Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El cifrado doble es donde se habilitan dos o más capas independientes de cifrado para protegerse frente a riesgos de cualquier capa de cifrado. El uso de dos capas de cifrado mitiga las amenazas que se incluyen con el cifrado de datos. Por ejemplo:
- Errores de configuración en el cifrado de datos
- Errores de implementación en el algoritmo de cifrado
- Poner en peligro una única clave de cifrado
Azure proporciona cifrado doble para los datos en reposo y los datos en tránsito.
Datos en reposo
El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en reposo es:
- Cifrado en reposo mediante claves administradas por el cliente. Proporcione su propia clave para el cifrado de datos en reposo. Puede traer sus propias claves a Key Vault (BYOK – Bring Your Own Key) o generar nuevas claves en Azure Key Vault para cifrar los recursos deseados.
- Cifrado de infraestructura mediante claves administradas por la plataforma. De forma predeterminada, los datos se cifran automáticamente en reposo mediante claves de cifrado administradas por la plataforma.
Datos en tránsito
El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en tránsito es:
- Cifrado del tránsito mediante Seguridad de la capa de transporte (TLS) 1.2 para proteger los datos cuando viajan entre los servicios en la nube y el usuario. Todo el tráfico que sale de un centro de datos se cifra en tránsito, incluso si el destino del tráfico es otro controlador de dominio de la misma región. TLS 1.2 es el protocolo de seguridad predeterminado que se usa. TLS proporciona autenticación sólida, privacidad de mensajes e integridad (habilitación de la detección de manipulación, interceptación y falsificación de mensajes), interoperabilidad, flexibilidad de algoritmos y facilidad de implementación y uso.
- Nivel adicional de cifrado proporcionado en el nivel de infraestructura. Cada vez que el tráfico del cliente de Azure se mueve entre centros de datos, fuera de los límites físicos no controlados por Microsoft o en nombre de Microsoft, se aplica un método de cifrado de capa de vínculo de datos mediante los estándares de seguridad MAC IEEE 802.1AE (también conocidos como MACsec) desde un punto a otro en el hardware de red subyacente. Los paquetes se cifran y descifran en los dispositivos antes de enviarlos, lo que impide ataques físicos de intermediario o de espionaje/escucha telefónica. Dado que esta tecnología se integra en el propio hardware de red, proporciona cifrado de velocidad de línea en el hardware de red sin aumento de latencia de vínculo medible. Este cifrado MACsec está activado de forma predeterminada para todo el tráfico de Azure que viaja dentro de una región o entre regiones, y no se requiere ninguna acción en la parte de los clientes para habilitar.
Pasos siguientes
Obtenga información sobre cómo se usa el cifrado en Azure.