Cifrado de discos mediante claves administradas por el cliente en Azure DevTest Labs

El cifrado del lado servidor (SSE) protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. SSE cifra automáticamente los datos almacenados en discos administrados de Azure (discos de datos y de SO) en reposo de forma predeterminada cuando los conserva en la nube. Obtenga más información acerca del cifrado de disco en Azure.

En DevTest Labs, todos los discos de sistema operativo y de datos que se hayan creado como parte de un laboratorio, se cifran mediante claves administradas por la plataforma. De todas formas, como propietario de un laboratorio, puede optar por cifrar los discos de la máquina virtual del laboratorio con sus propias claves. Si opta por administrar el cifrado con sus propias claves, puede especificar una clave administrada por el cliente para cifrar los datos de los discos del laboratorio. Para más información sobre el cifrado del lado servidor (SSE) con claves administradas por el cliente y otros tipos de cifrado de disco administrado, consulte Claves administradas por el cliente. Consulte también las restricciones en el uso de claves administradas por el cliente.

Nota

• La configuración se aplica a los discos recién creados en el laboratorio. Si decide cambiar el conjunto de cifrado de disco en algún momento, los discos más antiguos del laboratorio seguirán estando cifrados con el conjunto de cifrado de disco anterior.

En la sección siguiente se muestra cómo un propietario del laboratorio puede configurar el cifrado mediante una clave administrada por el cliente.

Requisitos previos

1. Si no tiene un conjunto de cifrado de disco, siga este artículo para configurar una instancia de Key Vault y un conjunto de cifrado de disco. Tenga en cuenta los siguientes requisitos para el conjunto de cifrado de disco:

   • El conjunto de cifrado de disco tiene que estar en la misma región y suscripción que el laboratorio.
   • Asegúrese de que el propietario del laboratorio tenga al menos un acceso de nivel de lectura al conjunto de cifrado de disco que se usará para cifrar los discos del laboratorio.

2. En el caso de los laboratorios creados antes del 1 de agosto de 2020, el propietario del laboratorio deberá asegurarse de que la identidad asignada por el sistema del laboratorio está habilitada. Para ello, el propietario del laboratorio puede ir a su laboratorio, hacer clic en Configuración y directivas, hacer clic en la hoja Identidad (versión preliminar) , cambiar el estado de la identidad asignada por el sistema a Activado y hacer clic en Guardar. En los nuevos laboratorios creados después del 1 de agosto de 2020, la identidad asignada por el sistema del laboratorio se habilitará de forma predeterminada.

   

3. Para que el laboratorio administre el cifrado de todos los discos del laboratorio, el propietario del laboratorio debe conceder explícitamente a la identidad asignada por el sistema el rol de lector en el conjunto de cifrado de disco, así como el rol de colaborador de máquina virtual en la suscripción de Azure subyacente. Para hacerlo, el propietario del laboratorio puede seguir estos pasos:

   1. Asegúrese de que es miembro de un rol de administrador de acceso de usuario en el nivel de suscripción de Azure con el fin de poder administrar el acceso de los usuarios a los recursos de Azure.

   2. En la página Conjunto de cifrado de disco, asigne al menos el rol Lector al nombre del laboratorio para el que se usará el conjunto de cifrado de disco.

      Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

   3. Vaya a la página Suscripción de Azure Portal.

   4. Asigne el rol Colaborador de máquina virtual al nombre del laboratorio (identidad asignada por el sistema para el laboratorio).

Cifrado de discos del sistema operativo del laboratorio con una clave administrada por el cliente

1. En la página principal del laboratorio en Azure Portal, seleccione Configuración y directivas en el menú de la izquierda.

2. En la página Configuración y directivas, seleccione Discos (versión preliminar) en la sección Cifrado. De forma predeterminada, Tipo de cifrado se establece en Cifrado en reposo con una clave administrada por la plataforma.

   

3. En la pestaña Tipo de cifrado, seleccione Cifrado en reposo con una clave administrada por el cliente en la lista desplegable.

4. Para Conjunto de cifrado de disco, seleccione el conjunto de cifrado de disco que creó anteriormente. Es el mismo conjunto de cifrado de disco al que puede tener acceso la identidad asignada por el sistema del laboratorio.

5. Seleccione Guardar en la barra de herramientas.

   

6. En el cuadro de mensaje con el siguiente texto: This setting will apply to newly created machines in the lab. Old OS disk will remain encrypted with the old disk encryption set (Esta configuración se aplicará a las máquinas recién creadas en el laboratorio. El disco del sistema operativo antiguo permanecerá cifrado con el conjunto de cifrado de disco antiguo), seleccione Aceptar.

   Una vez configurados, los discos del laboratorio se cifrarán con la clave administrada por el cliente proporcionada mediante el conjunto de cifrado de disco.

Validación de si se están cifrando los discos

1. Vaya a una máquina virtual de laboratorio creada después de habilitar el cifrado de discos con una clave administrada por el cliente en el laboratorio.

   

2. Haga clic en el grupo de recursos de la máquina virtual y haga clic en el disco del sistema operativo.

   

3. Vaya a Cifrado y valide si el cifrado está establecido en clave administrada por el cliente con el conjunto de cifrado de disco seleccionado.

   

Pasos siguientes

Vea los artículos siguientes:

• Azure Disk Encryption.
• Claves administradas por el cliente