Hoy nos complace anunciar la disponibilidad general de Azure Storage Service Encryption con claves administradas por el cliente integrado con Azure Key Vault para Azure Blob Storage y File Storage. Los clientes de Azure ya se benefician de Storage Service Encryption para Azure Blob Storage y File Storage al usar las claves administradas de Microsoft.

Storage Service Encryption con claves administradas por el cliente usa Azure Key Vault, que ofrece almacenamiento seguro de alta disponibilidad y escalabilidad para claves criptográficas RSA respaldado por módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 nivel 2. Key Vault agiliza el proceso de administración de claves y les permite a los clientes mantener el control total de las claves que se usan para cifrar datos, administrar y auditar el uso de su clave.

Esta es una de las características que más solicitan los clientes empresariales que buscan proteger datos confidenciales como parte de sus necesidades normativas o de cumplimiento, cumplir con HIPAA y BAA.

Los clientes pueden generar o importar su clave RSA a Azure Key Vault y usarla con Storage Service Encryption. Azure Storage maneja el cifrado y descifrado de forma absolutamente transparente con el cifrado de sobre en el que los datos se cifran con una clave basada en AES 256, que a su vez está protegido con la clave administrada por el cliente almacenada en Azure Key Vault.

Los clientes pueden rotar su clave en Azure Key Vault según sus políticas de cumplimiento. Cuando rotan su clave, Azure Storage vuelve a cifrar la clave de cifrado para esa cuenta de almacenamiento. Esto no significa que se vuelvan a cifrar todos los datos y no se necesita ninguna otra acción del usuario.

Los clientes también pueden revocar el acceso a la cuenta de almacenamiento al revocar el acceso en su clave en Azure Key Vault. Hay varias maneras de revocar el acceso a las claves. Para más detalles, consulte PowerShell de Azure Key Vault y la CLI de Azure Key Vault. La revocación del acceso bloqueará eficazmente el acceso a todos los blobs de la cuenta de almacenamiento, ya que Azure Storage no podrá acceder a la clave de cifrado de la cuenta.

Los clientes deben habilitar las opciones “No purgar” y “Eliminación suave” para las claves administradas del cliente que los ayudan a protegerse contra escenarios de ransomware.

Los clientes pueden habilitar esta función en todos los tipos de redundancia disponibles de Azure Blob Storage y File Storage, incluido el almacenamiento premium, y pueden alternar entre usar las claves administradas de Microsoft o usar las claves administradas por el cliente. No se aplica ningún cargo adicional por habilitar esta característica.

Puede habilitar Storage Service Encryption con las claves administradas por el cliente en cualquier cuenta de almacenamiento de Azure Resource Manager mediante Azure Portal, Azure PowerShell, CLI de Azure o la API del proveedor de recursos de Microsoft Azure Storage.

Obtenga más información sobre Storage Service Encryption con claves administradas por el cliente.