Cifrado de discos de Azure en el host
Puede crear un catálogo de máquinas de MCS con capacidad de cifrado en el host. Actualmente, MCS solo admite el flujo de trabajo de perfiles de máquina para esta función. Puede utilizar una máquina virtual o una especificación de plantilla como entrada para un perfil de máquina.
Este método de cifrado no cifra los datos a través del almacenamiento de Azure. El servidor que aloja la máquina virtual cifra los datos y, a continuación, los datos cifrados fluyen a través del servidor de almacenamiento de Azure. Por lo tanto, este método de cifrado cifra los datos de extremo a extremo.
Limitaciones
El cifrado de discos de Azure en el host:
- No se admite con todos los tamaños de máquina de Azure
- Es incompatible con el cifrado de discos de Azure
Crear un catálogo de máquinas con capacidad de cifrado en el host
Para crear un catálogo de máquinas con capacidad de cifrado en el host
- Compruebe si la suscripción tiene habilitada la funcionalidad de cifrado en el host o no. Para hacer esto, consulte https://learn.microsoft.com/es-es/rest/api/resources/features/get?tabs=HTTP/. Si no está habilitada, debe habilitar la funcionalidad para la suscripción. Para obtener información sobre cómo habilitar la función para su suscripción, consulte https://learn.microsoft.com/es-es/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/.
-
Compruebe si un tamaño de máquina virtual de Azure determinado admite el cifrado en el host o no. Para ello, en una ventana de PowerShell, ejecute uno de los siguientes comandos:
PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder> <!--NeedCopy-->PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder> <!--NeedCopy--> -
Cree una máquina virtual o una especificación de plantilla, como entrada para el perfil de máquina, en Azure Portal con el cifrado en el host habilitado.
- Si quiere crear una máquina virtual, seleccione un tamaño de máquina virtual que admita el cifrado en el host. Tras crear la máquina virtual, se habilita la propiedad Encryption at host (Cifrado en el host).
- Si quiere utilizar una especificación de plantilla, asigne el parámetro
Cifrado en el hostcomo verdadero dentro desecurityProfile.
-
Cree un catálogo de máquinas de MCS con un flujo de trabajo de perfil de máquina. Para ello, seleccione una máquina virtual o una especificación de plantilla.
- Disco del sistema operativo/disco de datos: Se cifra mediante una clave gestionada por el cliente y una clave gestionada por la plataforma
- Disco de SO efímero: Se cifra solo mediante una clave administrada por la plataforma
- Disco de caché: Se cifra mediante una clave administrada por el cliente y una clave administrada por la plataforma
Puede crear el catálogo de máquinas a través de la interfaz de Configuración completa o ejecutando los comandos de PowerShell.
Obtener la información de cifrado en el host desde un perfil de máquina
Puede recuperar el cifrado en la información del host desde un perfil de máquina cuando ejecuta el comando de PowerShell con el parámetro AdditionalData. Si el parámetro EncryptionAtHost es Verdadero, indica que el cifrado en el host está habilitado para el perfil de la máquina.
Por ejemplo: Cuando la entrada del perfil de máquina sea una VM, ejecute el siguiente comando:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->
Por ejemplo: Cuando la entrada del perfil de máquina sea una especificación de plantilla, ejecute el siguiente comando:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->