Azure para la seguridad pública y justicia

Información general

Los organismos de seguridad pública y justicia soportan una presión cada vez mayor para mantener a las comunidades seguras, reducir el crimen y mejorar la capacidad de respuesta. La computación en la nube está transformando la forma en que los organismos encargados de hacer cumplir la ley abordan su trabajo. Está ayudando con sistemas inteligentes de concienciación policial, sistemas de cámaras corporales en todo el país o la región, y la colaboración policial móvil del día a día.

Cuando se planifican y protegen adecuadamente, los servicios en la nube pueden ofrecer nuevas y potentes capacidades para los organismos de seguridad pública y justicia. Estas capacidades incluyen la gestión de pruebas digitales, el análisis de datos y el apoyo a la toma de decisiones en tiempo real. Las soluciones se pueden entregar en los dispositivos móviles más recientes. Sin embargo, no todos los proveedores de nube son iguales. Puesto que los organismos de seguridad adoptan la nube, necesitan un proveedor de servicios en la nube en el que puedan confiar. El objetivo de la misión de las autoridades judiciales demanda partners que se comprometan a satisfacer una gama completa de necesidades de seguridad, de cumplimiento normativo y operativas.

Desde dispositivos hasta la nube, para Microsoft lo primero es la privacidad y la seguridad de la información, aumentando al mismo tiempo la productividad de los responsables en el campo y a través del departamento. Los organismos de seguridad pública y justicia pueden combinar dispositivos móviles altamente seguros con acceso a la nube "en cualquier momento y en cualquier lugar". Al hacerlo, pueden contribuir a las investigaciones en curso, analizar datos, gestionar pruebas y ayudar a proteger a los ciudadanos de las amenazas.

Microsoft trata el cumplimiento de los Servicios de Información sobre Justicia Penal (CJIS) como un compromiso, no como una casilla. En Microsoft, nos comprometemos a proporcionar soluciones que cumplan con los controles de seguridad de CJIS aplicables, hoy y en el futuro. Además, extendemos nuestro compromiso con la seguridad pública y la justicia a través de:

Servicios de información de justicia penal (CJIS)

La división de los Servicios de Información sobre Justicia Penal (CJIS) de la Oficina Federal de Investigaciones (FBI) de EE. UU. ofrece a los organismos policiales y de justicia penal estatales, locales y federales acceso a información sobre justicia penal (CJI), por ejemplo, registros de huellas dactilares y antecedentes penales. Las fuerzas del orden y otros organismos gubernamentales de Estados Unidos deben asegurarse de que el uso de los servicios en la nube para la transmisión, el almacenamiento o el procesamiento de CJI cumpla con la Directiva de seguridad de CJIS, que establece requisitos y controles mínimos de seguridad para salvaguardar el CJI.

Azure y la directiva de seguridad de CJIS

El compromiso de Microsoft de cumplir con los controles regulatorios de CJIS aplicables ayuda a los organismos de justicia penal a cumplir con la política de seguridad de CJIS al implementar soluciones basadas en la nube. Para obtener más información sobre la compatibilidad de Azure con CJIS, consulte Oferta de cumplimiento de CJIS de Azure.

En el resto de este artículo se describen las tecnologías que puede usar para proteger CJI almacenado o procesado en los servicios en la nube de Azure. Estas tecnologías pueden ayudarle a establecer el control exclusivo sobre el CJI del que es responsable.

Nota:

Usted es totalmente responsable de garantizar su propio cumplimiento de todas las leyes y reglamentos aplicables. La información proporcionada en este artículo no constituye asesoramiento legal, por lo que debe consultar a su asesor legal si tiene alguna pregunta sobre el cumplimiento normativo.

Ubicación de datos de clientes

Microsoft proporciona compromisos firmes con los clientes con respecto a las directivas de transferencia y residencia de datos de los servicios en la nube. La mayoría de los servicios de Azure se implementan en un ámbito regional y permiten al cliente especificar la región donde se implementará el servicio, por ejemplo, Estados Unidos. Este compromiso ayuda a garantizar que los datos de los clientes almacenados en una región de EE. UU. permanezcan en Estados Unidos y no se muevan a otra región fuera de Estados Unidos.

Separación de inquilinos

Azure es una plataforma de servicios en la nube pública multiinquilino a hiperescala que le proporciona acceso a un entorno rico en características que incorpora las últimas innovaciones en la nube, como inteligencia artificial, aprendizaje automático, servicios de IoT, análisis de macrodatos, inteligencia perimetral y mucho más para ayudarle a aumentar la eficiencia y obtener información sobre sus operaciones y rendimiento.

Una plataforma en la nube multiinquilino implica que varias aplicaciones y datos de cliente se almacenan en el mismo hardware físico. Azure usa el aislamiento lógico para separar las aplicaciones y los datos de otros clientes. Este enfoque proporciona las ventajas económicas y de escala de los servicios en la nube multiinquilino, a la vez que ayuda rigurosamente a evitar que otros clientes accedan a sus datos o aplicaciones.

Azure aborda el riesgo percibido de uso compartido de recursos al proporcionar una base de confianza para garantizar servicios en la nube multiinquilino, criptográficamente seguros y aislados lógicamente mediante un conjunto común de principios:

  • Controles de acceso de usuario con la autenticación y la separación de identidades
  • Aislamiento de proceso para el procesamiento
  • Aislamiento de red, incluido el cifrado de datos en tránsito
  • Aislamiento de almacenamiento con cifrado de datos en reposo
  • Procesos de seguridad insertados en el diseño del servicio para desarrollar correctamente servicios aislados lógicamente

El aislamiento de proceso lógico se implementa a través del aislamiento de hipervisor, el aislamiento Drawbridge y el aislamiento basado en el contexto del usuario. Además del aislamiento de proceso lógico, Azure también proporciona aislamiento de proceso físico si necesita servidores físicos dedicados para sus cargas de trabajo. Por ejemplo, si desea el aislamiento de proceso físico, puede usar Azure Dedicated Host o máquinas virtuales aisladas, que se implementan en hardware de servidor dedicado a un solo cliente. Para obtener más información, consulte Guía de Azure para el aislamiento seguro.

Cifrado de datos

Azure tiene una amplia compatibilidad para proteger los datos mediante el cifrado de datos, incluidos varios modelos de cifrado:

  • Cifrado del lado servidor que usa claves administradas por el servicio, claves administradas por el cliente (CMK) en Azure o CMK en hardware controlado por el cliente.
  • Cifrado del lado cliente que le permite administrar y almacenar claves locales o en otra ubicación segura.

El cifrado de datos proporciona garantías de aislamiento que están vinculadas directamente al acceso a la clave de cifrado. Dado que Azure usa cifrados seguros para el cifrado de datos, solo las entidades con acceso a las claves de cifrado pueden tener acceso a los datos. Revocar o eliminar claves de cifrado hace que los datos correspondientes no sean accesibles. Si necesita seguridad adicional para sus datos más confidenciales de cliente almacenados en los servicios de Azure, puede cifrarlos con sus propias claves de cifrado que controla en Azure Key Vault.

Criptografía validada por FIPS 140

El Estándar federal de procesamiento de información (FIPS) 140 es un estándar del gobierno de EE. UU. que define los requisitos mínimos de seguridad para los módulos criptográficos en sistemas y productos de tecnologías de la información. Microsoft mantiene un compromiso activo con el cumplimiento de los requisitos de FIPS 140, habiendo validado módulos criptográficos desde el inicio del estándar en 2001. Microsoft valida sus módulos criptográficos bajo el Programa de validación de módulos criptográficos (CMVP) del National Institute of Standards and Technology (NIST) de Estados Unidos. Varios productos de Microsoft, incluidos muchos servicios en la nube, usan estos módulos criptográficos.

Si bien la guía de implementación actual de FIPS 140 de CMVP excluye una validación de FIPS 140 para un servicio en la nube, los proveedores de servicios en la nube pueden obtener y operar módulos criptográficos validados por FIPS 140 para los elementos informáticos que componen sus servicios en la nube. Azure se crea con una combinación de hardware, sistemas operativos disponibles en el mercado (Linux y Windows) y una versión específica de Azure de Windows. A través del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft, todos los servicios de Azure usan algoritmos aprobados por FIPS 140 para la seguridad de los datos, ya que el sistema operativo usa algoritmos aprobados por FIPS 140 mientras opera en una nube de hiperescala. Los módulos criptográficos correspondientes son FIPS 140 validados como parte del Programa de validación FIPS de Microsoft Windows. Además, puede almacenar sus propias claves criptográficas y otros secretos en módulos de seguridad de hardware (HSM) validados por FIPS 140 bajo su control, también conocidos como claves administradas por el cliente.

Administración de claves de cifrado

La protección y administración adecuadas de las claves de cifrado es esencial para la seguridad de los datos. Azure Key Vault es un servicio en la nube para almacenar y administrar secretos de forma segura. Key Vault permite almacenar las claves de cifrado en módulos de seguridad de hardware (HSM) validados por FIPS 140. Para obtener más información, consulte Administración de claves de cifrado de datos.

Con Azure Key Vault, puede importar o generar claves de cifrado en HSM, lo que garantiza que las claves nunca salen del límite de protección de HSM para admitir escenarios de Bring Your Own Key (BYOK). Las claves generadas dentro de los HSM de Key Vault no son exportables: no puede haber ninguna versión de texto no cifrado de la clave fuera de los HSM. El HSM subyacente aplica esta vinculación. Azure Key Vault está diseñado, implementado y operado de forma que Microsoft y sus agentes no vean ni extraigan las claves criptográficas. Para obtener más información, consulte ¿Cómo protege Azure Key Vault las claves? Por lo tanto, si usa CMK almacenada en HSM de Azure Key Vault, mantiene efectivamente la propiedad exclusiva de las claves de cifrado.

Cifrado de datos en tránsito

Azure proporciona muchas opciones para cifrar datos en tránsito. El cifrado de datos en tránsito aísla el tráfico de red de otro tráfico y ayuda a proteger los datos de la interceptación. Para obtener más información, consulte Cifrado de datos en tránsito.

Cifrado de datos en reposo

Azure proporciona amplias opciones para cifrar datos en reposo para ayudarle a proteger los datos y satisfacer sus necesidades de cumplimiento mediante claves de cifrado administradas por Microsoft y claves de cifrado administradas por el cliente. Este proceso se basa en varias claves de cifrado y servicios, como Azure Key Vault y el identificador de Microsoft Entra, para garantizar el acceso seguro a las claves y la administración centralizada de claves. Para más información sobre el cifrado de Azure Storage y el cifrado de discos de Azure, consulte Cifrado de datos en reposo.

Azure SQL Database proporciona cifrado de datos transparente (TDE) en reposo de forma predeterminada. TDE realiza operaciones de cifrado y descifrado en tiempo real en los datos y archivos de registro. La clave de cifrado de base de datos (DEK) es una clave simétrica almacenada en el registro de arranque de la base de datos para su disponibilidad durante la recuperación. Se protege a través de un certificado almacenado en la base de datos maestra del servidor o una clave asimétrica denominada Protector de TDE almacenado bajo el control en Azure Key Vault. Key Vault admite Bring Your Own Key (BYOK), que le permite almacenar el Protector de TDE en Key Vault y controlar las tareas de administración de claves, incluidos los permisos de clave, la rotación, la eliminación, la habilitación de auditorías e informes en todos los protectores de TDE, etc. La clave se puede generar mediante Key Vault, importar o transferir a Key Vault desde un dispositivo HSM local. También puede usar la característica Always Encrypted de Azure SQL Database, diseñada específicamente para ayudar a proteger los datos confidenciales, ya que permite cifrar los datos dentro de las aplicaciones y nunca revelar las claves de cifrado en el motor de base de datos. De esta manera, Always Encrypted proporciona separación entre los usuarios que poseen los datos (y pueden verlos) y aquellos usuarios que administran los datos (pero no deben tener acceso).

Cifrado de datos en uso

Microsoft le permite proteger los datos durante todo su ciclo de vida: en reposo, en tránsito y en uso. La computación confidencial de Azure es un conjunto de funcionalidades de seguridad de datos que ofrece cifrado de datos mientras se usa. Con este enfoque, cuando los datos están claros, lo cual es necesario para un procesamiento de datos eficaz en memoria, los datos están protegidos dentro de un entorno de ejecución de confianza (TEE), también conocido como enclave basado en hardware.

Las tecnologías como Intel Software Guard Extensions (Intel SGX) o AMD Secure Encrypted Virtualization (SEV-SNP) son mejoras recientes de la CPU que admiten implementaciones de computación confidencial. Estas tecnologías están diseñadas como extensiones de virtualización y proporcionan conjuntos de características, como el cifrado y la integridad de la memoria, la confidencialidad y la integridad del estado de la CPU, y la atestación. Para obtener más información, consulte la documentación de Computación confidencial de Azure .

Autenticación multifactor (MFA)

La directiva de seguridad de CJIS v5.9.2 revisó los requisitos de autenticación multifactor (MFA) para la protección de CJI. La MFA requiere el uso de dos o más factores diferentes definidos de la siguiente manera:

  • Algo que sabe, por ejemplo, nombre de usuario/contraseña o número de identificación personal (PIN)
  • Algo que tiene, por ejemplo, un token robusto, como una clave criptográfica almacenada o una contraseña de un solo uso (OTP) transmitida a un dispositivo de hardware especializado
  • Algo que es, por ejemplo, información biométrica

De acuerdo con la directiva de seguridad de CJIS, la identificación y autenticación de los usuarios de la organización requiere MFA para cuentas con y sin privilegios como parte de los requisitos de control de acceso de CJI. La MFA es necesaria en el nivel 2 de garantía de Authenticator (AAL2), tal y como se describe en las directrices de identidad digitalSP 800-63 del National Institute of Standards and Technology (NIST). Los autenticadores y verificadores que operan en AAL2 deben validarse para cumplir con los requisitos de FIPS 140 Nivel 1.

La aplicación Microsoft Authenticator proporciona un nivel adicional de seguridad a su cuenta de Microsoft Entra. Está disponible en teléfonos móviles con Android e iOS. Con la aplicación Microsoft Authenticator, puede proporcionar una verificación secundaria para escenarios de MFA a fin de cumplir con los requisitos de MFA de la directiva de seguridad de CJIS. Como se mencionó anteriormente, la directiva de seguridad de CJIS requiere que las soluciones para tokens robustos utilicen módulos criptográficos validados en FIPS 140 Nivel 1. La aplicación Microsoft Authenticator cumple los requisitos de validación FIPS 140 de nivel 1 para todas las autenticaciones de Microsoft Entra, como se explica en Métodos de autenticación en la aplicación Microsoft Entra ID - Microsoft Authenticator. El cumplimiento de FIPS 140 para Microsoft Authenticator está actualmente en vigor para iOS y en curso para Android.

Además, Azure puede ayudarle a cumplir y superar los requisitos de MFA de la directiva de seguridad de CJIS al admitir el nivel 3 de garantía de Authenticator (AAL3) más alto. De acuerdo con la sección 4.3 de NIST SP 800-63B, los autenticadores multifactor utilizados en AAL3 se basarán en módulos criptográficos de hardware validados en FIPS 140 Nivel 2 en general con al menos FIPS 140 Nivel 3 para la seguridad física, lo que supera los requisitos de MFA de la directiva de seguridad de CJIS. Los verificadores en AAL3 se validarán en FIPS 140 Nivel 1 o superior.

Microsoft Entra ID admite los requisitos de NIST SP 800-63B AAL3 de autenticador y comprobador:

  • Requisitos de autenticador: las claves de seguridad FIDO2, las tarjetas inteligentes y Windows Hello para empresas pueden ayudarle a cumplir los requisitos de AAL3, incluidos los requisitos de validación subyacentes de FIPS 140. La compatibilidad de Microsoft Entra ID con NIST SP 800-63B AAL3 supera los requisitos de MFA de la directiva de seguridad de CJIS.
  • Requisitos del verificador: Microsoft Entra ID usa el módulo criptográfico validado general FIPS 140 de nivel 1 de Windows para todas sus operaciones criptográficas relacionadas con la autenticación. Por lo tanto, es un comprobador compatible con FIPS-140.

Para obtener más información, consulte la Documentación de Azure NIST SP 800-63.

Restricciones en el acceso interno

La amenaza interna se caracteriza como potencial para proporcionar conexiones de puerta trasera y acceso de administrador con privilegios del proveedor de servicios en la nube (CSP) a sus sistemas y datos. Para obtener más información sobre cómo Microsoft restringe el acceso interno a los datos, consulte Restricciones sobre el acceso interno.

Supervisión de los recursos de Azure

Azure proporciona servicios esenciales que puede usar para obtener información detallada sobre los recursos de Azure aprovisionados y recibir alertas sobre la actividad sospechosa, incluidos los ataques externos dirigidos a las aplicaciones y los datos. Para obtener más información sobre estos servicios, consulte Supervisión de clientes de los recursos de Azure.

Pasos siguientes

  • Last updated on