Azure Disk Encryption para Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Información general

Azure Disk Encryption aprovecha el subsistema de dm-crypt de Linux para proporciona un cifrado completo de disco en determinadas distribuciones de Azure Linux. Esta solución se integra con Azure Key Vault para administrar los secretos y las claves de cifrado del disco.

Requisitos previos

Para obtener una lista completa de los requisitos previos, consulte Azure Disk Encryption para máquinas virtuales Linux, en concreto las secciones siguientes:

• Máquinas virtuales y sistemas operativos compatibles
• Requisitos adicionales de la máquina virtual
• Requisitos de red
• Requisitos de almacenamiento de la clave de cifrado

Esquema de extensión

Hay dos versiones del esquema de extensión para Azure Disk Encryption (ADE):

• v1.1: esquema recomendado de reciente aparición que no usa las propiedades de Microsoft Entra.
• v0.1: un esquema anterior que requiere propiedades de Microsoft Entra.

Para seleccionar un esquema de destino, la propiedad typeHandlerVersion debe establecerse en la versión del esquema que desee usar.

Esquema v1.1: Sin Microsoft Entra ID (recomendado)

Se recomienda usar el esquema v1.1 y no requiere propiedades de Microsoft Entra.

Nota:

El parámetro DiskFormatQuery está en desuso. Su función se ha reemplazado por la opción EncryptFormatAll en su lugar, que es la manera recomendada de dar formato a los discos de datos en el momento del cifrado.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Esquema v0.1: con Microsoft Entra ID

El esquema 0.1 quiere AADClientID y AADClientSecret o AADClientCertificate.

Usar AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Usar AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Valores de propiedad

Nota: Todos los valores de las propiedades distinguen mayúsculas de minúsculas.

Nombre	Valor / ejemplo	Tipo de datos
apiVersion	2019-07-01	date
publisher	Microsoft.Azure.Security	string
type	AzureDiskEncryptionForLinux	string
typeHandlerVersion	1.1, 0.1	int
(esquema 0.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(esquema 0.1) AADClientSecret	password	string
(esquema 0.1) AADClientCertificate	thumbprint	string
(opcional) (esquema 0.1) Passphrase	password	string
DiskFormatQuery	{"dev_path":"","name":"","file_system":""}	Diccionario de JSON
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	string
(opcional: RSA-OAEP predeterminado) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(opcional) KeyEncryptionKeyURL	url	string
(opcional) KekVaultResourceId	url	string
(opcional) SequenceVersion	UNIQUEIDENTIFIER	string
VolumeType	OS, Data, All	string

Implementación de plantilla

Para obtener un ejemplo de una implementación de plantilla basada en un esquema de la versión 1.1, vea la plantilla de inicio rápido de Azure encrypt-running-linux-vm-without-aad.

Para ver un ejemplo de una implementación de plantilla basada en un esquema de la versión 0.1, consulte la plantilla de inicio rápido de Azure encrypt-running-linux-vm.

Advertencia

• Si ya ha usado Azure Disk Encryption con Microsoft Entra ID para cifrar una VM, debe seguir usando esta opción para cifrar la VM.
• Al cifrar los volúmenes del sistema operativo Linux, la máquina virtual se debe considerar como no disponible. Se recomienda encarecidamente evitar los inicios de sesión de SSH mientras el cifrado está en curso para evitar que se bloqueen los archivos abiertos a los que se debe tener acceso durante el proceso de cifrado. Para comprobar el progreso, use el cmdlet Get-AzVMDiskEncryptionStatus de PowerShell o el comando vm encryption show de la CLI. Este proceso puede tardar unas horas si trabaja con un volumen de sistema operativo de 30 GB; además, deberá tener en cuenta el tiempo necesario para realizar el cifrado de los volúmenes de datos. El tiempo de cifrado del volumen de datos será proporcional al tamaño y la cantidad de los volúmenes de datos; la opción encrypt format all es más rápida que el cifrado local, pero provocará la pérdida de todos los datos en los discos.
• Solo se puede deshabilitar el cifrado en máquinas virtuales Linux para volúmenes de datos. No se admite en volúmenes de datos o volúmenes del sistema operativo si el volumen del sistema operativo se ha cifrado.

Nota

Además, si el parámetro VolumeType está establecido en Todos, los discos de datos se cifrarán solo si están correctamente montados.

Solución de problemas y asistencia

Solución de problemas

Para solucionar el problema, consulte Guía de solución de problemas de Azure Disk Encryption.

Soporte técnico

Si necesita más ayuda con cualquier aspecto de este artículo, puede ponerse en contacto con los expertos de Azure en los foros de MSDN Azure o Stack Overflow.

Como alternativa, puede registrar un incidente de soporte técnico de Azure. Vaya a Soporte técnico de Azure y seleccione Obtener soporte técnico. Para obtener información sobre el uso del soporte técnico de Azure, lea las Preguntas más frecuentes del soporte técnico de Microsoft Azure.

Pasos siguientes

• Para más información acerca de las extensiones de máquina virtual, consulte Características y extensiones de las máquinas virtuales para Linux.
• Para más información sobre Azure Disk Encryption para Linux, vea Máquinas virtuales Linux.