Cifrado de discos en máquinas virtuales Windows en Azure

 En Laboratorios, Microsoft Azure, Tecnología, Windows

La seguridad no solo depende únicamente del proveedor en la nube. Detrás de la administración del entorno debe haber unos recursos humanos con los conocimientos técnicos y funcionales adecuados para evitar fallos en la seguridad de los sistemas. Microsoft Azure ofrece un buen SLA, asegurando el 99.9%, pero puede verse afectado si no implementamos de forma correcta los recursos y la seguridad en nuestra suscripción de Azure.

Uno de los principales motivos por el que Microsoft ofrece un amplio programa de certificaciones es para asegurar que el recursos humano encargado de administrar los recursos de Azure esté preparado para las distintas situaciones que se puedan dar en el entorno y poder enfrantarse a las incidencias que puedan aparecer.

Para una mayor conformidad y protección de los datos, Azure nos permite cifrar los discos de sistema operativo y cifrar discos de datos de las máquinas virtuales Windows.

El cifrado de discos funciona mediante claves criptográficas que se encuentran guardadas, aisladas, protegidas y seguras en Azure Key Vault.

Introducción

Tanto los discos de sistema operativo como los discos de datos de una máquina virtual Windows en Azure se cifran en reposos mediante el programa de cifrado BitLocker. Las claves se almacenan de forma segura en Azure Key Vault y se utilizan para cifrar y descifrar los discos adjuntados a las máquinas virtuales de Azure. Por otro lado, el cifrado de discos en Azure no tiene ningún coste asociado.

  • Cifrado en reposo
  • Mayor conformidad y protección de los datos
  • Tecnología BitLocker
  • Almacén en Azure Key Vault
  • Almacén de claves seguro
  • El cifrado de discos es gratuito

Requisitos y limitaciones sobre las máquinas virtuales

COMPATIBLENO COMPATIBLE
Nuevas máquinas virtuales Windows con imágenes de Azure Marketplace o imágenes de discos personalizadas.Nivel básico de máquinas virtuales Windows
VM Windows existentes en una suscripción de Azure.VM Windows creadas con el modo de implementación clásica de Azure
Máquinas virtuales Windows configuradas mediante Espacios de almacenamiento. 
Desactivar el cifrado en discos de sistemas operativos y discos de datos en máquinas virtuales Windows. 
Serie estándar de máquinas virtuales, como la A, D, DS, G, y GS 

Nota: Todos los recursos creados en Azure tienen que formar parte de la misma suscripción y región para que funcione el cifrado.

Laboratorio

En Inplasoft hemos configurado los siguientes recursos en Azure para realizar este caso de uso. Para el laboratorio, partiremos de la siguiente base:

RECURSONOMBRE
Grupo de recursoGRLab
Máquina virtualVMLab
Disco SO (128 GB)VMLab_OSDisk
Cuenta de almacenamientoGrlabdiag
Interfaz de redVmlab511
Dirección IP públicaVMLab-ip
Grupo de seguridad de redVMLab-nsg
Red virtual

GRLab-vnet

Donde la columna RECURSO contiene los recursos en Azure y la columna NOMBRE identifa al recurso en este laboratorio.

Creación del recurso Azure Key Vault y claves criptográficas para el crifrado

Debemos asegurarnos tener instalada la última versión del módulo de Azure PowerShell.

Lo primero es crear el recurso Azure Key Vault en Azure, el lugar donde se almacenarán las claves criptográficas de forma segura. Azure Key Vault permite la implementación segura de las claves almacenadas en aplicaciones o servicios. Para llevar a cabo el cifrado seguro de los discos de máquinas virtuales Windows en Azure se crea una instancia de Key Vault donde se guardará la clave criptográfica que permitirá cifrar / descifrar el disco.

Habilitamos el proveedor de Azure Key Vault dentro de la suscripción de Azure con el siguiente cmdlet de PowerShell Register-AzResourceProvider.

Hemos establecido en la variable $rgName el nombre GRLab (que es el nombre del grupo de recurso que hemos creado para realizar el laboratorio). En el siguiente ejemplo se puede ver la secuencia de comandos necesarios para habilitar el proveedor de Azure Key Vault:

$rgName = “GRLab”
$location = “West Europe”
Register-AzResourceProvider -ProviderNamespace “Microsoft.KeyVault”

El recurso de Azure Key Vault incluye las claves criptográficas. Los recursos de proceso asociados, el almacenamiento y la propia máquina virtual Windows tienen que encontrarse en la misma región y suscripción, en caso contrario no funcionaría. Creamos una instancia de Azure Key Vault con el siguiente cmdlet New-AzKeyVault y activamos Key Vault para utilizarlo con el cifrado de discos de máquinas virtuales Windows. Especificamos un nombre único al recurso Key Vault para keyVaultName de la siguiente forma:

$keyVaultName = "myKeyVault$(Get-Random)"
New-AzKeyVault -Location $location `
-ResourceGroupName $rgName `
-VaultName $keylabinpla `
-EnabledForDiskEncryption

Guardar las claves de forma segura

Las claves podemos guardarlas de forma segura usando protección de software o de módulo de seguridad de hardware (HSM). Las claves protegidas por software solo se almacenan en una instancia estándar de Key Vault. Por otro lado, para usar el módulo de seguridad de hardware (HSM) es necesario una instancia premium de Key Vault, la cual tiene un coste adicional. Para la creación de una instancia premium de Key Vault debemos agregar al comando del paso anterior el parámetro -Sku “Premium”. En el presente laboratorio hemos creado un almacén de Key Vault estándar, por lo tanto, se usan claves protegidas por software y el cifrado de discos no tiene ningún costo asociado.

Tanto en la protección de software como por módulo de seguridad de hardware (HSM), la plataforma de Azure debe tener acceso y permiso para solicitar las claves criptográficas cuando la máquina virtual Windows arranca y poder descifrar los discos. Creamos una clave criptográfica en la instancia de Key Vault con el siguiente cmdlet Add-AzureKeyVaultKey. En el siguiente ejemplo creamos una clave llamada myKey:

Add-AzKeyVaultKey -VaultName $keyVaultName `
-Name "myKey" `
-Destination "Software"

Pasos para cifrar una máquina virtual Windows en Azure

Ciframos la máquina virtual Windows con el siguiente cmdlet Set-AzVMDiskEncryptionExtension mediante la clave almacenada de forma segura en Azure Key Vault. En el siguiente ejemplo se recupera toda la información de la clave y después se cifra la máquina virtual denominada VMLab:

$keyVault = Get-AzKeyVault -VaultName $keyVaultName -ResourceGroupName $rgName;
$diskEncryptionKeyVaultUrl = $keyVault.VaultUri;
$keyVaultResourceId = $keyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $keyVaultName -Name myKey).Key.kid;
Set-AzVMDiskEncryptionExtension -ResourceGroupName $rgName `
-VMName "VMLab" `
-DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl `
-DiskEncryptionKeyVaultId $keyVaultResourceId `
-KeyEncryptionKeyUrl $keyEncryptionKeyUrl `
-KeyEncryptionKeyVaultId $keyVaultResourceId

Aceptamos el mensaje que nos aparce para continuar con el cifrado seguro de la máquina virtual Windows. Se reiniciará la máquina virtual durante el proceso. Una vez que finalice el proceso de cifrado y se renicie la máquina virtual, podemos revisar el estado del cifrado con el siguiente cmdlet Get-AzVmDiskEncryptionStatus:

Get-AzVmDiskEncryptionStatus  -ResourceGroupName $rgName -VMName "VMLab"
encryption virtual machine windows azure
Entradas Recientes

Leave a Reply

avatar
  Suscribirse  
Notificar a
onedrive for business, archivos a petición, files on demand, nube, cloud, seguridad, versiones anterioresalmacenamiento, storage, máquinas virtuales, cifrado, seguridad, capacidad, iops, gib, discos, premium, ssd, alto rendimiento, capacidad, escalabilidad, hdd

Al continuar utilizando nuestro sitio web, usted acepta el uso de cookies. Más información

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra POLÍTICA DE COOKIES, pinche el enlace para mayor información. Además puede consultar nuestro AVISO LEGAL y nuestra página de POLÍTICA DE PRIVACIDAD.

Cerrar