Introducción a las opciones de cifrado de discos administrados
Artículo
Hay varios tipos de cifrado disponibles para los discos administrados, como Azure Disk Encryption (ADE), Cifrado del lado servidor (SSE) y cifrado en el host.
El cifrado del lado del servidor de Azure Disk Storage (también conocido como cifrado en reposo o cifrado de Azure Storage) siempre está habilitado y cifra automáticamente los datos almacenados en los discos administrados de Azure (SO y discos de datos) cuando persisten en los clústeres de almacenamiento. Cuando se configura con un conjunto de cifrado de disco (DES), también admite claves administradas por el cliente. No cifra los discos temporales ni las memorias caché de disco. Para obtener más información, consulte Cifrado del lado servidor de Azure Disk Storage.
El cifrado en el host es una opción de máquina virtual que mejora el cifrado del lado del servidor de Azure Disk Storage para garantizar que todos los discos temporales y las cachés de disco se cifren en reposo y fluyen cifrados a los clústeres de almacenamiento. Para más información, consulte Cifrado en el host; cifrado de un extremo a otro de los datos de la máquina virtual.
Azure Disk Encryption ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de su organización. ADE cifra los discos de datos y del sistema operativo de las máquinas virtuales de Azure dentro de ellas mediante la característica DM-Crypt de Linux o BitLocker de Windows. ADE se integra con Azure Key Vault para ayudarle a controlar y administrar las claves y secretos de cifrado de disco, con la opción de cifrar con una clave de cifrado de claves (KEK). Para obtener más información, consulte Azure Disk Encryption para máquinas virtuales Linux o Azure Disk Encryption para máquinas virtuales Windows.
El cifrado de discos confidenciales enlaza las claves de cifrado de disco al TPM de la máquina virtual y hace que el contenido de disco protegido solo esté accesible para la máquina virtual. El estado de invitado de máquina virtual y TPM siempre se cifra en código atestiguado mediante claves publicadas por un protocolo seguro que omite el hipervisor y el sistema operativo host. Actualmente solo está disponible para el disco del sistema operativo; compatibilidad con discos temporales está en versión preliminar. El cifrado en el host se puede usar para otros discos de una máquina virtual confidencial además del cifrado de disco confidencial. Para más información, consulte Máquinas virtuales confidenciales de las series DCasv5 y ECasv5.
Demuestra las aptitudes necesarias para implementar controles de seguridad, mantener una posición de seguridad de la organización e identificar y corregir los puntos vulnerables de seguridad.
Azure Storage protege los datos mediante su cifrado en reposo antes de guardarlos en los clústeres de Storage. Puede usar las claves administradas por el cliente para administrar el cifrado con sus propias claves, o bien puede utilizar las claves administradas por Microsoft para el cifrado de los discos administrados.
En este artículo se proporcionan las instrucciones necesarias para habilitar Microsoft Azure Disk Encryption para máquinas virtuales Windows en varios escenarios