Depois de configurar um provedor de chaves, os usuários com os privilégios necessários podem criar máquinas virtuais e discos criptografados. Esses usuários também podem criptografar máquinas virtuais existentes e descriptografar máquinas virtuais criptografadas e adicionar Virtual Trusted Platform Modules (vTPMs) às máquinas virtuais.
Dependendo do tipo de provedor de chave, o fluxo do processo pode envolver um servidor de chaves, o vCenter Server e o host ESXi.
Fluxo do processo de criptografia do provedor de chave padrão
- Quando o usuário executa uma tarefa de criptografia, por exemplo, criando uma máquina virtual criptografada, o vCenter Server solicita uma nova chave do servidor de chaves padrão. Essa chave é usada como a KEK.
- vCenter Server armazena o ID da chave e passa a chave para o host ESXi. Se o host ESXi fizer parte de um cluster, vCenter Server enviará a KEK para cada host no cluster.
A chave em si não é armazenada no sistema vCenter Server. Apenas o ID da chave é conhecido.
- O host ESXi gera chaves internas (DEKs) para a máquina virtual e seus discos. Ele mantém as chaves internas apenas na memória e usa as KEKs para criptografar as chaves internas.
As chaves internas não criptografadas nunca são armazenadas no disco. Somente dados criptografados são armazenados. Como as KEKs vêm do servidor de chaves, o host continua a usar as mesmas KEKs.
- O host ESXi criptografa a máquina virtual com a chave interna criptografada.
Todos os hosts que têm a KEK e que podem acessar o arquivo de chave criptografada podem realizar operações na máquina virtual ou disco criptografado.
Fluxo do processo de criptografia do provedor de chave confiável
O fluxo do processo de criptografia de vSphere Trust Authority inclui os serviços vSphere Trust Authority, os provedores de chave confiáveis, os hosts vCenter Server e ESXi.
Criptografar uma máquina virtual com um provedor de chaves confiável é semelhante à experiência do usuário de criptografia da máquina virtual ao usar um provedor de chaves padrão. A criptografia da máquina virtual em vSphere Trust Authority continua a depender das políticas de armazenamento de criptografia da máquina virtual ou da presença de um dispositivo vTPM para decidir quando criptografar uma máquina virtual. Você ainda usa um provedor de chaves configurado padrão (chamado de cluster KMS no vSphere 6.5 e 6.7) ao criptografar uma máquina virtual do vSphere Client. E você ainda pode usar as APIs de forma semelhante para especificar o provedor de chaves manualmente. Os privilégios de criptografia existentes adicionados para o vSphere 6.5 ainda são relevantes no vSphere 7.0 para vSphere Trust Authority.
O processo de criptografia para o provedor de chave confiável tem algumas diferenças importantes em relação ao provedor de chave padrão:
-
Os administradores do Trust Authority não especificam informações diretamente ao configurar um servidor de chaves para uma instância do vCenter Server e não estabelecem a confiança do servidor de chaves. Em vez disso, o vSphere Trust Authority publica provedores de chaves confiáveis que os hosts confiáveis podem usar.
- O vCenter Server não envia mais chaves para ESXi hosts e, em vez disso, pode tratar cada provedor de chave confiável como uma única chave de nível superior.
- Somente hosts confiáveis podem solicitar operações de criptografia de hosts de autoridade de confiança.
Fluxo do processo de criptografia do provedor de chave nativa do vSphere
O vSphere Native Key Provider está incluído no vSphere a partir da versão 7.0 Update 2. Quando você configura um vSphere Native Key Provider, o vCenter Server envia uma chave primária para todos os hosts do ESXi no cluster. Da mesma forma, se você atualizar ou excluir um vSphere Native Key Provider, a alteração será enviada aos hosts no cluster. O fluxo do processo de criptografia é semelhante ao funcionamento de um provedor de chaves confiáveis. A diferença é que o vSphere Native Key Provider gera as chaves e as envolve com a chave primária e, em seguida, as entrega de volta para executar a criptografia.
Atributos personalizados para servidores de chave
O Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP) oferece suporte à adição de atributos personalizados para fins específicos do fornecedor. Os atributos personalizados permitem que você identifique mais especificamente as chaves armazenadas no seu servidor de chaves. vCenter Server adiciona os seguintes atributos personalizados para chaves de máquina virtual e chaves de host.
| Atributos personalizados | Valor |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Versão vCenter Server |
x-Component |
Máquina virtual |
x-Name |
Nome da máquina virtual (obtido de ConfigInfo ou ConfigSpec) |
x-Identifier |
InstânciaUuid da máquina virtual (obtida de ConfigInfo ou ConfigSpec) |
| Atributos personalizados | Valor |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Versão vCenter Server |
x-Component |
Servidor do ESXi |
x-Name |
Nome do host |
x-Identifier |
UUID de hardware do host |
vCenter Server adiciona os atributos x-Vendor, x-Product e x-Product_Version quando o servidor de chaves cria uma chave. Quando a chave é usada para criptografar uma máquina virtual ou host, vCenter Server define os atributos x-Component, x-Identifier e x-Name. Você pode visualizar esses atributos personalizados na interface de usuário do servidor de chaves. Verifique com o seu fornecedor de servidor de chaves.
A chave do host e a chave da máquina virtual têm os seis atributos personalizados. x-Vendor, x-Product e x-Product_Version podem ser os mesmos para ambas as chaves. Esses atributos são definidos quando a chave é gerada. Dependendo se a chave é para uma máquina virtual ou um host, ela pode ter os atributos x-Component, x-Identifier e x-Name anexados.
Principais erros
Quando ocorre um erro ao enviar chaves do servidor de chaves para um host ESXi, o vCenter Server gera uma mensagem no log de eventos para os seguintes eventos:
- Falha ao adicionar chaves ao host ESXi devido a problemas de conexão ou suporte ao host.
- Falha ao obter chaves do servidor de chaves devido à falta de chave no servidor de chaves.
- Falha ao obter chaves do servidor de chaves devido à conexão do servidor de chaves.
Descriptografando máquinas virtuais criptografadas
Se, posteriormente, você quiser descriptografar uma máquina virtual criptografada, altere sua política de armazenamento. Você pode alterar a política de armazenamento para a máquina virtual e todos os discos. Se você quiser descriptografar componentes individuais, descriptografe os discos selecionados primeiro e, em seguida, descriptografe a máquina virtual alterando a política de armazenamento da VM Home. Ambas as chaves são necessárias para a descriptografia de cada componente. Consulte o Descriptografar uma máquina virtual ou um disco virtual criptografado.
