Si está buscando incorporar BYOK para el servicio ChatGPT Open AI en Azure, ¡siga leyendo!
En el ámbito del procesamiento y almacenamiento de datos impulsado por IA, la seguridad de los datos es una máxima prioridad para las organizaciones. Azure OpenAI, parte de los servicios de Azure AI, aborda esta preocupación mediante la implementación de mecanismos sólidos de cifrado de datos.
En este artículo técnico, exploramos las complejidades del cifrado de datos en reposo en Azure OpenAI y profundizamos en el concepto de claves administradas por el cliente (CMK). Al aprovechar CMK y Azure Key Vault, las organizaciones pueden personalizar sus estrategias de cifrado y elevar la seguridad de sus datos a niveles sin precedentes.
Cifrado de datos en Azure OpenAI
Azure OpenAI aprovecha prácticas de cifrado de datos de vanguardia para proteger la información confidencial cuando persiste en la nube. El proceso de cifrado cumple con el cifrado AES de 256 bits compatible con FIPS 140-2, lo que garantiza el más alto nivel de seguridad para los datos en reposo.
Cifrado AES de 256 bits compatible con FIPS 140-2:
| Característica | Cifrado AES de 256 bits compatible con FIPS 140-2 |
|---|---|
| Estándar de cifrado | Estándar de cifrado avanzado (AES) compatible con FIPS 140-2 |
| Tamaño de clave | 256 bits |
| Certificación de seguridad | Certificación FIPS 140-2 |
| Fuerza de cifrado | Alto nivel de seguridad con una clave de 256 bits |
| Protección de datos | Proporciona una sólida protección de datos en reposo |
| Rendimiento del algoritmo | Proceso eficiente de cifrado y descifrado |
| Uso común | Ampliamente utilizado en diversas industrias y aplicaciones. |
| Velocidad de cifrado | Velocidades rápidas de cifrado y descifrado |
| Robustez del algoritmo | Resistente a ataques y vulnerabilidades conocidas |
| Cumplimiento normativo | Cumple con el estándar FIPS 140-2 |
| Flexibilidad de gestión de claves | Admite claves administradas por Microsoft y por el cliente |
| Complejidad de implementación | Relativamente sencillo de implementar |
| Integración con Azure | Utilizado en Azure OpenAI como parte de los servicios de Azure AI |
| Garantía de seguridad de datos | Proporciona una sólida garantía de confidencialidad de los datos. |
| Adopción de la industria | Ampliamente adoptado en la industria para el cifrado de datos. |
| Interoperabilidad | Compatible con varias plataformas y sistemas. |
El cifrado AES de 256 bits compatible con FIPS 140-2 ofrece un alto nivel de seguridad, lo que lo convierte en una excelente opción para proteger datos confidenciales en reposo. Cumple con rigurosos estándares regulatorios y se adopta ampliamente en todas las industrias debido a su eficiencia y solidez. Las organizaciones pueden optar por utilizar claves administradas por Microsoft o claves administradas por el cliente para mayor flexibilidad en la administración de claves. Azure OpenAI aprovecha este estándar de cifrado para garantizar la confidencialidad y la integridad de los datos almacenados en la nube.
El cifrado es totalmente transparente, lo que significa que el cifrado y la gestión del acceso están abstraídos de los usuarios, lo que elimina la necesidad de realizar modificaciones en el código o las aplicaciones existentes. Este esquema de cifrado predeterminado garantiza la seguridad de los datos desde el punto de entrada a la plataforma Azure OpenAI.
Claves administradas por el cliente (CMK) y su importancia
Si bien Azure OpenAI proporciona cifrado de datos automático con claves administradas por Microsoft, la plataforma también atiende a organizaciones que buscan un mayor control sobre la seguridad de sus datos. Ingrese claves administradas por el cliente (CMK) o el mecanismo Traiga su propia clave (BYOK), que permite a los usuarios ejercer un control granular sobre las claves de cifrado.
CMK permite a las organizaciones crear, rotar, deshabilitar y revocar controles de acceso para sus claves de cifrado. Este nivel de control es indispensable para las empresas que deben cumplir estrictos requisitos normativos y de cumplimiento, ya que pueden alinear sus prácticas de cifrado con mandatos específicos.
Utilización de Azure Key Vault para CMK
Para aprovechar las claves administradas por el cliente, Azure OpenAI exige el uso de Azure Key Vault, un servicio especializado diseñado para administrar claves criptográficas, secretos y certificados de forma segura. Los usuarios pueden generar sus propias claves y almacenarlas en el almacén de claves o usar las API de Azure Key Vault para generar claves adaptadas a sus requisitos específicos.
El almacén de claves y el recurso de servicios de Azure AI deben coexistir en la misma región y en el mismo inquilino de Azure Active Directory (Azure AD). Sin embargo, pueden pertenecer a suscripciones diferentes, lo que permite a los usuarios mantener la separación deseada de funciones y controles de acceso.
Leer más:¿Debo llevar mi computadora portátil a Europa? (¡Lea esto primero!)
Habilitación de CMK y propiedades de Key Vault
Para aprovechar los beneficios de las claves administradas por el cliente, los usuarios deben enviar elFormulario de solicitud de clave administrada por el cliente de servicios de Azure AI, iniciando el proceso de integración. El equipo de Azure evaluará la solicitud y, dentro de 3 a 5 días hábiles, el usuario recibirá una actualización de estado.
Habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves es esencial al activar claves administradas por el cliente. La propiedad Eliminación temporal garantiza que las claves eliminadas accidentalmente se puedan recuperar, mientras que la propiedad No purgar evita la eliminación irreversible de claves, manteniendo el control sobre su ciclo de vida.
Limitaciones y consideraciones clave
Las organizaciones que estén considerando claves administradas por el cliente deben tener en cuenta que el cifrado de servicios de Azure AI solo admite claves RSA de tamaño 2048. Los usuarios deben evaluar cuidadosamente sus requisitos de cifrado y alinear sus prácticas de administración de claves en consecuencia.
Claves administradas por el sistema versus claves administradas por el cliente (CMK):
A continuación se muestra una tabla de comparación entre claves administradas por el sistema y claves administradas por el cliente con Azure Key Vault:
| Característica | Claves administradas por el sistema | Claves administradas por el cliente (CMK) |
|---|---|---|
| Generación y rotación de claves | Generado y rotado automáticamente por Azure | Los usuarios generan y administran sus claves de cifrado. |
| Seguridad clave y control de acceso | Totalmente administrado por Azure | Los usuarios tienen control granular sobre los controles de acceso. |
| Almacenamiento y copia de seguridad de claves | Azure maneja el almacenamiento y la copia de seguridad | Los usuarios administran el almacenamiento y la copia de seguridad de claves. |
| Eliminación y recuperación de claves | Azure maneja la eliminación y recuperación de claves | Los usuarios gestionan la eliminación y recuperación de claves. |
| Cumplimiento normativo | Cumple con los estándares de seguridad relevantes | Los usuarios pueden alinear las prácticas de cifrado con |
| requisitos normativos y de cumplimiento específicos | ||
| Integración con servicios de Azure | Perfectamente integrado con los servicios de Azure | Se puede utilizar con varios servicios de Azure. |
| Complejidad de implementación | Simple y directo de implementar | Requiere configuración y administración adicionales |
| Casos de uso | Ideal para necesidades básicas de cifrado | Adecuado para organizaciones con seguridad estricta |
| y requisitos de cumplimiento | ||
| Políticas de rotación clave | Políticas de rotación administradas por Azure | Los usuarios pueden personalizar las políticas de rotación de claves. |
| Gestión de recursos y costos | Menos gastos y gastos administrativos | Más control sobre la asignación de recursos y los costos |
| Auditoría clave | Control limitado sobre auditorías clave | Los usuarios tienen visibilidad del uso y acceso clave. |
| Recuperación ante desastres | Azure maneja la recuperación ante desastres | Los usuarios pueden diseñar su plan de recuperación ante desastres. |
En resumen, las claves administradas por el sistema ofrecen una solución simple y automatizada para las necesidades básicas de cifrado, ya que Azure maneja todos los aspectos de la administración de claves. Por otro lado, las claves administradas por el cliente (CMK) brindan a las organizaciones control granular y opciones de personalización para la administración de claves de cifrado, lo que las hace adecuadas para escenarios con estrictos requisitos de seguridad y cumplimiento. La elección entre claves administradas por el sistema y claves administradas por el cliente depende de las necesidades de seguridad específicas y del nivel de control deseado por la organización.
Conclusión
El sólido cifrado de datos de Azure OpenAI y la flexibilidad de las claves administradas por el cliente a través de Azure Key Vault permiten a las organizaciones establecer estrategias de seguridad de datos altamente personalizadas.
Al integrar prácticas de cifrado avanzadas y adoptar claves administradas por el cliente, las empresas pueden elevar sus medidas de protección de datos a niveles sin precedentes, garantizando la confidencialidad de los datos y el cumplimiento de los estándares regulatorios.
Dado que la seguridad de los datos sigue siendo un campo en constante evolución, mantenerse informado sobre las últimas prácticas de cifrado y actualizaciones de Azure es esencial para mantener la ventaja en la protección de activos de datos valiosos.