Use Azure Portal para habilitar el cifrado de un extremo a otro mediante el cifrado en host

  • Artículo

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows

Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. Para obtener información conceptual sobre el cifrado en el host y otros tipos de cifrado de disco administrado, consulte la sección Cifrado en el host: cifrado de un extremo a otro de los datos de la máquina virtual.

Los discos temporales y los discos de SO efímeros se cifran en reposo con claves administradas por la plataforma al habilitar el cifrado de un extremo a otro. Las cachés del disco de datos y del sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, en función del tipo de cifrado de disco que se seleccione. Por ejemplo, si un disco se cifra con claves administradas por el cliente, la caché del disco se cifra con claves administradas por el cliente, y si un disco se cifra con claves administradas por la plataforma, la caché del disco se cifra con claves administradas por la plataforma.

Restricciones

  • Compatible con discos Ultra de tamaño de sector 4k y SSD prémium v2.
  • Solo se admite en discos Ultra de tamaño de sector 512e y SSD prémium v2 si se crearon después del 13/5/2023.
  • No se puede habilitar en máquinas virtuales (VM) ni en conjuntos de escalado de máquinas virtuales que actualmente o nunca tenían habilitado Azure Disk Encryption.
  • No se puede habilitar Azure Disk Encryption en discos que tienen habilitado el cifrado en el host.
  • El cifrado se puede habilitar en los conjuntos de escalado de máquinas virtuales. Sin embargo, solo se cifrarán automáticamente las nuevas máquinas virtuales creadas después de habilitar el cifrado.
  • Las máquinas virtuales existentes se deben desasignar y reasignar para su cifrado.

Disponibilidad regional

El cifrado en el host está disponible en todas las regiones para todos los tipos de disco.

Tamaños de máquinas virtuales que se admiten

No se admiten los tamaños de máquina virtual heredados. Puede encontrar la lista de tamaños de máquina virtual admitidos mediante el módulo Azure PowerShell o la CLI de Azure.

Requisitos previos

Debe habilitar la característica de la suscripción para poder usar el cifrado en el host para la máquina virtual o el conjunto de escalado de máquinas virtuales. Siga los pasos que se indican a continuación para habilitar la característica para su suscripción:

  1. Portal de Azure: Seleccione el icono de Cloud Shell en Azure Portal:

    Captura de pantalla del icono para iniciar Cloud Shell desde Azure Portal.

  2. Ejecute el siguiente comando para registrar la característica para su suscripción

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Confirma que el estado de registro sea Registrado (el registro puede tardar unos minutos) mediante el comando siguiente antes de probar la característica.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Implementación de una máquina virtual con claves administradas por la plataforma

  1. Inicie sesión en Azure Portal.

  2. Busque Máquinas virtuales y seleccione +Crear para crear una máquina virtual.

  3. Seleccione una región adecuada y un tamaño de máquina virtual compatible.

  4. Rellene los demás valores del panel Datos básicos y vaya al panel Discos.

    Captura de pantalla del panel Datos básicos de creación de la máquina virtual, en la que se resaltan los campos Región y Tamaño de la máquina virtual.

  5. En el panel Discos, seleccione Encryption at host (Cifrado en el host).

  6. Realice las selecciones restantes como desee.

    Captura de pantalla del panel Discos de la creación de máquinas virtuales en la que se resalta el cifrado en el host.

  7. Para el resto del proceso de implementación de la máquina virtual, realice las selecciones que se ajusten a su entorno y complete la implementación.

Ha implementado una máquina virtual con el cifrado en el host habilitado y la caché del disco se cifra mediante claves administradas por la plataforma.

Implementación de una máquina virtual con claves administradas por el cliente

Como alternativa, puede usar claves administradas por el cliente para cifrar las cachés de disco.

Creación de un almacén de Azure Key Vault y conjunto de cifrado de disco

Una vez habilitada la característica, debe configurar un almacén de Azure Key Vault y un conjunto de cifrado de disco, si no lo ha hecho aún.

Para configurar claves administradas por el cliente para los discos, es necesario crear recursos en un orden determinado, si lo va a hacer por primera vez. En primer lugar, tendrá que crear y configurar una instancia de Azure Key Vault.

Configuración de Azure Key Vault

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Key Vaults.

    Captura de pantalla de Azure Portal con el cuadro de diálogo de búsqueda expandido.

    Importante

    El conjunto de cifrado de disco, la VM, los discos y las instantáneas deben estar en la misma región y suscripción para que la implementación se realice correctamente. Las instancias de Azure Key Vault se puede usar desde otra suscripción, pero deben encontrarse en la misma región e inquilino que el conjunto de cifrado de disco.

  3. Seleccione +Crear para crear una instancia de Key Vault.

  4. Cree un nuevo grupo de recursos.

  5. Escriba un nombre de almacén de claves, seleccione una región y seleccione un plan de tarifa.

    Nota:

    Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección de purgas garantiza que una clave eliminada no se puede eliminar permanentemente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.

  6. Seleccione Revisar y crear, compruebe las opciones y, a continuación, seleccione Crear.

    Captura de pantalla de la experiencia de creación de Azure Key Vault, que muestra los valores concretos que ha creado.

  7. Una vez que el almacén de claves termine de implementarse, selecciónelo.

  8. Selecciona Claves en Objetos.

  9. Seleccione Generar o importar.

    Captura de pantalla del panel de configuración de recursos de Key Vault, que muestra el botón Generar o importar dentro de la configuración.

  10. Deje Tipo de clave establecido en RSA y Tamaño de la clave RSA establecido en 2048.

  11. Rellene las selecciones restantes como desee y, a continuación, seleccione Crear.

    Captura de pantalla del panel

Adición de un rol RBAC de Azure

Ahora que ha creado el almacén de Azure Key Vault y una clave, debe agregar un rol RBAC de Azure para poder usar la instancia de Azure Key Vault con el conjunto de cifrado de disco.

  1. Seleccione Control de acceso (IAM) y agregue un rol.
  2. Agregue los roles Administrador de Key Vault, Propietario o Colaborador.

Configuración del conjunto de cifrado de disco

  1. Busque conjuntos de cifrado de disco y seleccione la opción.

  2. En el panel Conjuntos de cifrado de disco, seleccione +Crear.

  3. Seleccione el grupo de recursos, asigne un nombre al conjunto de cifrado y seleccione la misma región que el almacén de claves.

  4. En Tipo de cifrado, seleccione Cifrado en reposo con una clave administrada por el cliente.

    Nota

    Una vez que cree un conjunto de cifrado de disco con un tipo de cifrado en particular, no se puede cambiar. Si desea usar otro tipo de cifrado, debe crear un nuevo conjunto de cifrado de disco.

  5. Asegúrese de elegir la opción Seleccionar el almacén de claves y la clave de Azure.

  6. Seleccione el almacén de claves y la clave que creó anteriormente, así como la versión.

  7. Si quiere habilitar la rotación automática de claves administradas por el cliente, seleccione Auto key rotation (Rotación automática de claves).

  8. Seleccione Revisar y crear y, a continuación, Crear.

    Captura de pantalla del panel de creación de cifrado de disco. Muestra la suscripción, el grupo de recursos, el nombre del conjunto de cifrado de disco, la región y el selector de claves y de almacenes de claves.

  9. Una vez implementado, vaya al conjunto de cifrado de disco y seleccione la alerta mostrada.

    Captura de pantalla del usuario seleccionando la alerta

  10. Esto concederá al almacén de claves permisos para el conjunto de cifrado de disco.

    Captura de pantalla de confirmación de que se han concedido permisos.

Implementación de una máquina virtual

Ahora que ha configurado un almacén de Azure Key Vault y un conjunto de cifrado de disco, puede implementar una máquina virtual y usar el cifrado en el host.

  1. Inicie sesión en Azure Portal.

  2. Busque Máquinas virtuales y seleccione +Agregar para crear una VM.

  3. Cree una máquina virtual nueva, seleccione una región adecuada y un tamaño de máquina virtual compatible.

  4. Rellene los restantes valores del panel Datos básicos y vaya al panel Discos.

    Captura de pantalla del panel Datos básicos de creación de la máquina virtual, en la que se resaltan los campos Región y Tamaño de la máquina virtual.

  5. En el panel Discos, seleccione Encryption at host (Cifrado en el host).

  6. Seleccione Administración de claves y seleccione una de las claves administradas por el cliente.

  7. Realice las selecciones restantes como desee.

    Captura de pantalla del panel Discos de la creación de la máquina virtual en el que está resaltada la opción Encryption at host (Cifrado en host) y están seleccionadas las claves administradas por el cliente.

  8. Para el resto del proceso de implementación de la máquina virtual, realice las selecciones que se ajusten a su entorno y complete la implementación.

Ahora ha implementado una máquina virtual con el cifrado en el host habilitado mediante claves administradas por el cliente.

Deshabilitación del cifrado basado en host

Desasigne primero la máquina virtual, ya que el cifrado en el host no se puede deshabilitar a menos que la máquina virtual esté desasignada.

  1. Seleccione Discos y, después, seleccione Configuración adicional.

    Captura de pantalla del panel Discos en una máquina virtual en la que está resaltada la opción Configuración adicional.

  2. Seleccione No, en Encryption at host (Cifrado en host) y, después, seleccione Guardar.

Pasos siguientes

Ejemplos de plantillas de Azure Resource Manager