Independentemente do provedor de chaves usado, com o vSphere Virtual Machine Encryption você pode criar máquinas virtuais criptografadas e criptografar máquinas virtuais existentes. Como todos os arquivos da máquina virtual com informações confidenciais são criptografados, a máquina virtual está protegida. Somente os administradores com privilégios de criptografia podem realizar tarefas de criptografia e descriptografia.
Qual armazenamento o vSphere Virtual Machine Encryption suporta
O vSphere Virtual Machine Encryption funciona com qualquer tipo de armazenamento compatível (NFS, iSCSI, Fibre Channel, armazenamento de conexão direta e assim por diante), incluindo o VMware vSAN. Para obter mais informações sobre como usar criptografia em um cluster do vSAN, consulte a documentação do Administração do VMware vSAN .
O vSphere Virtual Machine Encryption e o vSAN usam as mesmas bibliotecas de criptografia, mas têm perfis diferentes. A criptografia de VM é uma criptografia por VM e o vSAN é uma criptografia de nível de armazenamento de dados.
Quais chaves de criptografia são usadas por cada tipo de provedor de chave
Dependendo do tipo de provedor de chaves, diferentes chaves de criptografia são usadas e diferentes métodos são usados para criá-las e gerenciá-las.
- O host ESXi gera e usa chaves internas para criptografar máquinas virtuais e discos. Essas chaves são usadas como chaves de criptografia de dados (DEKs) e são chaves XTS-AES-256.
- vCenter Server solicita chaves do servidor de chaves (KMS). Essas chaves são usadas como a chave de criptografia de chave (KEK) e são chaves AES-256. vCenter Server armazena apenas o ID de cada KEK, mas não a chave em si.
- ESXi usa a KEK para criptografar as chaves internas e armazena a chave interna criptografada no disco. ESXi não armazena a KEK no disco. Se um host for reinicializado, o vCenter Server solicitará a KEK com o ID correspondente do servidor de chaves e o disponibilizará para ESXi. ESXi pode então descriptografar as chaves internas conforme necessário.
O provedor de chaves confiáveis vSphere Trust Authority usa as seguintes chaves.
- O vCenter Server do cluster confiável verifica se o provedor de chave confiável padrão está acessível ao host ESXi onde a máquina virtual criptografada deve ser criada.
- O vCenter Server do cluster confiável adiciona o provedor de chave confiável ao ConfigSpec da máquina virtual.
- A solicitação de criação da máquina virtual é enviada ao host ESXi.
- Se um token de atestado ainda não estiver disponível para o host ESXi, ele solicitará um do Serviço de Atestado.
- O Serviço do Provedor de Chave valida o token de atestado e cria uma Chave de Criptografia de Chave (KEK) para ser enviada ao host ESXi. A KEK é encapsulada (criptografada) com a chave primária configurada no provedor de chaves. O texto cifrado e o texto sem formatação KEK são retornados ao host confiável.
- O host ESXi gera uma chave de criptografia de dados (DEK) para criptografar os discos da máquina virtual.
- A KEK é usada para encapsular a DEK gerada pelo host ESXi, e o texto cifrado do provedor de chave é armazenado junto com os dados criptografados.
- A máquina virtual é criptografada e gravada no armazenamento.
O vSphere Native Key Provider usa as seguintes chaves.
- Quando você cria o provedor de chaves, o vCenter Server gera uma chave primária e a envia para os hosts ESXi no cluster.
- Os hosts ESXi geram uma chave de criptografia de dados (DEK) sob demanda.
- Quando você executa uma atividade de criptografia, os dados são criptografados com a DEK.
DEKs criptografadas são armazenadas junto com os dados criptografados.
- Quando você descriptografa dados, a chave primária é usada para descriptografar a DEK e, em seguida, os dados.
O que está criptografado
- Arquivos de máquina virtual
-
A maioria dos arquivos de máquina virtual, em particular, dados de convidado que não são armazenados no arquivo VMDK, são criptografados. Esse conjunto de arquivos inclui, mas não está limitado aos arquivos NVRAM, VSWP e VMSN. A chave do provedor de chaves desbloqueia um pacote criptografado no arquivo VMX que contém chaves internas e outros segredos. A recuperação da chave funciona da seguinte maneira, dependendo do provedor de chaves:
- Provedor de chaves padrão: vCenter Server gerencia as chaves do servidor de chaves e os hosts ESXi não podem acessar diretamente o provedor de chaves. Os hosts aguardam que vCenter Server envie as chaves.
- Trusted key provider e vSphere Native Key Provider: os hosts do ESXi acessam diretamente os provedores de chave e, portanto, buscam as chaves solicitadas no serviço do vSphere Trust Authority diretamente ou no vSphere Native Key Provider.
- Arquivos de disco virtual
- Os dados em um arquivo de disco virtual criptografado (VMDK) nunca são gravados em texto não criptografado para armazenamento ou disco físico e nunca são transmitidos pela rede em texto não criptografado. O arquivo de descritor VMDK é principalmente de texto não criptografado, mas contém uma ID de chave para a KEK e a chave interna (DEK) no pacote criptografado.
- Despejos principais
- Os despejos de memória em um host ESXi que tem o modo de criptografia ativado são sempre criptografados. Consulte vSphere Virtual Machine Encryption and Core Dumps. Os despejos de memória no sistema vCenter Server não são criptografados. Proteja o acesso ao sistema do vCenter Server.
O que não está criptografado
Quem pode realizar operações criptográficas
Somente os usuários atribuídos aos privilégios de Operações criptográficas podem realizar operações criptográficas. O conjunto de privilégios é refinado. A função de sistema padrão do Administrador inclui todos os privilégios de Operações criptográficas . A função de administrador sem criptografia oferece suporte a todos os privilégios de administrador, exceto para os privilégios de operações criptográficas .
Além de usar o Cryptographer.* Privilégios de , o vSphere Native Key Provider pode usar o privilégio Cryptographer.ReadKeyServersInfo , que é específico para vSphere Native Key Providers.
Consulte Privilégios de operações criptográficas para obter mais informações.
Você pode criar funções personalizadas adicionais, por exemplo, para permitir que um grupo de usuários criptografe máquinas virtuais, mas para impedi-los de descriptografar as máquinas virtuais.
Como posso realizar operações criptográficas
O vSphere Client suporta muitas das operações criptográficas. Para outras tarefas, você pode usar o vSphere API.
Interface | Operações | Informação |
---|---|---|
vSphere Client | Criar máquina virtual criptografada Criptografar e descriptografar máquinas virtuais |
Este livro |
PowerCLI | Criar máquina virtual criptografada Criptografar e descriptografar máquinas virtuais Configurar o vSphere Trust Authority |
VMware PowerCLI Referência de cmdlets |
vSphere Web Services SDK | Criar máquina virtual criptografada Criptografar e descriptografar máquinas virtuais Realize uma nova criptografia profunda de uma máquina virtual (use uma DEK diferente) Realize uma nova criptografia superficial de uma máquina virtual (use uma KEK diferente) |
vSphere Web Services SDK Guia de programação Referência da API do vSphere Web Services |
crypto-util | Descriptografar despejos de memória criptografados Verifique se os arquivos estão criptografados Realize outras tarefas de gerenciamento diretamente no host ESXi |
Ajuda da linha de comando |
Reciptografia de máquinas virtuais
Você pode criptografar novamente uma máquina virtual com novas chaves, por exemplo, no caso de uma chave expirar ou ficar comprometida. As seguintes opções estão disponíveis:
- Uma nova criptografia profunda, que substitui a chave de criptografia de disco (DEK) e a chave de criptografia de chave (KEK)
- Uma nova criptografia rasa, que substitui apenas a KEK
Você deve realizar uma nova criptografia de uma máquina virtual usando a API. Consulte o vSphere Web Services SDK Guia de programação .
Uma recodificação profunda requer que a máquina virtual esteja desligada e não contenha instantâneos. Você pode realizar uma operação de recodificação superficial enquanto a máquina virtual está ligada e se a máquina virtual tiver instantâneos presentes. A recodificação superficial de uma máquina virtual criptografada com instantâneos é permitida apenas em uma única ramificação de instantâneo (cadeia de disco). Não há suporte para várias ramificações de instantâneo. Além disso, a recodificação superficial não é suportada em um clone vinculado de uma máquina virtual ou disco. Se a nova criptografia superficial falhar antes de atualizar todos os links na cadeia com a nova KEK, você ainda poderá acessar a máquina virtual criptografada se tiver as KEKs novas e antigas. No entanto, é melhor emitir novamente a operação de recodificação superficial antes de realizar qualquer operação de instantâneo.