Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLocker
En este artículo se describe el procedimiento para proteger los volúmenes compartidos de clúster (CSV) y las redes de área de almacenamiento (SAN) con BitLocker.
BitLocker protege tanto los recursos de disco físico como los volúmenes compartidos de clúster versión 2.0 (CSV2.0). BitLocker en volúmenes agrupados proporciona una capa adicional de protección que se puede usar para proteger los datos confidenciales y de alta disponibilidad. Los administradores usan esta capa adicional de protección para aumentar la seguridad de los recursos. Solo determinadas cuentas de usuario proporcionaron acceso para desbloquear el volumen de BitLocker.
Configuración de BitLocker en volúmenes compartidos de clúster
Los volúmenes dentro de un clúster se administran con la ayuda de BitLocker en función de cómo el servicio de clúster ve el volumen que se va a proteger. El volumen puede ser un recurso de disco físico, como un número de unidad lógica (LUN) en una SAN o un almacenamiento conectado a la red (NAS).
Importante
Los SAN que se usan con BitLocker deben haber obtenido la certificación de hardware de Windows. Para obtener más información, consulte Kit de laboratorio de hardware de Windows.
Los volúmenes designados para un clúster deben realizar las siguientes tareas:
- activar BitLocker: solo después de realizar esta tarea, los volúmenes se pueden agregar al grupo de almacenamiento.
- debe poner el recurso en modo de mantenimiento antes de que se completen las operaciones de BitLocker.
Windows PowerShell o la manage-bde.exe
herramienta de línea de comandos es el método preferido para administrar BitLocker en volúmenes CSV2.0. Este método se recomienda sobre el elemento de Panel de control de BitLocker porque los volúmenes CSV2.0 son puntos de montaje. Los puntos de montaje son un objeto NTFS que se usa para proporcionar un punto de entrada a otros volúmenes. Los puntos de montaje no requieren el uso de una letra de unidad. Los volúmenes que carecen de letras de unidad no aparecen en el elemento Panel de control de BitLocker. Además, la nueva opción de protector basada en Active Directory necesaria para los recursos de disco del clúster o csv2.0 no está disponible en el elemento Panel de control.
Nota
Los puntos de montaje se pueden usar para admitir puntos de montaje remotos en recursos compartidos de red basados en SMB. Este tipo de recurso compartido no se admite para el cifrado de BitLocker.
Si hay un almacenamiento ligeramente aprovisionado, como un disco duro virtual (VHD) dinámico, BitLocker se ejecuta en el modo de cifrado Solo espacio en disco usado . El manage-bde.exe -WipeFreeSpace
comando no se puede usar para realizar la transición del volumen al cifrado de volumen completo en volúmenes de almacenamiento aprovisionados de forma fina. El uso del manage-bde.exe -WipeFreeSpace
comando se bloquea para evitar la expansión de volúmenes de aprovisionamiento fino para ocupar todo el almacén de respaldo mientras se limpia el espacio desocupado (libre).
Protector basado en Active Directory
También se puede usar un protector de Servicios de dominio de Active Directory (AD DS) para proteger los volúmenes agrupados contenidos en la infraestructura de AD DS. El protector ADAccountOrGroup es un protector basado en identificador de seguridad de dominio (SID) que se puede enlazar a una cuenta de usuario, una cuenta de equipo o un grupo. Cuando se realiza una solicitud de desbloqueo para un volumen protegido, se producen los siguientes eventos:
El servicio BitLocker interrumpe la solicitud y usa las API de protección o desprotección de BitLocker para desbloquear o denegar la solicitud.
BitLocker desbloqueará volúmenes protegidos sin intervención del usuario al intentar protegerlos en el orden siguiente:
Borrar clave
Clave de desbloqueo automático basada en controladores
Protector ADAccountOrGroup
a. Protector de contexto de servicio
b. Protector de usuario
Clave de desbloqueo automático basada en el Registro
Nota
Se requiere un controlador de dominio Windows Server 2012 o posterior para que esta característica funcione correctamente.
Activar BitLocker antes de agregar discos a un clúster mediante Windows PowerShell
El cifrado de BitLocker está disponible para los discos antes de agregarlos a un grupo de almacenamiento de clúster.
Nota
La ventaja del cifrado de BitLocker incluso se puede poner a disposición de los discos después de que se agreguen a un grupo de almacenamiento de clúster. La ventaja de cifrar los volúmenes antes de agregarlos a un clúster es que no es necesario suspender el recurso de disco para completar la operación. Para activar BitLocker para un disco antes de agregarlo a un clúster:
Instale la característica Cifrado de unidad BitLocker si aún no está instalada.
Asegúrese de que el disco tiene un formato NTFS y que tiene una letra de unidad asignada.
Identifique el nombre del clúster con Windows PowerShell.
Get-Cluster
Habilite BitLocker en un volumen con un protector ADAccountOrGroup mediante el nombre del clúster. Por ejemplo, use un comando como:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Advertencia
Un protector ADAccountOrGroup debe configurarse mediante el CNO del clúster para que un volumen habilitado para BitLocker se comparta en un volumen compartido de clúster o para conmutar por error correctamente en un clúster de conmutación por error tradicional.
Repita los pasos anteriores para cada disco del clúster.
Agregue los volúmenes al clúster.
Activar BitLocker para un disco en clúster mediante Windows PowerShell
Cuando el servicio de clúster ya posee un recurso de disco, el recurso de disco debe establecerse en modo de mantenimiento para poder habilitar BitLocker. Para activar BitLocker para un disco en clúster mediante Windows PowerShell, realice los pasos siguientes:
Instale la característica de cifrado de unidad BitLocker si aún no está instalada.
Compruebe el estado del disco del clúster mediante Windows PowerShell.
Get-ClusterResource "Cluster Disk 1"
Coloque el recurso de disco físico en modo de mantenimiento mediante Windows PowerShell.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
Identifique el nombre del clúster con Windows PowerShell.
Get-Cluster
Habilite BitLocker en un volumen con un protector ADAccountOrGroup con el nombre del clúster. Por ejemplo, use un comando como:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Advertencia
Un protector ADAccountOrGroup debe configurarse mediante el CNO del clúster para que un volumen habilitado para BitLocker se comparta en un volumen compartido de clúster o para conmutar por error correctamente en un clúster de conmutación por error tradicional.
Use Resume-ClusterResource para recuperar el recurso de disco físico fuera del modo de mantenimiento:
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
Repita los pasos anteriores para cada disco del clúster.
Adición de volúmenes cifrados con BitLocker a un clúster mediante manage-bde.exe
Manage-bde.exe
también se puede usar para habilitar BitLocker en volúmenes agrupados. Los pasos necesarios para agregar un recurso de disco físico o un volumen CSV2.0 a un clúster existente son:
Compruebe que la característica de cifrado de unidad BitLocker está instalada en el equipo.
Asegúrese de que el nuevo almacenamiento tiene el formato NTFS.
Cifre el volumen, agregue una clave de recuperación y agregue el administrador del clúster como clave protector mediante
manage-bde.exe
en una ventana del símbolo del sistema. Por ejemplo:manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
- BitLocker comprobará si el disco ya forma parte de un clúster. Si es así, los administradores encontrarán un bloque duro. De lo contrario, el cifrado continúa.
- El uso del parámetro -sync es opcional. Sin embargo, el uso del parámetro -sync tiene la ventaja de garantizar que el comando espera hasta que se complete el cifrado del volumen. A continuación, el volumen se libera para su uso en el grupo de almacenamiento del clúster.
Abra el complemento Administrador de clústeres de conmutación por error o los cmdlets de PowerShell de clúster para permitir que el disco se en clúster.
- Una vez que el disco está agrupado, está habilitado para CSV.
Durante la operación en línea del recurso, el clúster comprueba si el disco está cifrado con BitLocker.
- Si el volumen no está habilitado para BitLocker, se producen operaciones en línea de clúster tradicionales.
- Si el volumen está habilitado para BitLocker, BitLocker comprueba si el volumen está bloqueado. Si el volumen está bloqueado, BitLocker suplanta el CNO y desbloquea el volumen mediante el protector de CNO. Si se produce un error en estas acciones de BitLocker, se registra un evento. El evento registrado indicará que el volumen no se pudo desbloquear y que se produjo un error en la operación en línea.
Una vez que el disco está en línea en el grupo de almacenamiento, se puede agregar a un CSV haciendo clic con el botón derecho en el recurso de disco y eligiendo "Agregar a volúmenes compartidos de clúster".
Los CSV incluyen volúmenes cifrados y sin cifrar. Para comprobar el estado de un volumen determinado para el cifrado de BitLocker, ejecute el manage-bde.exe -status
comando como administrador con una ruta de acceso al volumen. La ruta de acceso debe ser una que esté dentro del espacio de nombres CSV. Por ejemplo:
manage-bde.exe -status "C:\ClusterStorage\volume1"
Recursos de disco físico
A diferencia de los volúmenes CSV2.0, solo se puede acceder a los recursos de disco físico mediante un nodo de clúster a la vez. Esta condición significa que las operaciones como cifrar, descifrar, bloquear o desbloquear volúmenes requieren un contexto para realizar. Por ejemplo, un recurso de disco físico no puede desbloquear ni descifrar si no está administrando el nodo de clúster que posee el recurso de disco porque el recurso de disco no está disponible.
Restricciones en las acciones de BitLocker con volúmenes de clúster
La tabla siguiente contiene información sobre los recursos de disco físico (es decir, los volúmenes de clúster de conmutación por error tradicionales) y los volúmenes compartidos de clúster (CSV) y las acciones permitidas por BitLocker en cada situación.
Acción | En el nodo propietario del volumen de conmutación por error | En el servidor de metadatos (MDS) de CSV | En (Data Server) DS de CSV | Modo de mantenimiento |
---|---|---|---|---|
Manage-bde.exe -on |
Bloqueado | Bloqueado | Bloqueado | Se permite |
Manage-bde.exe -off |
Bloqueado | Bloqueado | Bloqueado | Se permite |
Manage-bde.exe Pause/Resume |
Bloqueado | Bloqueado** | Bloqueado | Se permite |
Manage-bde.exe -lock |
Bloqueado | Bloqueado | Bloqueado | Se permite |
Manage-bde.exe -wipe |
Bloqueado | Bloqueado | Bloqueado | Se permite |
Desbloquear | Automático a través del servicio de clúster | Automático a través del servicio de clúster | Automático a través del servicio de clúster | Se permite |
Manage-bde.exe -protector -add |
Se permite | Se permite | Bloqueado | Se permite |
Manage-bde.exe -protector -delete |
Se permite | Se permite | Bloqueado | Se permite |
Manage-bde.exe -autounlock |
Permitido (no recomendado) | Permitido (no recomendado) | Bloqueado | Permitido (no recomendado) |
Manage-bde.exe -upgrade |
Se permite | Se permite | Bloqueado | Se permite |
Encogimiento | Se permite | Se permite | Bloqueado | Se permite |
Ampliar | Se permite | Se permite | Bloqueado | Se permite |
Nota
Aunque el manage-bde.exe -pause
comando está bloqueado en clústeres, el servicio de clúster reanuda automáticamente un cifrado o descifrado en pausa desde el nodo MDS.
En el caso de que un recurso de disco físico experimenta un evento de conmutación por error durante la conversión, el nuevo nodo propietario detecta que la conversión no está completa y completa el proceso de conversión.
Otras consideraciones al usar BitLocker en CSV2.0
Entre otras consideraciones que se deben tener en cuenta para BitLocker en el almacenamiento en clúster se incluyen:
- Los volúmenes de BitLocker deben inicializarse e iniciar el cifrado antes de que estén disponibles para agregarlos a un volumen CSV2.0.
- Si un administrador necesita descifrar un volumen CSV, quite el volumen del clúster o colóquelo en modo de mantenimiento de disco. El archivo CSV se puede volver a agregar al clúster mientras espera a que se complete el descifrado.
- Si un administrador necesita empezar a cifrar un volumen CSV, quite el volumen del clúster o colóquelo en modo de mantenimiento.
- Si la conversión está en pausa con el cifrado en curso y el volumen CSV está sin conexión desde el clúster, el subproceso del clúster (comprobación de estado) reanuda automáticamente la conversión cuando el volumen está en línea en el clúster.
- Si la conversión está en pausa con cifrado en curso y un volumen de recursos de disco físico está sin conexión desde el clúster, el controlador de BitLocker reanuda automáticamente la conversión cuando el volumen está en línea en el clúster.
- Si la conversión está en pausa con el cifrado en curso, mientras el volumen CSV está en modo de mantenimiento, el subproceso del clúster (comprobación de estado) reanuda automáticamente la conversión al volver a mover el volumen del mantenimiento.
- Si la conversión está en pausa con cifrado en curso, mientras el volumen de recursos de disco está en modo de mantenimiento, el controlador de BitLocker reanuda automáticamente la conversión cuando el volumen se mueve de nuevo del modo de mantenimiento.