Cifrar discos en una máquina virtual Windows

MEJORE LA SEGURIDAD Y CUMPLIMIENTO DE LAS MÁQUINAS VIRTUALES

Azure permite cifrar discos en una máquina virtual Windows. Los discos se cifran mediante claves criptográficas que están protegidas en Azure Key Vault. Estas claves criptográficas se pueden controlar y se puede auditar su uso.Los discos virtuales en máquinas virtuales de Windows se cifran en reposo mediante BitLocker. El cifrado de los discos virtuales en Azure no conlleva ningún cargo.

No es posible habilitar el cifrado a través del portal de Azure. Para ello es necesario crear una serie de recurso en el portal de Azure y a través de PowerShell configurar y habilitar el cifrado. A continuación indico como realizarlo.

  1. Crear Azure KeyVaul
  2. En el buscador del portal de Azure, buscamos KeyVault y seleccionamos el recurso.
  3. Creamos un nuevo Registro de aplicaciones
  4. Configuramos Nombre, Suscripción, Grupo de recursos (debe ser el mismo donde esté la VM con los discos que queremos cifrar), Ubicación, Plan de tarifas (seleccionamos Estándar). Pulsamos en crear.
  1. Crear registro de aplicación.
  2. En el buscador del portal de Azure buscamos Registros de aplicaciones y seleccionamos el recurso.
  3. Creamos un nuevo registro de aplicaciones.
  4. Configuramos Nombre, tipo de aplicación (dejamos por defecto Aplicación web o API). En URL de inicio de sesión configuramos https://”nombre de nuestro registro de aplicación”.net.
  1. Crear clave secreta cifrada.
  2. En el registro de aplicación que hemos creado, seleccionamos Configuración.
  3. Seleccionamos Claves. Definimos una descripción de la clave, una fecha de expiración y una contraseña en el campo Valor.
  4. Guardamos la configuración y el campo Valor se va a establecer en una clave cifrada, la cual debemos copiar y guardar porque una vez salgamos de esa pantalla no volverá aparecer.
  1. Directiva de acceso
  2. Volvemos acceder a nuestro KeyVault, en mi caso pruebavault.
  3. En Configuración seleccionamos Directivas de acceso y agregamos uno nuevo.
  4. Configuramos Seleccionar la entidad de seguridad. Buscamos nuestro registro de aplicación creado en el paso 4. Seleccionamos todos los permisos clave, secretos y de certificado. Creamos la directiva de acceso y guardamos.
  1. Abrimos un bloc de notas y pegamos el siguiente script de PowerShell:
    $rgName = ‘nombre del grupo de recursos’
    $vmName = ‘IaaSS01’
    $KeyVaultName = ‘nombre de la máquina virtual’
    $aadClientID = ‘Id. de aplicación del registro de aplicación creado’
    $aadClientSecret = ‘clave secreta cifrada’
    $KeyVault = Get-AzureRmKeyVault -VaultName $KeyVaultName -ResourceGroupName $rgname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    Set-AzureRmKeyVaultAccessPolicy -VaultName $KeyVaultName -ServicePrincipalName $aadClientID -PermissionsToKeys all -PermissionsToSecrets all -ResourceGroupName $rgname;
    Set-AzureRmKeyVaultAccessPolicy -VaultName $KeyVaultName -ResourceGroupName $rgname –EnabledForDiskEncryption
    Set-AzureRmVMDiskEncryptionExtension -ResourceGroupName $rgname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  1. Los únicos datos que necesitaremos modificar en el script anterior son:
  • $rgName = ‘nombre del grupo de recursos’
  • $vmName = ‘nombre de la máquina virtual’
  • $KeyVaultName = ‘vfkey0’
  • $aadClientID = ‘ID recurso de aplicación creada’
  • $aadClientSecret = ‘clave secreta cifrada’
  • Los demás valores los dejamos tal cual.

  1. Una vez configurado el script guardamos el bloc de notas con extensión .ps1, nos conectamos a través de powershell a nuestra suscripción de Azure y ejecutamos el script. El proceso tardará unos minutos. Una vez finalizado mostrará una pantalla similar:

Espero que este post os haya resultado útil y servido de ayuda.

No olviden compartir y dejar sus comentarios.

Leave a reply:

Your email address will not be published.

Site Footer