Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLocker

  • Artículo

Este tema para profesionales de TI describe cómo proteger CSV y SAN con BitLocker.

BitLocker puede proteger recursos de disco físico y volúmenes compartidos de clúster de versión 2.0 (CSV2.0). El uso de BitLocker en volúmenes de clúster ofrece una capa de protección adicional para los administradores que deseen proteger datos confidenciales y de alta disponibilidad. Al agregar protectores adicionales al volumen de clúster, los administradores también pueden agregar una barrera de seguridad adicional a los recursos de una organización al permitir que solo determinadas cuentas de usuarios tengan acceso para desbloquear el volumen de BitLocker.

Configuración de BitLocker en volúmenes compartidos de clúster

Uso de BitLocker con volúmenes de clúster

BitLocker en volúmenes de un clúster se administra en función del modo en que el servicio de clúster "considera" que debe estar protegido el volumen. El volumen puede ser un recurso de disco físico como, por ejemplo, un número de unidad lógica (LUN) en una red de área de almacenamiento (SAN) o un almacenamiento conectado a la red (NAS).

Importante  

Las SAN que se usan con BitLocker deben haber obtenido la certificación de hardware en Windows. Para más información, vea Windows Hardware Lab Kit.

 

Como alternativa, el volumen puede ser un volumen compartido de clúster o un espacio de nombres compartido dentro del clúster. Windows Server 2012 ha expandido la arquitectura CSV, que ahora se denomina CSV2.0, para ofrecer compatibilidad con BitLocker. Al usar BitLocker con volúmenes designados para un clúster, dichos volúmenes necesitarán activar BitLocker antes de su adición al grupo de almacenamiento en el clúster o colocar el recurso en modo de mantenimiento antes de que se completen las operaciones de BitLocker.

Windows PowerShell o la interfaz de línea de comandos manage-bde es el método preferido para administrar BitLocker en volúmenes CSV2.0. Se prefiere esta posibilidad en lugar del elemento del panel de control de BitLocker porque los volúmenes CSV2.0 son puntos de montaje. Los puntos de montaje son un objeto NTFS que se usa para proporcionar un punto de entrada a otros volúmenes. Los puntos de montaje no requieren usar ninguna letra de unidad. Los volúmenes que no tienen letras de unidad no aparecen en el elemento del panel de control de BitLocker. Además, la nueva opción de protector basada en Active Directory necesaria para el recurso de disco de clúster o los recursos CSV2.0 no está disponible en el elemento del panel de control.

Nota  

Los puntos de montaje pueden usarse para admitir puntos de montaje remotos en recursos compartidos de red basados en SMB. Este tipo de recurso compartido no es compatible con el cifrado de BitLocker.

 

Para el almacenamiento de aprovisionamiento fino como, por ejemplo, los discos duros virtuales dinámicos (VHD), BitLocker se ejecuta en modo de cifrado de espacio en disco usado. No se puede usar el comando manage-bde –WipeFreeSpace para realizar la transición del volumen al cifrado de volumen completo en estos tipos de volúmenes. Esto ocurre porque el cifrado completo requiere un marcador final para el volumen y los VHD de expansión dinámica no tienen ningún extremo estático de marcador de volumen.

Protector basado en Active Directory

También se puede usar un protector de servicios de dominio de Active Directory (AD DS) para la protección de volúmenes de clúster de la infraestructura de AD DS. El protector ADAccountOrGroup es un protector basado en un identificador de seguridad de dominio (SID)que se puede enlazar a una cuenta de usuario, a una cuenta de equipo o a un grupo. Cuando se realiza una solicitud de desbloqueo de un volumen protegido, el servicio de BitLocker interrumpe la solicitud y usa las API de protección/desprotección de BitLocker para desbloquear o denegar la solicitud. BitLocker desbloquea los volúmenes protegidos sin intervención del usuario intentando los protectores en el siguiente orden:

  1. Clave sin cifrado

  2. Clave de desbloqueo automático basada en controladores

  3. Protector ADAccountOrGroup

    1. Protector de contexto de servicio

    2. Protector de usuario

  4. Clave de desbloqueo automático basada en controladores

Nota  

Se necesita un controlador de dominio de Windows Server 2012 o posterior para que esta característica funcione correctamente.

 

Activación de BitLocker antes de agregar discos a un clúster mediante Windows PowerShell

El cifrado BitLocker está disponible para los discos antes o después de la adición a un grupo de almacenamiento de clúster. La ventaja de cifrar los volúmenes antes de agregarlos a un clúster es que el recurso de disco no requiere suspender el recurso para completar la operación. Para activar BitLocker para un disco antes de agregarlo a un clúster, haz lo siguiente:

  1. Instala la característica de cifrado de unidades de BitLocker si no está ya instalada.

  2. Comprueba que el disco tenga el formato NTFS y tenga una letra asignada.

  3. Habilita BitLocker en el volumen con el protector que prefieras. En el script de Windows PowerShell de ejemplo que se muestra a continuación se usa un protector de contraseña.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  4. Identifica el nombre del clúster con Windows PowerShell.

    Get-Cluster

  5. Agrega el protector ADAccountOrGroup al volumen que usa el nombre del clúster mediante un comando como el siguiente:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Advertencia  

    Debes agregar un protector ADAccountOrGroup con el clúster CNO para que el volumen con BitLocker habilitado esté compartido en un volumen compartido de clúster o para que la conmutación por error se realice correctamente en un clúster de conmutación por error tradicional.

     

  6. Repite los pasos del 1 al 6 para cada disco del clúster.

  7. Agrega los volúmenes al clúster.

Activación de BitLocker para un disco en clúster mediante Windows PowerShell

Cuando el servicio de clúster ya dispone de un recurso de disco, debe establecerse en modo de mantenimiento para poder habilitar BitLocker. Sigue los pasos siguientes para activar BitLocker para un disco en clúster:

  1. Instala la característica de cifrado de unidades de BitLocker si no está ya instalada.

  2. Comprueba el estado del disco en clúster mediante Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"

  3. Coloca el recurso de disco físico en modo de mantenimiento mediante Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

  4. Habilita BitLocker en el volumen con el protector que prefieras. En el ejemplo siguiente se usa un protector de contraseña.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  5. Identificar el nombre del clúster con Windows PowerShell

    Get-Cluster

  6. Agrega un protector ADAccountOrGroup con el objeto de nombre de clúster (CNO) al volumen con un comando como el que se muestra a continuación:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Advertencia  

    Debes agregar un protector ADAccountOrGroup con el clúster CNO para que el volumen con BitLocker habilitado esté compartido en un volumen compartido de clúster o para que la conmutación por error se realice correctamente en un clúster de conmutación por error tradicional.

     

  7. Repite los pasos del 1 al 6 para cada disco del clúster.

  8. Agrega los volúmenes al clúster.

Adición de volúmenes cifrados con BitLocker a un clúster que usa manage-bde

También puedes usar manage-bde para habilitar BitLocker en volúmenes de clúster. Los pasos necesarios para agregar un recurso de disco físico o volumen CSV2.0 a un clúster existente son los siguientes:

  1. Comprueba que la característica de cifrado de unidad BitLocker está instalada en el equipo.

  2. Asegúrate de que el almacenamiento nuevo tenga el formato NTFS.

  3. Cifra el volumen, agrega una clave de recuperación y agrega el administrador de clústeres como clave de protector mediante la interfaz de la línea de comandos manage-bde (consulta el ejemplo):

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker comprobará si el disco ya forma parte de un clúster. Si es así, los administradores encontrarán bloqueo de disco duro. De lo contrario, la operación de cifrado continuará.

      2. El uso del parámetro -sync es opcional. El uso de este parámetro garantiza que el comando espera hasta que se complete el cifrado del volumen antes de lanzar el volumen para su uso en el grupo de almacenamiento de clúster.

  4. Apertura del complemento Administrador de clústeres de conmutación por error o de cmdlets de PowerShell para habilitar el disco en clúster

    • Una vez que el disco está en clúster también se puede habilitar para CSV.

  5. Durante la operación en línea de recursos, el clúster comprobará si el disco está cifrado con BitLocker.

    1. Si el volumen no está habilitado para BitLocker, es posible que se realicen operaciones en línea de clúster tradicionales.

    2. Si el volumen está habilitado para BitLocker, se realizará la comprobación siguiente:

      • Si el volumen está bloqueado, BitLocker suplantará el CNO y desbloqueará el volumen mediante el protector de CNO. Si se produce un error en esta operación, se registrará un evento para indicar que no se pudo desbloquear el volumen y que se producirá un error en la operación en línea.

  6. Cuando el disco esté en línea en el grupo de almacenamiento, se podrá agregar a un CSV haciendo clic con el botón derecho en el recurso del disco y eligiendo "Agregar a volúmenes compartidos de clúster".

Los CSV pueden incluir volúmenes cifrados y sin cifrar. Para comprobar el estado de un volumen en particular en términos de cifrado de BitLocker, los administradores pueden usar el comando manage-bde -status con una ruta de acceso al volumen dentro del espacio de nombres del CSV tal como se muestra en la siguiente línea de comandos de ejemplo.

manage-bde -status "C:\ClusterStorage\volume1"

Recursos de disco físico

A diferencia de los volúmenes CSV2.0, solo es posible tener acceso a los recursos de disco físico de un nodo del clúster a la vez. Esto significa que las operaciones como, por ejemplo, el cifrado, el descifrado, el bloqueo o el desbloque de volúmenes requieren contexto para que se puedan llevar a cabo. Por ejemplo, no es posible desbloquear o descifrar un recurso de disco físico si no se va a administrar el nodo del clúster que posee el recurso del disco porque el recurso de disco no está disponible.

Restricciones en las acciones de BitLocker con volúmenes de clúster

La siguiente tabla contiene información sobre los recursos de disco físico (es decir, volúmenes de clúster tradicionales de conmutación por error), los volúmenes compartidos de clúster (CSV) y las acciones que permite BitLocker en cada situación.

Acción

En el nodo del propietario del volumen de conmutación por error

En el servidor de metadatos (MDS) de CSV

En DS (servidor de datos) de CSV

Modo de mantenimiento

Manage-bde –on

Bloqueado

Bloqueado

Bloqueado

Permitido

Manage-bde –off

Bloqueado

Bloqueado

Bloqueado

Permitido

Manage-bde Pause/Resume

Bloqueado

Bloqueado**

Bloqueado

Permitido

Manage-bde –lock

Bloqueado

Bloqueado

Bloqueado

Permitido

manage-bde –wipe

Bloqueado

Bloqueado

Bloqueado

Permitido

Unlock

Automático mediante el servicio de clúster

Automático mediante el servicio de clúster

Automático mediante el servicio de clúster

Permitido

manage-bde –protector –add

Permitido

Permitido

Bloqueado

Permitido

manage-bde -protector -delete

Permitido

Permitido

Bloqueado

Permitido

manage-bde –autounlock

Permitido (no recomendado)

Permitido (no recomendado)

Bloqueado

Permitido (no recomendado)

Manage-bde -upgrade

Permitido

Permitido

Bloqueado

Permitido

Shrink

Permitido

Permitido

Bloqueado

Permitido

Extend

Permitido

Permitido

Bloqueado

Permitido

 

Nota  

Aunque el comando manage-bde -pause esté bloqueado en los clústeres, el servicio de clúster reanudará automáticamente el proceso de cifrado o descifrado en pausa desde el nodo MDS.

 

En el caso de que un recurso de disco físico experimente un evento de conmutación por error durante la conversión, el nuevo nodo de propietario detectará que la conversión no está completa y completará el proceso de conversión.

Otras consideraciones sobre el uso de BitLocker en CSV2.0

A continuación se detallan algunas consideraciones que se deben tener en cuenta a la hora de usar BitLocker en almacenamiento en clúster:

  • Los volúmenes de BitLocker deben inicializarse y se debe iniciar su cifrado para que se puedan agregar a un volumen CSV2.0.

  • Si un administrador necesita descifrar un volumen CSV, se debe quitar el volumen del clúster o activar el modo de mantenimiento de disco. Puedes agregar el CSV de nuevo al clúster mientras se completa el descifrado.

  • Si un administrador necesita iniciar el descifrado de un volumen CSV, es necesario debe quitar el volumen del clúster o activar el modo de mantenimiento.

  • Si se pausa la conversión de cifrado en curso y el volumen CSV está sin conexión desde el clúster, el subproceso del clúster (comprobación del estado) reanudará automáticamente la conversión cuando el volumen esté conectado al clúster.

  • Si se pausa la conversión de cifrado en curso y un volumen de recursos de disco físico está sin conexión del clúster, el controlador de BitLocker reanudará automáticamente la conversión cuando el volumen esté conectado al clúster.

  • Si la conversión se pone en pausa con el cifrado en curso con el volumen CSV en modo de mantenimiento, el subproceso de clúster (comprobación de estado) reanudará automáticamente la conversión cuando finalice el mantenimiento del volumen.

  • Si la conversión se pone en pausa con el cifrado en curso mientras el volumen de recursos del disco se encuentra en modo de mantenimiento, el controlador de BitLocker reanudará automáticamente la conversión cuando finalice el mantenimiento del volumen.