Inicio seguro para Azure Kubernetes Service (AKS)

Inicio seguro mejora la seguridad de las máquinas virtuales (VM) de generación 2 mediante la protección contra técnicas de ataque avanzadas y persistentes. Permite a los administradores implementar nodos de AKS, que contienen las máquinas virtuales subyacentes, con cargadores de arranque comprobados y firmados, kernels del sistema operativo y controladores. Mediante el arranque seguro y medido, los administradores obtienen información y confianza de la integridad de toda la cadena de arranque.

Este artículo le ayuda a comprender e implementar esta nueva característica.

Importante

A partir del 30 de noviembre de 2025, Azure Kubernetes Service (AKS) ya no admite ni proporciona actualizaciones de seguridad para Azure Linux 2.0. La imagen de nodo de Linux 2.0 de Azure está congelada en la versión 202512.06.0. A partir del 31 de marzo de 2026, se quitarán las imágenes de nodo y no podrá escalar los grupos de nodos. Migre a una versión compatible de Azure Linux mediante la actualización de los grupos de nodos a una versión de Kubernetes compatible o la migración a osSku AzureLinux3. Para más información, consulte [Retirada] Grupos de nodos de Azure Linux 2.0 en AKS.

Información general

El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de manera independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.

vTPM: el inicio seguro presenta una versión virtualizada de un módulo de plataforma segura de hardware (TPM), compatible con la especificación TPM 2.0. Sirve como almacén seguro dedicado para claves y medidas. El inicio seguro proporciona la máquina virtual con su propia instancia de TPM dedicada, que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores). El inicio seguro usa vTPM para realizar la atestación remota por parte de la nube. Se usa para las comprobaciones de estado de la plataforma y para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente. Si hubiera un error en el proceso, posiblemente porque la máquina virtual ejecutase un componente no autorizado, Microsoft Defender for Cloud emitirá alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.
Arranque seguro: en la raíz del inicio seguro se encuentra el Arranque seguro para la máquina virtual. Este modo, que se implementa en el firmware de la plataforma, protege frente a la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual. Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Tanto Windows como las distribuciones de Linux seleccionadas admiten el arranque seguro. Si el arranque seguro no pudiera autenticar una imagen firmada por un publicador de confianza, la máquina virtual no arrancará. Para obtener más información, consulta Arranque seguro.

Antes de empezar

La versión 2.66.0 de la CLI de Azure, o cualquier versión posterior. Ejecute az --version para buscar la versión y ejecute az upgrade para actualizar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.

El Arranque Seguro requiere cargadores de arranque firmados, núcleos del sistema operativo y controladores.

Limitaciones

AKS admite el inicio seguro en la versión 1.25.2 y versiones posteriores del kubernetes.
El inicio seguro solo admite máquinas virtuales de Generación 2 de Azure.
No se admiten grupos de nodos con sistema operativo Windows Server.
El inicio seguro no se puede habilitar en el mismo grupo de nodos que FIPS, Arm64, Espacio aislado de pods o máquina virtual confidencial. Para más información, consulte la documentación de imágenes de nodo.
El Trusted Launch no admite el nodo virtual.
No se admiten los conjuntos de disponibilidad, solo Microsoft Azure Virtual Machine Scale Sets.
Para habilitar Arranque seguro en grupos de nodos de GPU, deberá omitir la instalación del controlador de GPU. Para obtener más información, consulte Omitir la instalación de controladores de GPU.
Los discos de sistema operativo efímeros se pueden crear con el inicio seguro y se admiten todas las regiones. Sin embargo, no se admiten todos los tamaños de máquinas virtuales. Para obtener más información, consulte Tamaños de sistemas operativos efímeros de inicio seguro.
Flatcar Container Linux para AKS no admite el inicio seguro en AKS.

Creación de un clúster de AKS con inicio seguro habilitado

Al crear un clúster, habilitar vTPM o arranque seguro configura automáticamente los grupos de nodos para usar la imagen de inicio seguro personalizada. Esta imagen está configurada específicamente para admitir las características de seguridad habilitadas por el inicio seguro.

Cree un clúster de AKS con el comando az aks create. Antes de ejecutar el comando, revise los parámetros siguientes:
- --name: escriba un nombre único para el clúster de AKS, como myAKSCluster.
- --resource-group: escriba el nombre de un grupo de recursos existente para hospedar el recurso de clúster de AKS.
- --enable-secure-boot: habilita el Arranque Seguro para autenticar una imagen firmada por un editor de confianza.
- --enable-vtpm: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
Nota:

El Arranque Seguro requiere cargadores de arranque firmados, núcleos del sistema operativo y controladores. Si después de habilitar Arranque seguro los nodos no se iniciasen, compruebe qué componentes de arranque son los responsables de los errores de Arranque seguro dentro de una máquina virtual Linux de Azure. Consulte Comprobación de errores de Arranque seguro.

En el siguiente ejemplo se crea un clúster denominado myAKSCluster con un nodo en myResourceGroup y se habilita Arranque seguro y vTPM:
```
az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-count 1 \
    --enable-secure-boot \
    --enable-vtpm \
    --generate-ssh-keys
```
Ejecute el siguiente comando para obtener las credenciales de acceso del clúster de Kubernetes. Use el comando az aks get-credentials y reemplace los valores del nombre del clúster y el nombre del grupo de recursos.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Cree una plantilla con parámetros de inicio seguro. Antes de crear la plantilla, revise los parámetros siguientes:
- enableSecureBoot: habilita Arranque seguro para autenticar imágenes firmadas por publicadores de confianza.
- enableVTPM: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
En la plantilla, proporcione valores para enableVTPM y enableSecureBoot. El mismo esquema usado para la implementación de la CLI existe en la definición Microsoft.ContainerService/managedClusters/agentPools en "properties", como se muestra en el ejemplo siguiente:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implemente la plantilla con vTPM y arranque seguro habilitado en el clúster. Consulte Implementación de un clúster de AKS mediante una plantilla de ARM para obtener instrucciones detalladas.

Agregar un grupo de nodos con el inicio seguro habilitado

Cuando crea un grupo de nodos, habilitar vTPM o arranque seguro configura automáticamente los grupos de nodos para usar la imagen de inicio seguro personalizada. Esta imagen está configurada específicamente para admitir las características de seguridad habilitadas por el inicio seguro.

Agregue un grupo de nodos con inicio seguro habilitado mediante el comando az aks nodepool add. Antes de ejecutar el comando, revise los parámetros siguientes:
- --cluster-name: escriba el nombre del clúster de AKS.
- --resource-group: escriba el nombre de un grupo de recursos existente para hospedar el recurso de clúster de AKS.
- --name: escriba un nombre único para el grupo de nodos. El nombre de un grupo de nodos solo puede contener caracteres alfanuméricos en minúsculas y debe comenzar con una letra minúscula. En el caso de los grupos de nodos de Linux, la longitud debe estar comprendida entre 1 y 11 caracteres.
- --node-count: el número de nodos del grupo de agentes de Kubernetes. El valor predeterminado es 3.
- --enable-secure-boot: habilita Arranque seguro para autenticar imágenes firmadas por publicadores de confianza.
- --enable-vtpm: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
Nota:

El Arranque Seguro requiere cargadores de arranque firmados, núcleos del sistema operativo y controladores. Si después de habilitar Arranque seguro los nodos no se iniciasen, compruebe qué componentes de arranque son los responsables de los errores de Arranque seguro dentro de una máquina virtual Linux de Azure. Consulte Comprobación de errores de Arranque seguro.

En el ejemplo siguiente se implementa un grupo de nodos con vTPM y Arranque seguro habilitados en un clúster denominado myAKSCluster con tres nodos:
```
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
```
Compruebe que el grupo de nodos usa una imagen de inicio seguro.

Los nodos de inicio seguro tienen la siguiente salida:
- Versión de la imagen de nodo que contiene "TL", como "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" debe ser "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```

Cree una plantilla con parámetros de inicio seguro. Antes de crear la plantilla, revise los parámetros siguientes:
- enableSecureBoot: habilita Arranque seguro para autenticar imágenes firmadas por publicadores de confianza.
- enableVTPM: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
En la plantilla, proporcione valores para enableVTPM y enableSecureBoot. El mismo esquema usado para la implementación de la CLI existe en la definición Microsoft.ContainerService/managedClusters/agentPools en "properties", como se muestra en el ejemplo siguiente:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implemente la plantilla con vTPM y arranque seguro habilitado en el clúster. Consulte Implementación de un clúster de AKS mediante una plantilla de ARM para obtener instrucciones detalladas.

Habilitación del arranque seguro o vTPM en un grupo de nodos de inicio seguro existente

Puede actualizar un grupo de nodos de inicio seguro existente para habilitar vTPM o arranque seguro. Se admiten los siguientes escenarios:

Al crear un grupo de nodos, solo se especifica --enable-secure-boot, puede ejecutar el comando de actualización en --enable-vtpm
Al crear un grupo de nodos, solo se especifica --enable-vtpm, puede ejecutar el comando de actualización en --enable-secure-boot

Si el grupo de nodos no tiene actualmente una imagen de inicio seguro, no podrá actualizar el grupo de nodos para habilitar el arranque seguro o vTPM.

Compruebe que el grupo de nodos usa una imagen de inicio seguro.

Los nodos de inicio seguro tienen la siguiente salida:
- Versión de la imagen de nodo que contiene "TL", como "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" debe ser "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Si el grupo de nodos no tiene actualmente una imagen de inicio seguro, no podrá actualizar el grupo de nodos para habilitar el arranque seguro o vTPM.
Actualice un grupo de nodos con inicio seguro habilitado mediante el comando az aks nodepool update. Antes de ejecutar el comando, revise los parámetros siguientes:
- --resource-group: escriba el nombre de un grupo de recursos existente que hospeda el clúster de AKS existente.
- --cluster-name: Escriba un nombre único para el clúster de AKS, como myAKSCluster.
- --name: escriba el nombre del grupo de nodos, como mynodepool.
- --enable-secure-boot: habilita Arranque Seguro para autenticar que la imagen fue firmada por un publicador de confianza.
- --enable-vtpm: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
Nota:

El Arranque Seguro requiere cargadores de arranque firmados, núcleos del sistema operativo y controladores. Si después de habilitar Arranque seguro los nodos no se iniciasen, compruebe qué componentes de arranque son los responsables de los errores de Arranque seguro dentro de una máquina virtual Linux de Azure. Consulte Comprobación de errores de Arranque seguro.

En el ejemplo siguiente se actualiza el grupo de nodos mynodepool en myAKSCluster de myResourceGroup y se habilita vTPM. En este escenario, se habilitó el arranque seguro durante la creación del grupo de nodos:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
```
En el ejemplo siguiente se actualiza el grupo de nodos mynodepool en myAKSCluster de myResourceGroup y se habilita el arranque seguro. En este escenario, se habilitó vTPM durante la creación del grupo de nodos:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
```

Compruebe que el grupo de nodos usa una imagen de inicio seguro.

Los nodos de inicio seguro tienen la siguiente salida:
- Versión de la imagen de nodo que contiene "TL", como "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" debe ser "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Si el grupo de nodos no tiene actualmente una imagen de inicio seguro, no podrá actualizar el grupo de nodos para habilitar el arranque seguro o vTPM.
Cree una plantilla con parámetros de inicio seguro. Antes de crear la plantilla, revise los parámetros siguientes:
- enableSecureBoot: habilita Arranque seguro para autenticar imágenes firmadas por publicadores de confianza.
- enableVTPM: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
En la plantilla, proporcione valores para enableVTPM y enableSecureBoot. El mismo esquema usado para la implementación de la CLI existe en la definición Microsoft.ContainerService/managedClusters/agentPools en "properties", como se muestra en el ejemplo siguiente:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implemente la plantilla con vTPM y arranque seguro habilitado en el clúster. Consulte Implementación de un clúster de AKS mediante una plantilla de ARM para obtener instrucciones detalladas.

Asignar pods a nodos con el inicio seguro habilitado

Es posible restringir pods y restringirlos para que se ejecuten en un nodo o nodos concretos, o dar preferencia a los nodos con el inicio seguro habilitado. Es posible controlarlo mediante el siguiente selector de grupos de nodos en el manifiesto de pod.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

Desactivar vTPM o arranque seguro en un grupo de nodos de inicio seguro existente

Puede actualizar un grupo de nodos existente para deshabilitar vTPM o arranque seguro. Cuando esto ocurra, seguirá estando en la imagen de inicio seguro. Puede volver a habilitar vTPM o arranque seguro en cualquier momento actualizando el grupo de nodos.

Actualice un grupo de nodos para deshabilitar el arranque seguro o vTPM mediante el comando az aks nodepool update. Antes de ejecutar el comando, revise los parámetros siguientes:

--resource-group: escriba el nombre de un grupo de recursos existente que hospeda el clúster de AKS existente.
--cluster-name: Escriba un nombre único para el clúster de AKS, como myAKSCluster.
--name: escriba el nombre del grupo de nodos, como mynodepool.
--enable-secure-boot: habilita Arranque Seguro para autenticar que la imagen fue firmada por un publicador de confianza.
--enable-vtpm: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.

Para deshabilitar vTPM en un grupo de nodos existente:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Para deshabilitar el arranque seguro en un grupo de nodos existente:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot

Cree una plantilla con parámetros de inicio seguro. Antes de crear la plantilla, revise los parámetros siguientes:
- enableSecureBoot: habilita Arranque seguro para autenticar imágenes firmadas por publicadores de confianza.
- enableVTPM: habilita vTPM y realiza la atestación mediante la medición de toda la cadena de arranque de la máquina virtual.
En la plantilla, proporcione valores para enableVTPM y enableSecureBoot. El mismo esquema usado para la implementación de la CLI existe en la definición Microsoft.ContainerService/managedClusters/agentPools en "properties", como se muestra en el ejemplo siguiente:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "false",
        "enableSecureBoot": "false",
    }
}
```
Implemente la plantilla con vTPM y arranque seguro deshabilitado en el clúster. Consulte Implementación de un clúster de AKS mediante una plantilla de ARM para obtener instrucciones detalladas.

Pasos siguientes

En este artículo, aprendió a habilitar el inicio seguro. Más información sobre el inicio seguro.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-11-10