Control y Seguridad del Acceso a Azure Storage

Guía práctica para asegurar Azure Storage: cifrado CMK gestionado por el cliente, RBAC con identidades administradas, Key Vault, almacenamiento inmutable y encryption scopes.

4 sept 2025 • 5 min de lectura • Equip Q2BSTUDIO

Inteligencia-Artificial-

Introducción En las aplicaciones modernas, proteger el almacenamiento de datos no es negociable. Es vital garantizar que las cuentas de almacenamiento estén aisladas de accesos no autorizados, que solo se conecten mediante identidades aprobadas y que todos los datos estén cifrados con claves administradas por el cliente. Con control de acceso basado en roles RBAC, identidades administradas y almacenamiento inmutable, Azure ofrece un camino claro para conseguirlo.

Objetivos Al finalizar esta guía práctica sabrás cómo crear una cuenta de almacenamiento con cifrado, asignar una identidad administrada con RBAC, proteger y orquestar claves en Azure Key Vault, habilitar almacenamiento inmutable con políticas de retención y aplicar ámbitos de cifrado para reforzar la seguridad a nivel de contenedor o blob. Esto fortalece la postura de ciberseguridad y el cumplimiento normativo de tus soluciones.

Paso 1: Crea la cuenta de almacenamiento e identidad administrada Comienza creando la base. En el portal de Azure, busca Storage accounts y selecciona Create. Elige o crea un grupo de recursos, asigna un nombre globalmente único a la cuenta de almacenamiento y define región y redundancia según tus requisitos. En la pestaña Encryption activa la opción Infrastructure encryption, ya que no puede cambiarse más adelante. Revisa y crea la cuenta. Después, crea una identidad administrada de usuario desde Managed Identities con Create, selecciona el mismo grupo de recursos, asigna un nombre y despliega.

Asigna permisos RBAC a la identidad En la cuenta de almacenamiento, entra en Access Control IAM y añade un role assignment. Selecciona el rol Storage Blob Data Reader para lecturas seguras. Como miembro, elige Managed identity de tipo User-assigned y selecciona la identidad que creaste. Si tu aplicación necesita escribir, considera Storage Blob Data Contributor o Data Owner según el principio de mínimo privilegio.

Paso 2: Asegura el acceso con Azure Key Vault Key Vault centraliza y protege claves, secretos y certificados, evitando incrustar secretos en código o configuraciones. Primero, en el grupo de recursos usa Access Control IAM para asignarte el rol Key Vault Administrator a tu usuario y así poder configurar el cofre.

Crea el Key Vault y habilita protecciones En Key vaults selecciona Create, elige el grupo de recursos y asigna un nombre único. En Access configuration selecciona Azure role-based access control recomendado. Verifica que Soft-delete y Purge protection estén habilitados para evitar eliminaciones accidentales o malintencionadas.

Genera una clave administrada por el cliente CMK Dentro del Key Vault, en Objects y luego Keys, elige Generate o Import. Asigna un nombre como customerkey y crea la clave con los valores predeterminados, suficiente para cifrar datos de Azure Storage.

Paso 3: Configura la cuenta de almacenamiento con clave administrada por el cliente Otorga a la identidad administrada permiso para cifrar y descifrar con la CMK. En el ámbito del Key Vault o del grupo de recursos, añade el rol Key Vault Crypto Service Encryption User a la identidad administrada. A continuación, en la cuenta de almacenamiento ve a Security and networking y luego Encryption. Selecciona Customer-managed keys, elige tu Key Vault y la clave creada. Establece Identity type en User-assigned, selecciona tu identidad y guarda. Si aparece un error de permisos, espera entre 1 y 2 minutos a que se propaguen y vuelve a intentarlo.

Paso 4: Habilita almacenamiento inmutable con política de retención El almacenamiento inmutable garantiza que los datos no puedan modificarse ni eliminarse durante un periodo definido, incluso por administradores. Crea un contenedor, por ejemplo hold, y sube un archivo. En Access policy, añade una política de tipo Time-based retention y define un periodo, por ejemplo 5 días. Mientras dure la retención, el sistema bloqueará cualquier intento de eliminación o modificación. Para necesidades regulatorias estrictas, considera el modo legal hold y la configuración de versionado de blobs.

Paso 5: Aplica un Encryption Scope Los ámbitos de cifrado permiten definir políticas de cifrado específicas a nivel de contenedor o blob, incluyendo la opción de reforzar con Infrastructure encryption. En la cuenta de almacenamiento entra a Encryption y luego Encryption scopes para crear uno nuevo, asígnale un nombre, elige Microsoft-managed key si corresponde y habilita Infrastructure encryption. Crea un contenedor aplicando ese scope para que todos los blobs hereden esa protección adicional.

Limpieza de recursos Si todo fue con fines de práctica, elimina el grupo de recursos desde el portal para evitar costes. Alternativamente, en PowerShell utiliza Remove-AzResourceGroup -Name resourceGroupName o con la CLI de Azure az group delete --name resourceGroupName.

Conclusión Con este recorrido has aprendido a combinar RBAC, identidades administradas, Azure Key Vault con claves administradas por el cliente, almacenamiento inmutable y ámbitos de cifrado para blindar el acceso a Azure Storage por diseño. Este enfoque ayuda a cumplir normativas, reduce riesgos y mejora la gobernanza de datos sensibles en la nube.

Cómo te ayuda Q2BSTUDIO En Q2BSTUDIO somos especialistas en software a medida y aplicaciones a medida, inteligencia artificial e ia para empresas, ciberseguridad, servicios cloud aws y azure, automatización de procesos, servicios inteligencia de negocio y power bi. Si buscas implementar estas buenas prácticas en tu entorno o migrar cargas a la nube de forma segura, visita nuestros servicios cloud AWS y Azure. Si además necesitas elevar tu postura de seguridad con auditorías y pruebas de intrusión, conoce nuestro enfoque integral en ciberseguridad y pentesting. Nuestro equipo también puede ayudarte a desplegar agentes IA, optimizar costes, diseñar arquitecturas escalables y consolidar dashboards de power bi que conecten el negocio con la tecnología.

Palabras clave aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.