No vSphere 7.0 Update 2 e versões posteriores, você pode usar o vSphere Native Key Provider integrado para ativar tecnologias de criptografia, como TPMs virtuais (vTPM).
O vSphere Native Key Provider está incluído em todas as edições do vSphere e não requer um servidor de chave externo (também chamado de Key Management Server (KMS) no setor). Você também pode usar o vSphere Native Key Provider para vSphere Virtual Machine Encryption, mas deve adquirir o VMware vSphere® Enterprise Plus Edition™.
O que é o vSphere Native Key Provider
Com um provedor de chaves padrão ou confiável, você deve configurar um servidor de chaves externo. Em uma configuração de provedor de chaves padrão, o vCenter Server busca as chaves do servidor de chaves externo e as distribui para os hosts do ESXi. Em uma configuração de provedor de chaves confiáveis (vSphere Trust Authority), os hosts ESXi confiáveis buscam as chaves diretamente.
Com o vSphere Native Key Provider, você não precisa mais de um servidor de chaves externo. vCenter Server gera uma chave primária, chamada Key Derivation Key (KDK), e a envia para todos os hosts ESXi no cluster. Os hosts ESXi geram chaves de criptografia de dados (mesmo quando não estão conectados a vCenter Server) para ativar a funcionalidade de segurança, como vTPMs. A funcionalidade do vTPM está incluída em todas as edições do vSphere. Para usar o vSphere Native Key Provider para vSphere Virtual Machine Encryption, você deve ter adquirido o vSphere Enterprise Plus Edition. O vSphere Native Key Provider pode coexistir com uma infraestrutura de servidor de chaves existente.
Provedor de chave nativa do vSphere:
- Permite o uso de vTPMs, vSphere Virtual Machine Encryption e criptografia de dados de vSAN quando você não precisa ou deseja um servidor de chaves externo.
- Funciona apenas com produtos de infraestrutura do VMware.
- Não fornece interoperabilidade externa, suporte a KMIP, módulos de segurança de hardware ou outros recursos que um servidor de chave externo tradicional de terceiros pode oferecer para interoperabilidade ou conformidade regulamentar. Se a sua organização exigir essa funcionalidade para produtos e componentes que não sejam do VMware, instale um servidor de chaves tradicional de terceiros.
- Ajuda a atender às necessidades das organizações que não podem usar ou não querem usar um servidor de chaves externo.
- Melhora as práticas de higienização de dados e reutilização do sistema, permitindo o uso antecipado de tecnologias de criptografia em mídia que é difícil de limpar, como flash e SSD.
- Fornece um caminho de transição entre os principais provedores. O vSphere Native Key Provider é compatível com o provedor de chaves padrão do VMware e o provedor de chaves confiáveis do vSphere Trust Authority.
- Funciona com vários sistemas do vCenter Server usando uma configuração de modo vinculado aprimorado ou uma configuração de alta disponibilidade do vCenter Server.
- Pode ser usado para habilitar o vTPM em todas as edições do vSphere e criptografar máquinas virtuais com a compra da vSphere Enterprise Plus Edição que inclui o vSphere Virtual Machine Encryption. O vSphere Virtual Machine Encryption funciona com o vSphere Native Key Provider da mesma forma que o faz com os VMware provedores de chaves padrão e confiáveis.
- Pode ser usado para ativar a criptografia de vSAN dados em repouso com o uso de uma licença do vSAN apropriada.
- Pode usar um Trusted Platform Module (TPM) 2.0 para aumentar a segurança quando um está instalado em um host ESXi. Você também pode configurar o vSphere Native Key Provider para ficar disponível apenas para hosts nos quais um TPM 2.0 está instalado.
Como acontece com todas as soluções de segurança, considere o design do sistema, as considerações de implementação e as compensações do uso do Provedor de Chave Nativa. Por exemplo, a persistência de chave ESXi evita que a dependência de um servidor de chaves esteja sempre disponível. No entanto, como a persistência de chave armazena as informações criptográficas do Provedor de Chave Nativa nos hosts clusterizados, você ainda estará em risco se agentes mal-intencionados roubarem os próprios hosts ESXi. Como os ambientes são diferentes, avalia e implementa seus controles de segurança de acordo com as necessidades regulatórias e de segurança, os requisitos operacionais e a tolerância ao risco da sua organização.
Para obter mais informações sobre a visão geral do vSphere Native Key Provider, consulte https://core.vmware.com/native-key-provider.
Requisitos do vSphere Native Key Provider
Para usar o vSphere Native Key Provider, você deve:
- Certifique-se de que os hosts do sistema vCenter Server e ESXi estejam executando o vSphere 7.0 Update 2 ou posterior.
- Configure os hosts ESXi em um cluster.
- Configure o backup baseado em arquivo vCenter Server e restaure e armazene os backups com segurança, pois eles contêm a chave de derivação da chave. Consulte o tópico sobre vCenter Server backup e restauração em vCenter Server Instalação e configuração .
Para executar a criptografia vSphere Virtual Machine Encryption ou vSAN usando o vSphere Native Key Provider, você deve comprar a edição desses produtos que contenham a licença apropriada.
vSphere Native Key Provider e Enhanced Linked Mode
Você pode configurar um único vSphere Native Key Provider que seja compartilhável em vCenter Server sistemas configurados em uma configuração do Enhanced Linked Mode. As etapas de alto nível neste cenário são:
- Criando o vSphere Native Key Provider em um dos sistemas do vCenter Server
- Fazendo backup do provedor de chave nativa no vCenter Server no qual ele foi criado
- Exportando o provedor de chave nativa
- Importando o Provedor de Chave Nativa para os outros vCenter Server sistemas na configuração do Modo de Link Avançado
Privilégios de Provedor de Chave Nativa do vSphere
Assim como acontece com os provedores de chaves padrão e confiáveis, o vSphere Native Key Provider usa o Cryptographer.* Privilégios de . Além disso, o vSphere Native Key Provider usa o privilégio Cryptographer.ReadKeyServersInfo , que é específico para vSphere Native Key Providers, para listar vSphere Native Key Providers. Consulte o Privilégios de operações criptográficas.
vSphere Native Key Provider Alarms
Você deve fazer backup de um vSphere Native Key Provider. Quando um vSphere Native Key Provider não tem backup, o vCenter Server gera um alarme. Quando você faz backup do vSphere Native Key Provider para o qual um alarme foi gerado, o vCenter Server redefine o alarme. Por padrão, o vCenter Server verifica os provedores de chave nativa do vSphere com backup uma vez por dia. Você pode alterar o intervalo de verificação modificando a opção vpxd.KMS.backupCheckInterval.
Verificação periódica de correção do vSphere Native Key Provider
O vCenter Server verifica periodicamente se a configuração do vSphere Native Key Provider nos hosts vCenter Server e ESXi corresponde. Quando o estado de um host muda, por exemplo, quando você adiciona um host ao cluster, a configuração do provedor de chave no cluster se afasta da configuração no host. Se a configuração (keyID) for diferente no host, o vCenter Server atualizará a configuração do host automaticamente. Nenhuma intervenção manual é necessária.
Por padrão, o vCenter Server verifica a configuração a cada cinco minutos. Você pode modificar o intervalo usando a opção vpxd.KMS.remediationInterval.