Rotación de claves administradas por el cliente para máquinas virtuales confidenciales

Las máquinas virtuales confidenciales (VM confidenciales) de Azure admiten claves administradas por el cliente. Las claves administradas por el cliente ayudan a que las máquinas virtuales confidenciales y los artefactos asociados funcionen correctamente. Puede administrar estas claves en Azure Key Vault o a través de un módulo de seguridad de hardware administrado (HSM administrado). Este artículo se centra en la administración de las claves mediante un HSM administrado, a menos que se indique lo contrario.

Si desea usar una clave administrada por el cliente, debe proporcionar un recurso de conjunto de cifrado de disco al crear la máquina virtual confidencial. El conjunto de cifrado de disco debe hacer referencia a la clave administrada por el cliente. Normalmente, puede asociar un único conjunto de cifrado de disco con varias máquinas virtuales confidenciales. Se recomienda rotar periódicamente una clave administrada por el cliente como procedimiento recomendado de seguridad. La frecuencia de rotación es una decisión de directiva de la organización. La rotación también es necesaria si una clave administrada por el cliente está en peligro.

Cambio de la clave administrada por el cliente

Puede cambiar la clave que usa para máquinas virtuales confidenciales en cualquier momento. Para rotar una clave administrada por el cliente:

1. Inicie sesión en Azure Portal.
2. Vaya al servicio de Máquinas virtuales.
3. Detenga todas las máquinas virtuales confidenciales con el mismo conjunto de cifrado de disco. Si una o varias máquinas virtuales no están en estado "Detenido", ninguna de las máquinas virtuales puede recibir la nueva clave.
4. Vaya al servicio de Conjuntos de cifrado de disco.
5. Seleccione el recurso Conjunto de cifrado de disco asociado a la máquina virtual confidencial.
6. En el menú del recurso, en Configuración, seleccione Clave.
7. Seleccione Cambiar clave.
8. Seleccione el almacén de claves, la clave y la versión adecuados.
9. Guarde los cambios. La operación de guardado actualiza la clave de todos los artefactos de máquina virtual confidenciales.

Reintento de rotación de claves

En raras ocasiones, es posible que la clave administrada por el cliente no rote en todas las máquinas virtuales confidenciales, incluso cuando todas las máquinas virtuales se han detenido. Si la clave administrada por el cliente no rota, el recurso Conjunto de cifrado de disco todavía contiene una referencia a la clave antigua. En este estado, algunas máquinas virtuales confidenciales pueden tener la nueva clave y algunas pueden tener la clave antigua.

Para resolver este problema, repita los pasos para actualizar el conjunto de cifrado de disco.

Limitaciones

• Actualmente, no se admite la rotación automática de claves para máquinas virtuales confidenciales.
• No se admite la rotación de claves para discos efímeros. Se recomienda tener un conjunto de cifrado de disco independiente para máquinas virtuales confidenciales con un disco efímero. Si las máquinas virtuales confidenciales con discos efímeros y no efímeros comparten el mismo conjunto de cifrado de disco, debe eliminar las máquinas virtuales confidenciales con discos efímeros antes de rotar las claves de las máquinas virtuales confidenciales con discos no efímeros.