Use Azure Portal para habilitar el cifrado de un extremo a otro mediante el cifrado en host
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows
Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. Para obtener información conceptual sobre el cifrado en el host y otros tipos de cifrado de disco administrado, consulte la sección Cifrado en el host: cifrado de un extremo a otro de los datos de la máquina virtual.
Los discos temporales y los discos del sistema operativo efímeros se cifran en reposo con claves administradas por el cliente o administradas por la plataforma, en función de lo que seleccione como tipo de cifrado de disco para el disco del sistema operativo. Las cachés del disco de datos y del sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, en función del tipo de cifrado de disco que se seleccione. Por ejemplo, si un disco se cifra con claves administradas por el cliente, la caché del disco se cifra con claves administradas por el cliente, y si un disco se cifra con claves administradas por la plataforma, la caché del disco se cifra con claves administradas por la plataforma.
Restricciones
- Compatible con discos Ultra de tamaño de sector 4k y SSD prémium v2.
- Solo se admite en discos Ultra de tamaño de sector 512e y SSD prémium v2 si se crearon después del 13/5/2023.
- En el caso de los discos creados antes de esta fecha, haga una instantánea de su disco y cree un nuevo disco usando la instantánea.
- No se puede habilitar en máquinas virtuales (VM) ni en conjuntos de escalado de máquinas virtuales que actualmente o nunca tenían habilitado Azure Disk Encryption.
- No se puede habilitar Azure Disk Encryption en discos que tienen habilitado el cifrado en el host.
- El cifrado se puede habilitar en los conjuntos de escalado de máquinas virtuales. Sin embargo, solo se cifrarán automáticamente las nuevas máquinas virtuales creadas después de habilitar el cifrado.
- Las máquinas virtuales existentes se deben desasignar y reasignar para su cifrado.
Tamaños de máquinas virtuales que se admiten
No se admiten los tamaños de máquina virtual heredados. Puede encontrar la lista de tamaños de máquina virtual admitidos mediante el módulo Azure PowerShell o la CLI de Azure.
Requisitos previos
Debe habilitar la característica de la suscripción para poder usar el cifrado en el host para la máquina virtual o el conjunto de escalado de máquinas virtuales. Siga los pasos que se indican a continuación para habilitar la característica para su suscripción:
Portal de Azure: Seleccione el icono de Cloud Shell en Azure Portal:
Ejecute el siguiente comando para registrar la característica para su suscripción
Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
Confirma que el estado de registro sea Registrado (el registro puede tardar unos minutos) mediante el comando siguiente antes de probar la característica.
Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
Implementación de una máquina virtual con claves administradas por la plataforma
Inicie sesión en Azure Portal.
Busque Máquinas virtuales y seleccione +Crear para crear una máquina virtual.
Seleccione una región adecuada y un tamaño de máquina virtual compatible.
Rellene los demás valores del panel Datos básicos y vaya al panel Discos.
En el panel Discos, seleccione Encryption at host (Cifrado en el host).
Realice las selecciones restantes como desee.
Para el resto del proceso de implementación de la máquina virtual, realice las selecciones que se ajusten a su entorno y complete la implementación.
Ha implementado una máquina virtual con el cifrado en el host habilitado y la caché del disco se cifra mediante claves administradas por la plataforma.
Implementación de una máquina virtual con claves administradas por el cliente
Como alternativa, puede usar claves administradas por el cliente para cifrar las cachés de disco.
Creación de un almacén de Azure Key Vault y conjunto de cifrado de disco
Una vez habilitada la característica, debe configurar un almacén de Azure Key Vault y un conjunto de cifrado de disco, si no lo ha hecho aún.
Para configurar claves administradas por el cliente para los discos, es necesario crear recursos en un orden determinado, si lo va a hacer por primera vez. En primer lugar, tendrá que crear y configurar una instancia de Azure Key Vault.
Configuración de Azure Key Vault
Inicie sesión en Azure Portal.
Busque y seleccione Key Vaults.
Importante
El conjunto de cifrado de disco, la VM, los discos y las instantáneas deben estar en la misma región y suscripción para que la implementación se realice correctamente. Las instancias de Azure Key Vault se puede usar desde otra suscripción, pero deben encontrarse en la misma región e inquilino que el conjunto de cifrado de disco.
Seleccione +Crear para crear una instancia de Key Vault.
Cree un nuevo grupo de recursos.
Escriba un nombre de almacén de claves, seleccione una región y seleccione un plan de tarifa.
Nota:
Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección de purgas garantiza que una clave eliminada no se puede eliminar permanentemente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.
Seleccione Revisar y crear, compruebe las opciones y, a continuación, seleccione Crear.
Una vez que el almacén de claves termine de implementarse, selecciónelo.
Selecciona Claves en Objetos.
Seleccione Generar o importar.
Deje Tipo de clave establecido en RSA y Tamaño de la clave RSA establecido en 2048.
Rellene las selecciones restantes como desee y, a continuación, seleccione Crear.
Adición de un rol RBAC de Azure
Ahora que ha creado el almacén de Azure Key Vault y una clave, debe agregar un rol RBAC de Azure para poder usar la instancia de Azure Key Vault con el conjunto de cifrado de disco.
- Seleccione Control de acceso (IAM) y agregue un rol.
- Agregue los roles Administrador de Key Vault, Propietario o Colaborador.
Configuración del conjunto de cifrado de disco
Busque conjuntos de cifrado de disco y seleccione la opción.
En el panel Conjuntos de cifrado de disco, seleccione +Crear.
Seleccione el grupo de recursos, asigne un nombre al conjunto de cifrado y seleccione la misma región que el almacén de claves.
En Tipo de cifrado, seleccione Cifrado en reposo con una clave administrada por el cliente.
Nota
Una vez que cree un conjunto de cifrado de disco con un tipo de cifrado en particular, no se puede cambiar. Si desea usar otro tipo de cifrado, debe crear un nuevo conjunto de cifrado de disco.
Asegúrese de elegir la opción Seleccionar el almacén de claves y la clave de Azure.
Seleccione el almacén de claves y la clave que creó anteriormente, así como la versión.
Si quiere habilitar la rotación automática de claves administradas por el cliente, seleccione Auto key rotation (Rotación automática de claves).
Seleccione Revisar y crear y, a continuación, Crear.
Una vez implementado, vaya al conjunto de cifrado de disco y seleccione la alerta mostrada.
Esto concederá al almacén de claves permisos para el conjunto de cifrado de disco.
Implementación de una máquina virtual
Ahora que ha configurado un almacén de Azure Key Vault y un conjunto de cifrado de disco, puede implementar una máquina virtual y usar el cifrado en el host.
Inicie sesión en Azure Portal.
Busque Máquinas virtuales y seleccione +Agregar para crear una VM.
Cree una máquina virtual nueva, seleccione una región adecuada y un tamaño de máquina virtual compatible.
Rellene los restantes valores del panel Datos básicos y vaya al panel Discos.
En el panel Discos, seleccione Encryption at host (Cifrado en el host).
Seleccione Administración de claves y seleccione una de las claves administradas por el cliente.
Realice las selecciones restantes como desee.
Para el resto del proceso de implementación de la máquina virtual, realice las selecciones que se ajusten a su entorno y complete la implementación.
Ahora ha implementado una máquina virtual con el cifrado en el host habilitado mediante claves administradas por el cliente.
Deshabilitación del cifrado basado en host
Desasigne primero la máquina virtual, ya que el cifrado en el host no se puede deshabilitar a menos que la máquina virtual esté desasignada.
Seleccione Discos y, después, seleccione Configuración adicional.
Seleccione No, en Encryption at host (Cifrado en host) y, después, seleccione Guardar.