Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLocker

Se aplica a:

  • Windows Server 2016

En este artículo para profesionales de TI se describe cómo proteger los CSV y los SAN con BitLocker.

BitLocker puede proteger los recursos de disco físico y los volúmenes compartidos de clúster versión 2.0 (CSV2.0). BitLocker en volúmenes agrupados permite una capa adicional de protección para los administradores que desean proteger datos confidenciales y de alta disponibilidad. Al agregar protectores adicionales al volumen agrupado, los administradores también pueden agregar una barrera adicional de seguridad a los recursos de una organización al permitir que solo determinadas cuentas de usuario puedan desbloquear el volumen de BitLocker.

Configuración de BitLocker en volúmenes compartidos de clúster

Uso de BitLocker con volúmenes agrupados

BitLocker en volúmenes dentro de un clúster se administra en función de cómo el servicio de clúster "ve" el volumen que se va a proteger. El volumen puede ser un recurso de disco físico, como un número de unidad lógica (LUN) en una red de área de almacenamiento (SAN) o un almacenamiento conectado a la red (NAS).

Importante Los SAN usados con BitLocker deben haber obtenido Windows de hardware. Para obtener más información, consulta Windows Hardware Lab Kit.

Como alternativa, el volumen puede ser un volumen compartido de clúster, un espacio de nombres compartido, dentro del clúster. Windows Server 2012 la arquitectura CSV, ahora conocida como CSV2.0, para habilitar la compatibilidad con BitLocker. Al usar BitLocker con volúmenes designados para un clúster, el volumen tendrá que activar BitLocker antes de su adición al grupo de almacenamiento dentro del clúster o poner el recurso en modo de mantenimiento antes de que se completen las operaciones de BitLocker.

Windows PowerShell o la interfaz de línea de comandos manage-bde es el método preferido para administrar BitLocker en volúmenes CSV2.0. Este método se recomienda sobre el elemento del Panel de control de BitLocker porque los volúmenes CSV2.0 son puntos de montaje. Los puntos de montaje son un objeto NTFS que se usa para proporcionar un punto de entrada a otros volúmenes. Los puntos de montaje no requieren el uso de una letra de unidad. Los volúmenes que carecen de letras de unidad no aparecen en el elemento del Panel de control de BitLocker. Además, la nueva opción de protector basada en Active Directory necesaria para recursos de disco de clúster o recursos CSV2.0 no está disponible en el elemento del Panel de control.

Nota: Los puntos de montaje se pueden usar para admitir puntos de montaje remotos en recursos compartidos de red basados en SMB. Este tipo de recurso compartido no es compatible con el cifrado de BitLocker.

Para el almacenamiento aprovisionado de forma delgada, como un disco duro virtual dinámico (VHD), BitLocker se ejecuta en modo de cifrado Solo espacio en disco usado. No puede usar el comando manage-bde -WipeFreeSpace para realizar la transición del volumen al cifrado de volumen completo en estos tipos de volúmenes. Esta acción se bloquea con el fin de evitar la expansión de volúmenes aprovisionados finamente para ocupar todo el almacén de respaldo mientras se limpia el espacio desocupado (libre).

Protector basado en Active Directory

También puedes usar un protector de Servicios de dominio de Active Directory (AD DS) para proteger los volúmenes agrupados que se encuentran en la infraestructura de AD DS. El protector ADAccountOrGroup es un protector basado en el identificador de seguridad de dominio (SID) que se puede enlazar a una cuenta de usuario, cuenta de equipo o grupo. Cuando se realiza una solicitud de desbloqueo para un volumen protegido, el servicio BitLocker interrumpe la solicitud y usa las API de protección y desprotección de BitLocker para desbloquear o denegar la solicitud. BitLocker desbloqueará volúmenes protegidos sin intervención del usuario al intentar protectores en el siguiente orden:

  1. Borrar clave

  2. Clave de desbloqueo automático basada en controladores

  3. Protector ADAccountOrGroup

    1. Protector de contexto de servicio
    2. Protector de usuario
  4. Clave de desbloqueo automático basada en el Registro

Nota: Se Windows Server 2012 un controlador de dominio posterior o posterior para que esta característica funcione correctamente.

Activar BitLocker antes de agregar discos a un clúster mediante Windows PowerShell

El cifrado de BitLocker está disponible para discos antes o después de agregarlo a un grupo de almacenamiento de clústeres. La ventaja de cifrar volúmenes antes de agregarlos a un clúster es que el recurso de disco no requiere suspender el recurso para completar la operación. Para activar BitLocker para un disco antes de agregarlo a un clúster:

  1. Instale la característica cifrado de unidad BitLocker si aún no está instalada.

  2. Asegúrese de que el disco tiene formato NTFS y tiene asignada una letra de unidad.

  3. Identifique el nombre del clúster con Windows PowerShell.

    Get-Cluster
    
  4. Habilita BitLocker en el volumen que prefieras con un protector ADAccountOrGroup con el nombre del clúster. Por ejemplo, use un comando como:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    Advertencia: Debe configurar un protector ADAccountOrGroup con el CNO del clúster para un volumen habilitado para BitLocker para que se comparta en un volumen compartido de clústeres o para conmutar por error correctamente en un clúster de conmutación por error tradicional.

  5. Repita los pasos anteriores para cada disco del clúster.

  6. Agregue los volúmenes al clúster.

Activar BitLocker para un disco agrupado mediante Windows PowerShell

Cuando el servicio de clúster ya es propietario de un recurso de disco, debe establecerse en modo de mantenimiento para poder habilitar BitLocker. Siga estos pasos para activar BitLocker para un disco agrupado:

  1. Instale la característica cifrado de unidad BitLocker si aún no está instalada.

  2. Compruebe el estado del disco del clúster mediante Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"
    
  3. Ponga el recurso de disco físico en modo de mantenimiento mediante Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
    
  4. Identifique el nombre del clúster con Windows PowerShell.

    Get-Cluster
    
  5. Habilita BitLocker en el volumen que prefieras con un protector ADAccountOrGroup con el nombre del clúster. Por ejemplo, use un comando como:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    Advertencia: Debe configurar un protector ADAccountOrGroup con el CNO del clúster para un volumen habilitado para BitLocker para que se comparta en un volumen compartido de clústeres o para conmutar por error correctamente en un clúster de conmutación por error tradicional.

  6. Use Resume-ClusterResource para quitar el recurso de disco físico del modo de mantenimiento:

    Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
    
  7. Repita los pasos anteriores para cada disco del clúster.

Agregar volúmenes cifrados de BitLocker a un clúster mediante manage-bde

También puedes usar manage-bde para habilitar BitLocker en volúmenes agrupados. Siga estos pasos para agregar un recurso de disco físico o un volumen CSV2.0 a un clúster existente:

  1. Compruebe que la característica cifrado de unidad BitLocker está instalada en el equipo.

  2. Asegúrese de que el nuevo almacenamiento tiene el formato NTFS.

  3. Cifre el volumen, agregue una clave de recuperación y agregue al administrador del clúster como clave de protector mediante la interfaz de línea de comandos manage-bde (vea el ejemplo):

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker comprobará si el disco ya forma parte de un clúster. Si es así, los administradores se encontrarán con un bloque duro. De lo contrario, el cifrado continuará.
      2. El uso del parámetro -sync es opcional. Su uso garantiza que el comando espere hasta que se complete el cifrado del volumen antes de liberar el volumen para usarlo en el grupo de almacenamiento del clúster.
  4. Abra el complemento del Administrador de clústeres de conmutación por error o los cmdlets de PowerShell del clúster para habilitar el disco para clústeres

    • Una vez que el disco está agrupado, también se puede habilitar para CSV.
  5. Durante la operación en línea de recursos, el clúster comprobará si el disco está cifrado por BitLocker.

    1. Si el volumen no está habilitado para BitLocker, se producen operaciones en línea de clúster tradicionales.

    2. Si el volumen está habilitado para BitLocker, se produce la siguiente comprobación:

      • Si el volumen está bloqueado, BitLocker suplanta el CNO y desbloquea el volumen con el protector CNO. Si se produce un error en esta operación, se registrará un evento que no se pudo desbloquear el volumen y se producirá un error en la operación en línea.
  6. Una vez que el disco está en línea en el grupo de almacenamiento, se puede agregar a un CSV haciendo clic con el botón secundario en el recurso de disco y eligiendo Agregar a volúmenes compartidos de clúster.

Los CSV pueden incluir volúmenes cifrados y sin cifrar. Para comprobar el estado de un volumen determinado para el cifrado de BitLocker, los administradores pueden usar el comando manage-bde -status con una ruta de acceso al volumen dentro del espacio de nombres CSV, tal como se muestra en la siguiente línea de comandos de ejemplo.

manage-bde -status "C:\ClusterStorage\volume1"

Recursos de disco físico

A diferencia de los volúmenes CSV2.0, solo un nodo de clúster puede tener acceso a los recursos de disco físico a la vez. Por lo tanto, las operaciones como cifrar, descifrar, bloquear o desbloquear volúmenes requieren contexto para realizarse. Por ejemplo, no puede desbloquear ni descifrar un recurso de disco físico si no está administrando el nodo de clúster propietario del recurso de disco porque el recurso de disco no está disponible.

Restricciones en acciones de BitLocker con volúmenes de clúster

La tabla siguiente contiene información sobre los recursos de disco físico (es decir, los volúmenes de clúster de conmutación por error tradicionales) y los volúmenes compartidos de clúster (CSV) y las acciones permitidas por BitLocker en cada situación.

Acción

En el nodo propietario del volumen de conmutación por error

En el servidor de metadatos (MDS) de CSV

On (Data Server) DS of CSV

Modo de mantenimiento

Manage-bde –on

Bloqueado

Bloqueado

Bloqueado

Se permite

Manage-bde –off

Bloqueado

Bloqueado

Bloqueado

Se permite

Manage-bde Pause/Resume

Bloqueado

Bloqueado

Bloqueado

Se permite

Manage-bde –lock

Bloqueado

Bloqueado

Bloqueado

Se permite

manage-bde –wipe

Bloqueado

Bloqueado

Bloqueado

Se permite

Desbloquear

Automático a través del servicio de clúster

Automático a través del servicio de clúster

Automático a través del servicio de clúster

Se permite

manage-bde –protector –add

Se permite

Se permite

Bloqueado

Se permite

manage-bde -protector -delete

Se permite

Se permite

Bloqueado

Se permite

manage-bde –autounlock

Permitido (no recomendado)

Permitido (no recomendado)

Bloqueado

Permitido (no recomendado)

Manage-bde -upgrade

Se permite

Se permite

Bloqueado

Se permite

Reducir

Se permite

Se permite

Bloqueado

Se permite

Ampliar

Se permite

Se permite

Bloqueado

Se permite

>Nota:** Aunque el comando manage-bde -pause está bloqueado en clústeres, el servicio de clúster reanudará automáticamente un cifrado o descifrado en pausa desde el nodo MDS En el caso de que un recurso de disco físico experimenta un evento de conmutación por error durante la conversión, el nuevo nodo propietario detectará que la conversión no está completa y completará el proceso de conversión.

Otras consideraciones al usar BitLocker en CSV2.0

También tiene en cuenta estas consideraciones para BitLocker en el almacenamiento en clúster:

  • Los volúmenes de BitLocker deben inicializarse e iniciar el cifrado antes de que estén disponibles para agregarlos a un volumen CSV2.0.
  • Si un administrador necesita descifrar un volumen CSV, quite el volumen del clúster o ponga en modo de mantenimiento de disco. Puede volver a agregar el CSV al clúster mientras espera a que se complete el descifrado.
  • Si un administrador necesita empezar a cifrar un volumen CSV, quite el volumen del clúster o pónlo en modo de mantenimiento.
  • Si la conversión se pausa con el cifrado en curso y el volumen CSV está sin conexión desde el clúster, el subproceso del clúster (comprobación de estado) reanudará automáticamente la conversión cuando el volumen esté conectado al clúster.
  • Si la conversión se pausa con el cifrado en curso y un volumen de recursos de disco físico está sin conexión desde el clúster, el controlador de BitLocker reanudará automáticamente la conversión cuando el volumen esté conectado al clúster.
  • Si la conversión se pausa con el cifrado en curso, mientras el volumen CSV está en modo de mantenimiento, el subproceso del clúster (comprobación de estado) reanudará automáticamente la conversión al volver a mover el volumen del mantenimiento.
  • Si la conversión se pausa con el cifrado en curso, mientras el volumen de recursos de disco está en modo de mantenimiento, el controlador de BitLocker reanudará automáticamente la conversión cuando el volumen vuelva del modo de mantenimiento.