AZ-305

Deep Dive

D2 · Almacenamiento de Datos

Protección y Cifrado de Datos

Diseñar protección de datos en AZ-305 es responder tres preguntas: ¿quién controla las claves (Microsoft o el cliente)? ¿de quién protegemos los datos (atacantes, administradores, el propio cloud provider)? ¿y cómo garantizamos que no se alteren ni borren?

Icon-security-245

Cifrado en reposo: PMK vs CMK

Platform-Managed Keys (PMK)

  • Default: TODO en Azure se cifra en reposo (AES-256) automáticamente
  • Microsoft genera, rota y custodia las claves
  • Cero administración, cero costo
  • Suficiente salvo requisito explícito de control de claves

Customer-Managed Keys (CMK)

  • La clave vive en TU Key Vault / Managed HSM
  • Tú controlas rotación, revocación y auditoría de uso
  • Revocar la clave = los datos quedan inaccesibles (kill switch)
  • Requiere: managed identity del servicio + permisos wrap/unwrap + soft delete + purge protection en el vault
  • Señal de examen: "la organización debe controlar/poder revocar las claves de cifrado"

Cifrado de discos de VM

  • SSE (Server-Side Encryption): default en managed disks; con CMK vía Disk Encryption Set
  • Encryption at host: cifra también cache y datos en tránsito host↔storage
  • Azure Disk Encryption (ADE): BitLocker/dm-crypt DENTRO del SO — cuando se exige cifrado a nivel de SO
  • Confidential disk encryption: para confidential VMs
Icon-databases-130

Cifrado en SQL: TDE vs Always Encrypted vs Dynamic Data Masking

TecnologíaProtege contraCaracterística clave
TDE (Transparent Data Encryption)Robo de archivos físicos de la DB / backupsCifra toda la DB en reposo. ON por defecto. Transparente: los admins SQL VEN los datos en claro al consultar. CMK posible (BYOK)
Always EncryptedAdministradores de la DB y de Azure — los datos viajan cifrados hasta el clienteCifra COLUMNAS específicas; las claves las tiene el cliente. Ni el DBA ni Microsoft ven el dato. Limita queries (igualdad con deterministic). Con secure enclaves: rangos y LIKE
Dynamic Data MaskingUsuarios de la app que no deben VER el dato completoNO cifra — enmascara en la presentación (XXX-XX-1234). Los datos siguen en claro en la DB. Control de exposición, no de seguridad criptográfica
Row-Level SecurityAcceso entre filas de distintos tenants/usuariosFiltra filas según el contexto del usuario — multi-tenant en una sola tabla

La distinción que más cae

"Ni los administradores de base de datos ni Microsoft deben poder ver los números de tarjeta" → Always Encrypted (TDE no sirve: el DBA ve los datos). "Cifrar la base de datos y sus backups en reposo" → TDE. "El call center solo ve los últimos 4 dígitos" → Dynamic Data Masking.

Cifrado en tránsito y en uso

En tránsito

  • • TLS 1.2+ obligatorio: propiedad "secure transfer required" en storage, "HTTPS only" en App Service
  • • SMB 3.x con cifrado para Azure Files
  • • VPN/ExpressRoute con MACsec o IPsec para tránsito híbrido

En uso — Confidential Computing

  • Confidential VMs (AMD SEV-SNP / Intel TDX): memoria cifrada — ni el hipervisor ni Microsoft pueden inspeccionarla
  • • Enclaves (SGX) para código que procesa datos ultra-sensibles
  • • Señal: "los datos deben estar protegidos incluso mientras se procesan" → confidential computing
Icon-storage-86

Inmutabilidad y protección contra borrado

MecanismoQué garantiza
Immutable blob storage — time-based retentionWORM: nadie (ni Owner) puede modificar/borrar blobs durante N días. Para SEC/FINRA y ransomware. Locked policy = irreversible
Immutable storage — legal holdWORM sin fecha fija — hasta que se levante el hold (litigios)
Soft delete (blobs, containers, file shares)Recuperar borrados accidentales durante la retención
Blob versioningCada sobrescritura crea versión recuperable
Point-in-time restore (block blobs)Restaurar contenedores a un momento anterior
Resource lock CanNotDeleteProteger la CUENTA contra borrado (plano de control)

Señal anti-ransomware

"Los backups no deben poder ser cifrados ni borrados por un atacante con credenciales de administrador" → immutable storage con locked policy (o vaults de Azure Backup con immutability + soft delete always-on + multi-user authorization).

Clasificación y gobierno de datos

Microsoft Purview

  • • Catálogo y mapa de datos: escanea Azure, on-prem y otras nubes
  • • Clasificación automática de datos sensibles (PII, tarjetas)
  • • Linaje de datos extremo a extremo
  • • Señal: "descubrir y clasificar datos sensibles en todo el estate" → Purview

En SQL

  • • Data Discovery & Classification: etiquetas de sensibilidad por columna
  • • SQL Auditing → Log Analytics/Storage: quién consultó qué
  • • Microsoft Defender for SQL: vulnerability assessment + advanced threat protection
  • • Ledger tables: evidencia criptográfica de no-manipulación

Tabla de decisión

RequisitoDiseño
La organización debe poder revocar las claves de cifrado del storageCMK en Key Vault (+ purge protection)
Ni DBAs ni Microsoft ven los números de tarjetaAlways Encrypted en esas columnas
Cifrar DB y backups en reposo (compliance general)TDE (default; CMK si piden control de clave)
Soporte ve solo últimos 4 dígitos del documentoDynamic Data Masking
Cada tenant solo consulta sus propias filasRow-Level Security
Registros financieros inalterables 7 años (WORM)Immutable blob storage, time-based locked policy
Datos protegidos incluso durante el procesamientoConfidential VMs / confidential computing
Descubrir PII en SQL, ADLS y S3Microsoft Purview
Cifrado dentro del SO de la VM (BitLocker)Azure Disk Encryption

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una fintech almacena números de tarjeta en Azure SQL Database. El requisito de cumplimiento dice: 'los datos de tarjeta no deben ser visibles para los administradores de la base de datos ni para el proveedor cloud, ni siquiera durante una consulta'. TDE ya está habilitado. ¿Qué falta?

Inicia sesión para llevar tu progreso.