Cómo funciona Azure Disk Encryption

Qué es Azure Disk Encryption

Azure Disk Encryption nos permite encriptar los datos de nuestras máquinas virtuales tanto del disco de sistema operativo como los discos de datos adicionales que tenga la máquina virtual.

Disco de sistema operativo y de datos encriptado

¿Porqué encriptar los discos de la máquina virtual si Azure los cifra automáticamente mediante SSE?

Si bien los discos duros de las máquinas virtuales se encuentran cifrados en reposo (azure encryption at rest) mediante SSE (algunas veces lo llaman Storage Service Encryption y otras Server Side Encryption), estos datos solamente se encuentran cifrados dentro del almacenamiento de Azure.

Si una persona no autorizada descarga el disco duro virtual desde el portal de Azure o desde el Azure Storage Explorer, este no estará cifrado al salir del almacenamiento de Azure y la información quedará desprotegida.

Cuando los datos salen de Azure Storage Service, estos ya no se encontrarán encriptados

¿Cómo ADE cifra los datos de los discos duros virtuales Azure?

La tecnología en la que se apoya Azure Disk Encryption para encriptar los datos de los discos duros de las máquinas virtuales depende del sistema operativo que estemos utilizando, si el sistema operativo es Windows, Azure utilizará Windows BitLocker y si se trata de sistema operativo Linux, se utilizará dm-crypt.

Windows BitLocker – Linux dm-crypt

Cuando se activa la tecnología de BitLocker o dm-crypt en una máquina física para proteger sus datos en caso de pérdida del equipo, al iniciar esta máquina, será recibido por una pantalla la cual le pide una clave para poder desencriptar los datos e iniciar el sistema operativo.

Ejemplo inicio protegido en máquina física encriptada con BitLocker
Ejemplo inicio protegido en máquina física encriptada con dm-crypt

¿Cómo aplica Azure la clave para iniciar la máquina virtual?

En los ejemplos anteriores, el usuario debe digitar la clave manualmente para proceder con el inicio del sistema operativo y poder usar la máquina, pero qué sucede en un entorno como Azure donde no tenemos una consola tipo KVM para poder ingresar la clave?

Azure KeyVault, permite almacenar claves, certificados y llaves público-privada (RSA-ECU) de manera segura.

Azure disk encryption está integrado con el servicio de Azure KeyVault para lograr almacenar y obtener de manera segura y automática, la clave que se requiere para iniciar la máquina virtual.

Mediante la extensión de AzureDiskEncryption que se instala en la máquina virtual, se puede obtener de manera automática la clave necesaria al iniciar el sistema operativo.

Para que la máquina virtual pueda obtener la clave de encripción de los datos, esta debe tener conectividad ya sea con Azure AD o con KeyVault

Luego, esta clave se envía de manera segura al serivcio de BitLocker o dm-crypt para que los datos puedan ser desencriptados en memoria durante la ejecución de la máquina virutal.

Flujo de desencriptado de datos usando clave almacenada en Azure KeyVault

Debes tener en cuenta que las máquinas virtuales integradas con Azure KeyVault, no pueden ser movidas a otra suscripción.

Artículos relacionados