En este artículo se ofrecen respuestas a las preguntas más frecuentes sobre Azure Disk Encryption para máquinas virtuales Windows. Para más información sobre este servicio, consulte Introducción a Azure Disk Encryption.
¿Qué es Azure Disk Encryption para VM Windows?
Azure Disk Encryption para máquinas virtuales Windows usa la característica BitLocker de Windows para proporcionar el cifrado de disco completo tanto del disco del sistema operativo como de los discos de datos. Además, proporciona cifrado del disco temporal cuando el parámetro VolumeType es All. Los flujos de contenido se cifran desde la VM hasta el back-end de almacenamiento. Por lo tanto, se proporciona el cifrado de un extremo a otro con una clave administrada por el cliente.
Consulte VM y sistemas operativos compatibles.
¿Dónde está Azure Disk Encryption en la disponibilidad general (GA)?
Azure Disk Encryption tiene disponibilidad general en todas las regiones públicas de Azure.
¿Qué experiencias del usuario están disponibles con Azure Disk Encryption?
La disponibilidad general de Azure Disk Encryption admite plantillas de Azure Resource Manager, Azure PowerShell y CLI de Azure. La diferentes experiencias de usuario le proporcionan flexibilidad. Dispone de tres opciones distintas para habilitar el cifrado de discos para las máquinas virtuales. Para más información sobre la experiencia del usuario e instrucciones paso a paso disponibles en Azure Disk Encryption, consulte Escenarios de Azure Disk Encryption para Windows.
¿Cuánto cuesta Azure Disk Encryption?
El cifrado de discos de máquinas virtuales con Azure Disk Encryption es gratuito, pero hay cargos asociados al uso de Azure Key Vault. Para más información acerca de los costos de Azure Key Vault, consulte la página de precios de Key Vault.
¿Cómo puedo empezar a usar Azure Disk Encryption?
Para empezar, lea la información general sobre Azure Disk Encryption.
¿Qué tamaños de máquina virtual y sistemas operativos admiten Azure Disk Encryption?
En el artículo Introducción a Azure Disk Encryption se enumeran los tamaños de máquina virtual y los sistemas operativos de máquina virtual compatibles con Azure Disk Encryption.
¿Puedo cifrar los volúmenes de datos y arranque con Azure Disk Encryption?
Puede cifrar tanto el volumen de arranque como el de datos, pero no puede cifrar el de datos sin cifrar antes el del sistema operativo.
¿Puedo cifrar un volumen desmontado con Azure Disk Encryption?
No. Azure Disk Encryption solo cifra volúmenes montados.
¿Qué es el cifrado del lado servidor de almacenamiento?
El cifrado del lado servidor de almacenamiento cifra Azure Managed Disks en Azure Storage. Los discos administrados se cifran de manera predeterminada con el cifrado del lado servidor con una clave administrada por la plataforma (desde el 10 de junio de 2017). Puede administrar el cifrado de discos administrados con sus propias claves mediante la especificación de una clave administrada por el cliente. Para obtener más información, consulte Cifrado del lado servidor de Azure Managed Disks.
¿Cuál es diferencia entre Azure Disk Encryption y el cifrado del lado servidor de almacenamiento con la clave administrada por el cliente y cuándo debo usar cada solución?
Azure Disk Encryption proporciona cifrado de un extremo a otro para el disco del sistema operativo, los discos de datos y el disco temporal con una clave administrada por el cliente.
- Si los requisitos incluyen el cifrado de todos los elementos anteriores y el cifrado de un extremo a otro, use Azure Disk Encryption.
- Si los requisitos incluyen el cifrado solo de datos en reposo con la clave administrada por el cliente, use el cifrado del lado servidor con las claves administradas por el cliente. No se puede cifrar un disco con Azure Disk Encryption y el cifrado del lado servidor de almacenamiento con claves administradas por el cliente.
- Si usa un escenario que se ha mencionado en Restricciones, considere la posibilidad de usar el cifrado del lado servidor con las claves administradas por el cliente.
- Si la directiva de la organización permite cifrar contenido en reposo con una clave administrada por Azure, no es necesario realizar ninguna acción: el contenido se cifra de manera predeterminada. En el caso de los discos administrados, el contenido del almacenamiento se cifra de manera predeterminada con el cifrado del lado servidor con una clave administrada por la plataforma. El servicio de Azure Storage administra la clave.
¿Cómo se pueden rotar los secretos o las claves de cifrado?
Para rotar los secretos, simplemente llame al mismo comando que usó originalmente para habilitar el cifrado de disco y especifique un almacén de claves diferente. Para rotar la clave de cifrado de claves, llame al mismo comando que usó originalmente para habilitar el cifrado de disco y especifique el cifrado de claves nuevo.
Advertencia
- Si usó anteriormente Azure Disk Encryption con la aplicación Microsoft Entra especificando las credenciales de Microsoft Entra para cifrar esta máquina virtual, debe seguir usando esta opción. El uso de Azure Disk Encryption sin Microsoft Entra ID en una máquina virtual que se ha cifrado mediante Azure Disk Encryption con Microsoft Entra ID aún no es un escenario admitido.
¿Cómo se agrega o quita una clave de cifrado de claves (KEK) si originalmente no se ha utilizado una?
Para agregar una clave de cifrado de clave, llame al comando enable otra vez y pase el parámetro de clave de cifrado de clave. Para quitar una clave de cifrado de clave, llame al comando enable otra vez y pase el parámetro de clave de cifrado de clave.
¿Qué tamaño debo usar para mi clave de cifrado de claves (KEK)?
Windows Server 2022 y Windows 11 incluyen una versión más reciente de BitLocker y actualmente no funcionan con claves de cifrado de claves RSA de 2048 bits. Hasta que esto se resuelva, use una clave RSA de 3072 o 4096 bits, como se describe en Sistemas operativos compatibles.
Para versiones anteriores de Windows, puede usar claves de cifrado de claves RSA de 2048 bits.
¿Permite Azure Disk Encryption habilitar la funcionalidad "traiga su propia clave" (BYOK)?
Sí, puede proporcionar sus propias claves de cifrado de claves. Dichas claves están protegidas en Azure Key Vault, que es el almacén de claves de Azure Disk Encryption. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Puedo usar una clave de cifrado de claves creada en Azure?
Sí, puede usar Azure Key Vault para generar la clave de cifrado de claves para usar en Azure Disk Encryption. Dichas claves están protegidas en Azure Key Vault, que es el almacén de claves de Azure Disk Encryption. Para más información sobre la clave de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Puedo usar el servicio de administración de claves local o HSM para proteger las claves de cifrado?
No puede utilizar el servicio de administración de claves local ni HSM para proteger las claves de cifrado con Azure Disk Encryption. Para proteger las claves de cifrado, solo se puede utilizar el servicio Azure Key Vault. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Cuáles son los requisitos previos para configurar Azure Disk Encryption?
Hay requisitos previos para Azure Disk Encryption. Consulte el artículo Creación y configuración de un almacén de claves para Azure Disk Encryption para crear un almacén de claves o configurar un almacén de claves existente para el acceso al cifrado de discos para habilitar el cifrado y proteger los secretos y las claves. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption.
¿Cuáles son los requisitos previos para configurar Azure Disk Encryption con una aplicación de Microsoft Entra (versión anterior)?
Hay requisitos previos para Azure Disk Encryption. Consulte el contenido de Azure Disk Encryption con Microsoft Entra ID para crear una aplicación de Microsoft Entra, crear un almacén de claves o configurar el existente para el acceso al cifrado de disco y habilitar el cifrado y proteger los secretos y las claves. Para más información sobre los escenarios de compatibilidad de las claves de cifrado de claves, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID.
¿Sigue siendo compatible Azure Disk Encryption con una aplicación de Microsoft Entra (versión anterior)?
Sí. Todavía se admite el cifrado de disco mediante una aplicación de Microsoft Entra. Sin embargo, al cifrar nuevas máquinas virtuales, se recomienda utilizar el nuevo método en lugar de cifrar con una aplicación de Microsoft Entra.
¿Puedo migrar máquinas virtuales cifradas con una aplicación de Microsoft Entra al cifrado sin una aplicación de Microsoft Entra?
En la actualidad, no existe una ruta de migración directa para los equipos que se cifraron con una aplicación de Microsoft Entra al cifrado sin una aplicación de Microsoft Entra. Además, tampoco hay una ruta directa desde el cifrado sin una aplicación Microsoft Entra al cifrado con una aplicación de AD.
¿Qué versión de Azure PowerShell es compatible con Azure Disk Encryption?
Utilice la versión más reciente del SDK de Azure PowerShell para configurar Azure Disk Encryption. Descargue la versión más reciente de Azure PowerShell. La versión 1.1.0 del SDK de Azure no admite Azure Disk Encryption.
¿Qué es el disco "volumen Bek" o "/mnt/azure_bek_disk"?
El "volumen Bek" es un volumen de datos locales que almacena de forma segura las claves de cifrado de las máquinas virtuales cifradas de Azure.
Nota
No elimine ni modifique ningún contenido de este disco. No desmonte el disco, ya que la presencia de la clave de cifrado es necesaria para las operaciones de cifrado en la máquina virtual IaaS.
¿Qué método de cifrado usa Azure Disk Encryption?
Azure Disk Encryption selecciona el método de cifrado de BitLocker en función de la versión de Windows, tal como se indica a continuación:
| Versiones de Windows | Versión | Método de cifrado |
|---|---|---|
| Windows Server 2012, Windows 10 o superior | >=1511 | XTS-AES de 256 bits |
| Windows Server 2012, Windows 8, 8.1 o 10 | < 1511 | AES de 256 bits * |
| Windows Server 2008R2 | AES de 256 bits con difusor |
* AES de 256 bits con difusor no se admite en Windows 2012 y versiones posteriores.
Para determinar la versión del sistema operativo Windows, ejecute la herramienta "winver" en la máquina virtual.
¿Puedo realizar una copia de seguridad y restauración de una máquina virtual cifrada?
Azure Backup proporciona un mecanismo para la copia de seguridad y restauración de VM cifradas dentro de la misma suscripción y región. Para obtener instrucciones, consulte Copia de seguridad y restauración de máquinas virtuales cifradas con Azure Backup. Actualmente, no se admite la restauración de una VM cifrada en una región diferente.
¿Dónde puedo formular preguntas o enviar comentarios?
Puede realizar preguntas o publicar comentarios en la página de preguntas y respuestas de Microsoft sobre Azure Disk Encryption.
Pasos siguientes
En este documento, aprendió más acerca de las preguntas más frecuentes sobre Azure Disk Encryption. Para obtener más información acerca de este servicio, vea los siguientes artículos: