Cómo funciona Azure Disk Encryption
Qué es Azure Disk Encryption
Azure Disk Encryption nos permite encriptar los datos de nuestras máquinas virtuales tanto del disco de sistema operativo como los discos de datos adicionales que tenga la máquina virtual.
¿Porqué encriptar los discos de la máquina virtual si Azure los cifra automáticamente mediante SSE?
Si bien los discos duros de las máquinas virtuales se encuentran cifrados en reposo (azure encryption at rest) mediante SSE (algunas veces lo llaman Storage Service Encryption y otras Server Side Encryption), estos datos solamente se encuentran cifrados dentro del almacenamiento de Azure.
Si una persona no autorizada descarga el disco duro virtual desde el portal de Azure o desde el Azure Storage Explorer, este no estará cifrado al salir del almacenamiento de Azure y la información quedará desprotegida.
¿Cómo ADE cifra los datos de los discos duros virtuales Azure?
La tecnología en la que se apoya Azure Disk Encryption para encriptar los datos de los discos duros de las máquinas virtuales depende del sistema operativo que estemos utilizando, si el sistema operativo es Windows, Azure utilizará Windows BitLocker y si se trata de sistema operativo Linux, se utilizará dm-crypt.
Windows BitLocker – Linux dm-crypt
Cuando se activa la tecnología de BitLocker o dm-crypt en una máquina física para proteger sus datos en caso de pérdida del equipo, al iniciar esta máquina, será recibido por una pantalla la cual le pide una clave para poder desencriptar los datos e iniciar el sistema operativo.
¿Cómo aplica Azure la clave para iniciar la máquina virtual?
En los ejemplos anteriores, el usuario debe digitar la clave manualmente para proceder con el inicio del sistema operativo y poder usar la máquina, pero qué sucede en un entorno como Azure donde no tenemos una consola tipo KVM para poder ingresar la clave?
Azure KeyVault, permite almacenar claves, certificados y llaves público-privada (RSA-ECU) de manera segura.
Azure disk encryption está integrado con el servicio de Azure KeyVault para lograr almacenar y obtener de manera segura y automática, la clave que se requiere para iniciar la máquina virtual.
Mediante la extensión de AzureDiskEncryption que se instala en la máquina virtual, se puede obtener de manera automática la clave necesaria al iniciar el sistema operativo.
Para que la máquina virtual pueda obtener la clave de encripción de los datos, esta debe tener conectividad ya sea con Azure AD o con KeyVault
Luego, esta clave se envía de manera segura al serivcio de BitLocker o dm-crypt para que los datos puedan ser desencriptados en memoria durante la ejecución de la máquina virutal.
Debes tener en cuenta que las máquinas virtuales integradas con Azure KeyVault, no pueden ser movidas a otra suscripción.
Artículos relacionados
- Eliminar punto de recuperación específico en System Center Data Protection Manager (DPM)
Hoy recibí la llamada de un cliente indicando que su servidor de System Center Data Protection Manager (DPM) se encontraba con el disco duro lleno… - Cómo configurar Azure Disk Encryption con Azure CLI
Introducción a Azure Disk Encryption Azure Disk Encryption permite tener un doble nivel de seguridad de los datos almacenados en Azure. Visita este link si… - Cómo funciona Azure Disk Encryption
Qué es Azure Disk Encryption Azure Disk Encryption nos permite encriptar los datos de nuestras máquinas virtuales tanto del disco de sistema operativo como los… - Niveles de certificación de Azure
Veamos una breve descripción de los diferentes niveles de certificación de Azure y los diferentes paths o los diferentes caminos que podemos tomar para certificarnos.… - Azure CLI vs Azure PowerShell vs Azure Cloud Shell
¿Azure CLI, Azure PowerShell, Azure Cloud Shell, Bash? Uno de los obstáculos cuando comenzamos a familiarizarnos con Azure, es que debemos aprender un nuevo vocabulario…