Introducción a las opciones de cifrado de discos administrados
Hay varios tipos de cifrado disponibles para los discos administrados, como Azure Disk Encryption (ADE), Cifrado del lado servidor (SSE) y cifrado en el host.
El cifrado del lado del servidor de Azure Disk Storage (también conocido como cifrado en reposo o cifrado de Azure Storage) siempre está habilitado y cifra automáticamente los datos almacenados en los discos administrados de Azure (SO y discos de datos) cuando persisten en los clústeres de almacenamiento. Cuando se configura con un conjunto de cifrado de disco (DES), también admite claves administradas por el cliente. No cifra los discos temporales ni las memorias caché de disco. Para obtener más información, consulte Cifrado del lado servidor de Azure Disk Storage.
El cifrado en el host es una opción de máquina virtual que mejora el cifrado del lado del servidor de Azure Disk Storage para garantizar que todos los discos temporales y las cachés de disco se cifren en reposo y fluyen cifrados a los clústeres de almacenamiento. Para más información, consulte Cifrado en el host; cifrado de un extremo a otro de los datos de la máquina virtual.
Azure Disk Encryption ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de su organización. ADE cifra los discos de datos y del sistema operativo de las máquinas virtuales de Azure dentro de ellas mediante la característica DM-Crypt de Linux o BitLocker de Windows. ADE se integra con Azure Key Vault para ayudarle a controlar y administrar las claves y secretos de cifrado de disco, con la opción de cifrar con una clave de cifrado de claves (KEK). Para obtener más información, consulte Azure Disk Encryption para máquinas virtuales Linux o Azure Disk Encryption para máquinas virtuales Windows.
El cifrado de discos confidenciales enlaza las claves de cifrado de disco al TPM de la máquina virtual y hace que el contenido de disco protegido solo esté accesible para la máquina virtual. El estado de invitado de máquina virtual y TPM siempre se cifra en código atestiguado mediante claves publicadas por un protocolo seguro que omite el hipervisor y el sistema operativo host. Actualmente solo está disponible para el disco del sistema operativo; compatibilidad con discos temporales está en versión preliminar. El cifrado en el host se puede usar para otros discos de una máquina virtual confidencial además del cifrado de disco confidencial. Para más información, consulte Máquinas virtuales confidenciales de las series DCasv5 y ECasv5.
El cifrado forma parte de un enfoque por capas de la seguridad y debe usarse con otras recomendaciones para proteger las máquinas virtuales y sus discos. Para más información, consulte Recomendaciones de seguridad para máquinas virtuales en Azure y Restricción del acceso de importación y exportación a discos administrados.
De comparación
A continuación se ofrece una comparación de SSE de Disk Storage, ADE, cifrado en el host y cifrado de disco confidencial.
Cifrado del lado del servidor de Azure Disk Storage | Cifrado en el host | Azure Disk Encryption | Cifrado de disco confidencial (solo para el disco del sistema operativo) | |
---|---|---|---|---|
Cifrado en reposo (discos de datos y del sistema operativo) | ✅ | ✅ | ✅ | ✅ |
Cifrado de disco temporal | ❌ | ✅ Solo compatible con claves administradas por la plataforma | ✅ | ✅En versión preliminar |
Cifrado de cachés | ❌ | ✅ | ✅ | ✅ |
Flujos de datos cifrados entre el proceso y el almacenamiento | ❌ | ✅ | ✅ | ✅ |
Control de claves por parte del cliente | ✅ Cuando se configura con DES | ✅ Cuando se configura con DES | ✅ Cuando se configura con KEK | ✅ Cuando se configura con DES |
Compatibilidad con HSM | Azure Key Vault Premium y HSM administrado | Azure Key Vault Premium y HSM administrado | Azure Key Vault Premium | Azure Key Vault Premium y HSM administrado |
No usa la CPU de la máquina virtual | ✅ | ✅ | ❌ | ❌ |
Funciona con imágenes personalizadas | ✅ | ✅ | ❌ No funciona con imágenes personalizadas de Linux | ✅ |
Protección mejorada de las claves | ❌ | ❌ | ❌ | ✅ |
Estado de cifrado de disco de Microsoft Defender for Cloud* | Unhealthy (Incorrecto) | Healthy | Healthy | No aplicable |
Importante
En el caso del cifrado de disco confidencial, Microsoft Defender for Cloud no tiene actualmente una recomendación aplicable.
* Microsoft Defender for Cloud tiene las siguientes recomendaciones de cifrado de disco:
- Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener cifrado en el host habilitado (solo detecta el cifrado en el host)
- Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos informáticos y de almacenamiento (solo detecta Azure Disk Encryption)
- Las máquinas virtuales de Windows deben habilitar Azure Disk Encryption o EncryptionAtHost (detecta tanto Azure Disk Encryption como EncryptionAtHost)
- Las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost(detecta Azure Disk Encryption y EncryptionAtHost)
Pasos siguientes
- Azure Disk Encryption para máquinas virtuales Linux
- Azure Disk Encryption para máquinas virtuales Windows
- Cifrado del lado servidor de Azure Disk Storage
- Cifrado en el host
- Máquinas virtuales confidenciales de las series DCasv5 y ECasv5
- Aspectos básicos de seguridad de Azure: Información general del cifrado de Azure