Anuncio del cifrado del lado servidor con claves administradas por el cliente en Azure Managed Disks

Publicado el 2 abril, 2020

Principal Program Manager, Azure Managed Disks

Hoy anunciamos la disponibilidad general del cifrado del lado servidor (SSE) con claves administradas por el cliente (CMK) para Azure Managed Disks. Los clientes de Azure ya se benefician de SSE con claves administradas por la plataforma para instancias de Managed Disks habilitadas de forma predeterminada. SSE con CMK mejora las claves administradas por la plataforma, ya que ofrece el control de las claves de cifrado para satisfacer las necesidades de cumplimiento.

Hoy, los clientes también pueden usar Azure Disk Encryption, que aprovecha la característica BitLocker de Windows y la característica dm-crypt de Linux para cifrar instancias de Managed Disks con CMK dentro de la máquina virtual (VM) invitada. SSE con CMK mejora el cifrado de discos de Azure, ya que permite usar cualquier tipo de sistema operativo e imagen, incluidas imágenes personalizadas, para las máquinas virtuales mediante el cifrado de datos en el servicio Azure Storage.

SSE con CMK se integra con Azure Key Vault, que proporciona un almacenamiento seguro y altamente disponible y escalable para las claves respaldadas por módulos de seguridad de hardware. Puede traer sus propias claves (BYOK) a su Key Vault o generar nuevas claves en Key Vault.

Acerca de la administración de claves

Las instancias de Managed Disks se cifran y descifran de forma transparente con cifrado Estándar de cifrado avanzado (AES) de 256 bits, uno de los cifrados de bloques más sólidos que hay disponibles. El servicio Storage controla el cifrado y descifrado de forma totalmente transparente con cifrado de sobre. Cifra los datos mediante claves de cifrado de datos basadas en AES 256 bits que, a su vez, se protegen con las claves almacenadas en una instancia de Key Vault.

El servicio Storage genera claves de cifrado de datos y las cifra con CMK mediante el cifrado RSA. El cifrado de sobre permite rotar (cambiar) las claves periódicamente según las directivas de cumplimiento sin afectar a las máquinas virtuales. Al rotar las claves, el servicio Storage vuelve a cifrar las claves de cifrado de datos con las nuevas CMK.

Control total de las claves

Tiene el control total de las claves en su Key Vault. Managed Disks usa la identidad administrada asignada por el sistema en Azure Active Directory (Azure AD) para acceder a las claves de Key Vault. Un administrador con los permisos necesarios en Key Vault debe conceder primero acceso a Managed Disks en Key Vault para usar las claves para cifrar y descifrar la clave de cifrado de datos. Puede impedir que Managed Disks acceda a las claves ya sea deshabilitando las claves o revocando los controles de acceso para estas; si lo hace para los discos conectados a las máquinas virtuales en ejecución, se producirá un error en estas. Además, puede realizar un seguimiento del uso de las claves a través de la supervisión de Key Vault para asegurarse de que solo Managed Disks u otros servicios de Azure de confianza están accediendo a ellas.

Disponibilidad de SSE con CMK

SSE con CMK está disponible para Managed Disks de HDD estándar, SSD estándar y SSD Premium que se pueden conectar a Azure Virtual Machines y a VM Scale Sets. La compatibilidad con Almacenamiento en disco Ultra se anunciará por separado. SSE con CMK ahora está habilitado en todas las regiones públicas y de Azure Government y estará disponible en las regiones de Alemania (soberana) y China en cuestión de semanas.

Puede usar Azure Backup para realizar copias de seguridad de las máquinas virtuales con instancias de Managed Disks cifradas con SSE con CMK. Además, puede optar por cifrar los datos de copia de seguridad en los almacenes de Recovery Services con las claves almacenadas en su Key Vault en lugar de usar las claves administradas por la plataforma disponibles de forma predeterminada. Consulte la documentación para obtener más detalles sobre el cifrado de copias de seguridad con CMK.

Puede usar Azure Site Recovery para replicar las máquinas virtuales de Azure que tienen instancias de Managed Disks cifradas con SSE con CMK en otras regiones de Azure para la recuperación ante desastres. También puede replicar sus máquinas virtuales locales en instancias de Managed Disks cifradas con SSE con CMK en Azure. Obtenga más información sobre la replicación de máquinas virtuales mediante instancias de Managed Disks cifradas con SSE con CMK.

Introducción

Para habilitar el cifrado con CMK para Managed Disks, primero debe crear una instancia de un nuevo tipo de recurso denominado DiskEncryptionSet y luego conceder a la instancia acceso a Key Vault. DiskEncryptionSet representa una clave en Key Vault y le permite volver a usar la misma clave para cifrar muchos discos, instantáneas e imágenes con la misma clave.

Echemos un vistazo a un ejemplo de creación de una instancia de DiskEncryptionSet:

1. Cree una instancia de DiskEncryptionSet especificando una clave en su Key Vault.

keyVaultId=$(az keyvault show --name suNombreDeKeyVault --query [id] -o tsv)

keyVaultKeyUrl=$(az keyvault key show --vault-name suNombreDeKeyVault --name suNombreDeClave --query [key.kid] -o tsv)

az disk-encryption-set create -n suNombreDeConjuntoDeCifradoDeDisco -l WestCentralUS -g suNombreDeGrupoDeRecursos --source-vault $keyVaultId --key-url $keyVaultKeyUrl

2. Conceda a la instancia acceso a Key Vault. Al crear la instancia, el sistema crea automáticamente una identidad administrada asignada por el sistema en Azure AD y asocia dicha identidad a la instancia. La identidad debe tener acceso a Key Vault para realizar las operaciones necesarias, como wrapkey, unwrapkey y get.

desIdentity=$(az disk-encryption-set show -n suNombreDeConjuntoDeCifradoDeDisco -g suNombreDeGrupoDeRecursos --query [identity.principalId] -o tsv)

az keyvault set-policy -n suNombreDeKeyVault -g suNombreDeGrupoDeRecursos --object-id $desIdentity --key-permissions wrapkey unwrapkey get

az role assignment create --assignee $desIdentity --role Reader --scope $keyVaultId

Está listo para habilitar el cifrado de discos, instantáneas e imágenes asociándolos a la instancia de DiskEncryptionSet. No hay ninguna restricción en el número de recursos que se pueden asociar al mismo DiskEncryptionSet.

Echemos un vistazo a un ejemplo de cómo realizar la habilitación para un disco existente:

1. Para habilitar el cifrado de los discos conectados a una máquina virtual, debe detener (desasignar) dicha máquina.

az vm stop --resource-group MiGrupoDeRecursos --name MyVm

2. Habilite el cifrado para un disco conectado asociándolo a la instancia de DiskEncryptionSet.

diskEncryptionSetId=$(az disk-encryption-set show -n suNombreDeConjuntoDeCifradoDeDisco -g suNombreDeGrupoDeRecursos --query [id] -o tsv)

az disk update -n suNombreDeConjuntoDeCifradoDeDisco -g suNombreDeGrupoDeRecursos --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId

3. Inicie al máquina virtual.

az vm start -g MiGrupoDeRecursos -n MyVm

Consulte la documentación de Managed Disks para obtener instrucciones detalladas sobre cómo habilitar el cifrado del lado servidor con CMK para Managed Disks.

Envíenos sus comentarios

Esperamos sus comentarios sobre SSE con CMK. Envíenos un correo electrónico aquí