de Azure Storage, incluyen una opción para especificar que solo se puede usar el protocolo HTTPS.
Cifrado de SMB
Los compartidos Azure Files SMB soportan cifrado de canales SMB, incluyendo AES-256-GCM, AES-128-GCM y AES-128-CCM. Utiliza los clientes SMB 3.x actuales para acceder a los compartidos de archivos de Azure de forma segura entre regiones y desde sistemas operativos de escritorio compatibles.
Cifrado de VPN
Puede conectarse a Azure a través de una red privada virtual que cree un túnel seguro para proteger la privacidad de los datos enviados a través de la red.
Puertas de enlace de VPN de Azure
Azure VPN Gateway envía tráfico cifrado entre la red virtual y la ubicación local a través de una conexión pública o entre redes virtuales. Las VPN de sitio a sitio usan IPsec para el cifrado de transporte.
VPN de punto a sitio
Las VPN punto a sitio permiten que los ordenadores clientes individuales accedan a una red virtual de Azure. La VPN punto a sitio puede usar OpenVPN, Protocolo de Túnel Seguro por Socket (SSTP) o IKEv2, dependiendo del cliente y la configuración de autenticación. Para más información, consulte Acerca de la VPN punto a sitio.
VPN de sitio a sitio
Una conexión vpn gateway de sitio a sitio conecta la red local a una red virtual de Azure a través de un túnel VPN IPsec/IKE. Para obtener más información, consulte Creación de una conexión de sitio a sitio.
Administración de claves con Key Vault
El cifrado depende de una protección y gestión adecuada de las claves. Azure ofrece varias soluciones de administración de claves, como Azure Key Vault, HSM administrado de Azure Key Vault, Azure Cloud HSM y Azure Payment HSM.
Key Vault elimina la necesidad de configurar, aplicar revisiones y mantener módulos de seguridad de hardware (HSM) y software de administración de claves. Al usar Key Vault, mantienes el control: las aplicaciones no tienen acceso directo a tus claves. También puede importar o generar claves en HSM. Para las garantías más fuertes de aislamiento de claves, Azure Key Vault Managed HSM ofrece un dominio de seguridad propiedad del cliente donde Microsoft no tiene acceso a tu material clave.
Para más información sobre la administración de claves en Azure, consulte Administración de claves en Azure.