En este artículo se ofrecen respuestas a las preguntas más frecuentes sobre Azure Disk Encryption para máquinas virtuales (VM) Linux. Para más información sobre este servicio, consulte Introducción a Azure Disk Encryption.
¿Qué es Azure Disk Encryption para VM Linux?
Azure Disk Encryption para VM Linux usa la característica dm-crypt de Linux para proporcionar el cifrado de disco completo del disco del sistema operativo* y los discos de datos. Además, proporciona cifrado del disco temporal cuando se usa la característica EncryptFormatAll. Los flujos de contenido se cifran desde la VM hasta el back-end de almacenamiento. Por lo tanto, se proporciona el cifrado de un extremo a otro con una clave administrada por el cliente.
Consulte VM y sistemas operativos compatibles.
¿Dónde está Azure Disk Encryption en la disponibilidad general (GA)?
Azure Disk Encryption para máquinas virtuales Linux tiene disponibilidad general en todas las regiones públicas de Azure.
¿Qué experiencias del usuario están disponibles con Azure Disk Encryption?
La disponibilidad general de Azure Disk Encryption admite plantillas de Azure Resource Manager, Azure PowerShell y CLI de Azure. La diferentes experiencias de usuario le proporcionan flexibilidad. Dispone de tres opciones distintas para habilitar el cifrado de discos para las máquinas virtuales. Para más información sobre la experiencia del usuario e instrucciones paso a paso disponibles en Azure Disk Encryption, consulte Escenarios de Azure Disk Encryption para Linux.
¿Cuánto cuesta Azure Disk Encryption?
El cifrado de discos de máquinas virtuales con Azure Disk Encryption es gratuito, pero hay cargos asociados al uso de Azure Key Vault. Para más información acerca de los costos de Azure Key Vault, consulte la página de precios de Key Vault.
¿Cómo puedo empezar a usar Azure Disk Encryption?
Para empezar, lea la información general sobre Azure Disk Encryption.
¿Qué tamaños de máquina virtual y sistemas operativos admiten Azure Disk Encryption?
En el artículo Introducción a Azure Disk Encryption se enumeran los tamaños de máquina virtual y los sistemas operativos de máquina virtual compatibles con Azure Disk Encryption.
¿Puedo cifrar los volúmenes de datos y arranque con Azure Disk Encryption?
Sí, puede cifrar los volúmenes de datos y arranque, o bien puede cifrar el volumen de datos sin tener que cifrar primero el volumen del sistema operativo.
Una vez que se haya cifrado el volumen del sistema operativo no se admite la deshabilitación del cifrado en dicho volumen. Para máquinas virtuales Linux en un conjunto de escalado, solo se puede cifrar el volumen de datos.
¿Puedo cifrar un volumen desmontado con Azure Disk Encryption?
No. Azure Disk Encryption solo cifra volúmenes montados.
¿Qué es el cifrado del lado servidor de almacenamiento?
El cifrado del lado servidor de almacenamiento cifra Azure Managed Disks en Azure Storage. Los discos administrados se cifran de manera predeterminada con el cifrado del lado servidor con una clave administrada por la plataforma (desde el 10 de junio de 2017). Puede administrar el cifrado de discos administrados con sus propias claves mediante la especificación de una clave administrada por el cliente. Para obtener más información, consulte: Cifrado del lado servidor de Azure Managed Disks.
¿Cuál es diferencia entre Azure Disk Encryption y el cifrado del lado servidor de almacenamiento con la clave administrada por el cliente y cuándo debo usar cada solución?
Azure Disk Encryption proporciona cifrado de un extremo a otro para el disco del sistema operativo, los discos de datos y el disco temporal mediante una clave administrada por el cliente.
- Si los requisitos incluyen el cifrado de todos los elementos anteriores y el cifrado de un extremo a otro, use Azure Disk Encryption.
- Si los requisitos incluyen el cifrado solo de datos en reposo con la clave administrada por el cliente, use el cifrado del lado servidor con las claves administradas por el cliente. No se puede cifrar un disco con Azure Disk Encryption y el cifrado del lado servidor de almacenamiento con claves administradas por el cliente.
- Si su distribución de Linux no se incluye en los sistemas operativos compatibles con Azure Disk Encryption o usa un escenario que se ha mencionado en las restricciones, considere la posibilidad de usar el cifrado del lado servidor con las claves administradas por el cliente.
- Si la directiva de la organización permite cifrar contenido en reposo con una clave administrada por Azure, no es necesario realizar ninguna acción: el contenido se cifra de manera predeterminada. En el caso de los discos administrados, el contenido del almacenamiento se cifra de manera predeterminada con el cifrado del lado servidor con una clave administrada por la plataforma. El servicio de Azure Storage administra la clave.
¿Cómo se pueden rotar los secretos o las claves de cifrado?
Para rotar los secretos, simplemente llame al mismo comando que usó originalmente para habilitar el cifrado de disco y especifique un almacén de claves diferente. Para rotar la clave de cifrado de claves, llame al mismo comando que usó originalmente para habilitar el cifrado de disco y especifique el cifrado de claves nuevo.
Advertencia
- Si usó anteriormente Azure Disk Encryption con la aplicación Azure AD para al especificar las credenciales de Azure AD para cifrar esta VM, tendrá que seguir usando esta opción para cifrar la VM. Azure Disk Encryption no se puede usar en esta VM cifrada, ya que no es un escenario compatible, lo que significa que el cambio desde la aplicación de Microsoft Entra a esta VM cifrada aún no es compatible.
¿Cómo se agrega o quita una clave de cifrado de clave si originalmente no usé una?
Para agregar una clave de cifrado de clave, llame al comando enable otra vez y pase el parámetro de clave de cifrado de clave. Para quitar una clave de cifrado de clave, llame al comando enable otra vez y pase el parámetro de clave de cifrado de clave.
¿Permite Azure Disk Encryption habilitar la funcionalidad "traiga su propia clave" (BYOK)?
Sí, puede proporcionar sus propias claves de cifrado de claves. Dichas claves están protegidas en Azure Key Vault, que es el almacén de claves de Azure Disk Encryption. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Puedo usar una clave de cifrado de claves creada en Azure?
Sí, puede usar Azure Key Vault para generar la clave de cifrado de claves para usar en Azure Disk Encryption. Dichas claves están protegidas en Azure Key Vault, que es el almacén de claves de Azure Disk Encryption. Para más información sobre la clave de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Puedo usar el servicio de administración de claves local o HSM para proteger las claves de cifrado?
No puede utilizar el servicio de administración de claves local ni HSM para proteger las claves de cifrado con Azure Disk Encryption. Para proteger las claves de cifrado, solo se puede utilizar el servicio Azure Key Vault. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Cuáles son los requisitos previos para configurar Azure Disk Encryption?
Hay requisitos previos para Azure Disk Encryption. Consulte el artículo Creación y configuración de un almacén de claves para Azure Disk Encryption para crear un almacén de claves o configurar un almacén de claves existente para el acceso al cifrado de discos para habilitar el cifrado y proteger los secretos y las claves. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Cuáles son los requisitos previos para configurar Azure Disk Encryption con una aplicación de Microsoft Entra (versión anterior)?
Hay requisitos previos para Azure Disk Encryption. Consulte el contenido de Azure Disk Encryption con Microsoft Entra ID para crear una aplicación de Microsoft Entra, crear un almacén de claves o configurar el existente para el acceso al cifrado de disco y habilitar el cifrado y proteger los secretos y las claves. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID.
¿Sigue siendo compatible Azure Disk Encryption con una aplicación de Microsoft Entra (versión anterior)?
Sí. Todavía se admite el cifrado de disco mediante una aplicación de Microsoft Entra. Sin embargo, al cifrar nuevas máquinas virtuales, se recomienda utilizar el nuevo método en lugar de cifrar con una aplicación de Microsoft Entra.
¿Puedo migrar máquinas virtuales cifradas con una aplicación de Microsoft Entra al cifrado sin una aplicación de Microsoft Entra?
En la actualidad, no existe una ruta de migración directa para los equipos que se cifraron con una aplicación de Microsoft Entra al cifrado sin una aplicación de Microsoft Entra. Además, tampoco hay una ruta directa desde el cifrado sin una aplicación Microsoft Entra al cifrado con una aplicación de AD.
¿Qué versión de Azure PowerShell es compatible con Azure Disk Encryption?
Utilice la versión más reciente del SDK de Azure PowerShell para configurar Azure Disk Encryption. Descargue la versión más reciente de Azure PowerShell. La versión 1.1.0 del SDK de Azure no admite Azure Disk Encryption.
Nota
La extensión de versión preliminar de Azure Disk Encryption para Linux "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" está en desuso. Esta extensión se publicó para la versión preliminar de Azure Disk Encryption. No debería usar la versión preliminar de la extensión en la implementación de prueba ni producción.
Para escenarios de implementación, como Azure Resource Manager (ARM), donde necesita implementar la extensión Azure Disk Encryption para VM de Linux con el fin de habilitar el cifrado en la VM IaaS de Linux, debe usar la extensión Azure Disk Encryption compatible con entornos de producción "Microsoft.Azure.Security.AzureDiskEncryptionForLinux".
¿Puedo aplicar Azure Disk Encryption en mi imagen personalizada de Linux?
No puede aplicar Azure Disk Encryption a una imagen personalizada de Linux. Solo se admiten las imágenes de Linux de la galería para las distribuciones admitidas mencionadas anteriormente. Actualmente no se admiten imágenes personalizadas de Linux.
¿Puedo aplicar actualizaciones a una máquina virtual Red Hat de Linux utilizando la actualización de Yum?
Sí. Puede realizar una actualización de yum en una VM de Red Hat Linux. Para más información, consulte Azure Disk Encryption en una red aislada.
¿Cuál es el flujo de trabajo de Azure Disk Encryption recomendado para Linux?
Para obtener los mejores resultados en Linux, se recomienda el siguiente flujo de trabajo:
- Comenzar en la imagen de la galería en existencias sin modificar correspondiente a la distribución y versión necesarias del sistema operativo
- Realizar una copia de seguridad de las unidades montadas que se van a cifrar. Esta copia de seguridad permite la recuperación en caso de error, por ejemplo, si la máquina virtual se reinicia antes de que finalice el cifrado.
- Cifrar (puede tardar varias horas o incluso días según las características de la máquina virtual y el tamaño de los discos de datos adjuntos)
- Personalizar y agregar software a la imagen según sea necesario.
Si este flujo de trabajo no es posible, el uso de Storage Service Encryption (SSE) en el nivel de la cuenta de almacenamiento de la plataforma puede ser una alternativa al cifrado del disco completo mediante dm-crypt.
¿Qué es el disco "volumen Bek" o "/mnt/azure_bek_disk"?
El "volumen Bek" es un volumen de datos locales que almacena de forma segura las claves de cifrado de las máquinas virtuales cifradas de Azure.
Nota
No elimine ni modifique ningún contenido de este disco. No desmonte el disco ya que la presencia de la clave de cifrado es necesaria para las operaciones de cifrado en la máquina virtual IaaS.
¿Qué método de cifrado usa Azure Disk Encryption?
Azure Disk Encryption usa el valor de descifrado predeterminado de aes-xts-plain64 con una clave maestra de volumen de 256 bits.
¿Si uso EncryptFormatAll y especifico todos los tipos de volumen se borrarán los datos en las unidades de datos que ya hemos cifrado?
No, no se borran datos de las unidades de datos que ya estén cifradas mediante Azure Disk Encryption. Igual que EncryptFormatAll no volvía a cifrar la unidad del SO, no volverá a cifrar la unidad de datos ya cifrada. Para obtener más información, consulte Criterios de EncryptFormatAll.
¿Se admite el sistema de archivos XFS?
Se admite el cifrado de discos de sistema operativo de XFS.
Solo se admite el cifrado de discos de datos XFS cuando se usa el parámetro EncryptFormatAll. Esto volverá a formatear el volumen, por lo que se borrarán todos los datos que contenga. Para obtener más información, consulte Criterios de EncryptFormatAll.
¿Se admite el cambio de tamaño de la partición del sistema operativo?
Actualmente no se admite el cambio de tamaño de un disco de sistema operativo cifrado con ADE.
¿Puedo hacer una copia de seguridad de una VM cifrada y restaurarla?
Azure Backup proporciona un mecanismo para la copia de seguridad y restauración VM cifradas dentro de la misma suscripción y región. Para obtener instrucciones, consulte Copia de seguridad y restauración de máquinas virtuales cifradas con Azure Backup. Actualmente, no se admite la restauración de una VM cifrada en una región diferente.
¿Dónde puedo formular preguntas o enviar comentarios?
Puede realizar preguntas o publicar comentarios en la página de preguntas y respuestas de Microsoft sobre Azure Disk Encryption.
Pasos siguientes
En este documento, aprendió más acerca de las preguntas más frecuentes sobre Azure Disk Encryption. Para obtener más información acerca de este servicio, vea los siguientes artículos: