Independentemente do provedor de chaves usado, com o vSphere Virtual Machine Encryption você pode criar máquinas virtuais criptografadas e criptografar máquinas virtuais existentes. Como todos os arquivos da máquina virtual com informações confidenciais são criptografados, a máquina virtual está protegida. Somente os administradores com privilégios de criptografia podem realizar tarefas de criptografia e descriptografia.

Qual armazenamento o vSphere Virtual Machine Encryption suporta

O vSphere Virtual Machine Encryption funciona com qualquer tipo de armazenamento compatível (NFS, iSCSI, Fibre Channel, armazenamento de conexão direta e assim por diante), incluindo o VMware vSAN. Para obter mais informações sobre como usar criptografia em um cluster do vSAN, consulte a documentação do Administração do VMware vSAN .

O vSphere Virtual Machine Encryption e o vSAN usam as mesmas bibliotecas de criptografia, mas têm perfis diferentes. A criptografia de VM é uma criptografia por VM e o vSAN é uma criptografia de nível de armazenamento de dados.

Quais chaves de criptografia são usadas por cada tipo de provedor de chave

Dependendo do tipo de provedor de chaves, diferentes chaves de criptografia são usadas e diferentes métodos são usados para criá-las e gerenciá-las.

O provedor de chaves padrão usa as seguintes chaves.
  1. O host ESXi gera e usa chaves internas para criptografar máquinas virtuais e discos. Essas chaves são usadas como chaves de criptografia de dados (DEKs) e são chaves XTS-AES-256.
  2. vCenter Server solicita chaves do servidor de chaves (KMS). Essas chaves são usadas como a chave de criptografia de chave (KEK) e são chaves AES-256. vCenter Server armazena apenas o ID de cada KEK, mas não a chave em si.
  3. ESXi usa a KEK para criptografar as chaves internas e armazena a chave interna criptografada no disco. ESXi não armazena a KEK no disco. Se um host for reinicializado, o vCenter Server solicitará a KEK com o ID correspondente do servidor de chaves e o disponibilizará para ESXi. ESXi pode então descriptografar as chaves internas conforme necessário.

O provedor de chaves confiáveis vSphere Trust Authority usa as seguintes chaves.

  1. O vCenter Server do cluster confiável verifica se o provedor de chave confiável padrão está acessível ao host ESXi onde a máquina virtual criptografada deve ser criada.
  2. O vCenter Server do cluster confiável adiciona o provedor de chave confiável ao ConfigSpec da máquina virtual.
  3. A solicitação de criação da máquina virtual é enviada ao host ESXi.
  4. Se um token de atestado ainda não estiver disponível para o host ESXi, ele solicitará um do Serviço de Atestado.
  5. O Serviço do Provedor de Chave valida o token de atestado e cria uma Chave de Criptografia de Chave (KEK) para ser enviada ao host ESXi. A KEK é encapsulada (criptografada) com a chave primária configurada no provedor de chaves. O texto cifrado e o texto sem formatação KEK são retornados ao host confiável.
  6. O host ESXi gera uma chave de criptografia de dados (DEK) para criptografar os discos da máquina virtual.
  7. A KEK é usada para encapsular a DEK gerada pelo host ESXi, e o texto cifrado do provedor de chave é armazenado junto com os dados criptografados.
  8. A máquina virtual é criptografada e gravada no armazenamento.
Observação: Se você excluir ou cancelar o registro de uma máquina virtual criptografada, o host ESXi e o cluster removerão a KEK do cache. O host ESXi não pode mais usar a KEK. Esse comportamento é o mesmo para provedores de chaves padrão e provedores de chaves confiáveis.

O vSphere Native Key Provider usa as seguintes chaves.

  1. Quando você cria o provedor de chaves, o vCenter Server gera uma chave primária e a envia para os hosts ESXi no cluster.
  2. Os hosts ESXi geram uma chave de criptografia de dados (DEK) sob demanda.
  3. Quando você executa uma atividade de criptografia, os dados são criptografados com a DEK.

    DEKs criptografadas são armazenadas junto com os dados criptografados.

  4. Quando você descriptografa dados, a chave primária é usada para descriptografar a DEK e, em seguida, os dados.

O que está criptografado

O vSphere Virtual Machine Encryption oferece suporte à criptografia de arquivos de máquina virtual, arquivos de disco virtual e arquivos de despejo de memória.
Arquivos de máquina virtual
A maioria dos arquivos de máquina virtual, em particular, dados de convidado que não são armazenados no arquivo VMDK, são criptografados. Esse conjunto de arquivos inclui, mas não está limitado aos arquivos NVRAM, VSWP e VMSN. A chave do provedor de chaves desbloqueia um pacote criptografado no arquivo VMX que contém chaves internas e outros segredos. A recuperação da chave funciona da seguinte maneira, dependendo do provedor de chaves:
  • Provedor de chaves padrão: vCenter Server gerencia as chaves do servidor de chaves e os hosts ESXi não podem acessar diretamente o provedor de chaves. Os hosts aguardam que vCenter Server envie as chaves.
  • Trusted key provider e vSphere Native Key Provider: os hosts do ESXi acessam diretamente os provedores de chave e, portanto, buscam as chaves solicitadas no serviço do vSphere Trust Authority diretamente ou no vSphere Native Key Provider.
Ao usar o vSphere Client para criar uma máquina virtual criptografada, você pode criptografar e descriptografar discos virtuais separados dos arquivos da máquina virtual. Todos os discos virtuais são criptografados por padrão. Para outras tarefas de criptografia, como criptografar uma máquina virtual existente, você pode criptografar e descriptografar discos virtuais separados dos arquivos da máquina virtual.
Observação: Não é possível associar um disco virtual criptografado a uma máquina virtual que não esteja criptografada.
Arquivos de disco virtual
Os dados em um arquivo de disco virtual criptografado (VMDK) nunca são gravados em texto não criptografado para armazenamento ou disco físico e nunca são transmitidos pela rede em texto não criptografado. O arquivo de descritor VMDK é principalmente de texto não criptografado, mas contém uma ID de chave para a KEK e a chave interna (DEK) no pacote criptografado.
Você pode usar o vSphere API para realizar uma operação de nova criptografia rasa com uma nova KEK ou uma operação de nova criptografia profunda com uma nova chave interna.
Despejos principais
Os despejos de memória em um host ESXi que tem o modo de criptografia ativado são sempre criptografados. Consulte vSphere Virtual Machine Encryption and Core Dumps. Os despejos de memória no sistema vCenter Server não são criptografados. Proteja o acesso ao sistema do vCenter Server.
Observação: Para obter informações sobre algumas limitações relacionadas a dispositivos e recursos com os quais o vSphere Virtual Machine Encryption pode interoperar, consulte Interoperabilidade de criptografia de máquina virtual.

O que não está criptografado

Alguns dos arquivos associados a uma máquina virtual não são criptografados ou parcialmente criptografados.
Arquivos de log
Os arquivos de log não são criptografados porque não contêm dados confidenciais.
Arquivos de configuração da máquina virtual
A maioria das informações de configuração da máquina virtual, armazenadas nos arquivos VMX e VMSD, não é criptografada.
Arquivo descritor de disco virtual
Para oferecer suporte ao gerenciamento de disco sem uma chave, a maior parte do arquivo descritor do disco virtual não é criptografada.

Quem pode realizar operações criptográficas

Somente os usuários atribuídos aos privilégios de Operações criptográficas podem realizar operações criptográficas. O conjunto de privilégios é refinado. A função de sistema padrão do Administrador inclui todos os privilégios de Operações criptográficas . A função de administrador sem criptografia oferece suporte a todos os privilégios de administrador, exceto para os privilégios de operações criptográficas .

Além de usar o Cryptographer.* Privilégios de , o vSphere Native Key Provider pode usar o privilégio Cryptographer.ReadKeyServersInfo , que é específico para vSphere Native Key Providers.

Consulte Privilégios de operações criptográficas para obter mais informações.

Você pode criar funções personalizadas adicionais, por exemplo, para permitir que um grupo de usuários criptografe máquinas virtuais, mas para impedi-los de descriptografar as máquinas virtuais.

Como posso realizar operações criptográficas

O vSphere Client suporta muitas das operações criptográficas. Para outras tarefas, você pode usar o vSphere API.

Tabela 1. Interfaces para realizar operações criptográficas
Interface Operações Informação
vSphere Client Criar máquina virtual criptografada

Criptografar e descriptografar máquinas virtuais

Este livro
PowerCLI Criar máquina virtual criptografada

Criptografar e descriptografar máquinas virtuais

Configurar o vSphere Trust Authority

 VMware PowerCLI Referência de cmdlets
vSphere Web Services SDK Criar máquina virtual criptografada

Criptografar e descriptografar máquinas virtuais

Realize uma nova criptografia profunda de uma máquina virtual (use uma DEK diferente)

Realize uma nova criptografia superficial de uma máquina virtual (use uma KEK diferente)

 vSphere Web Services SDK Guia de programação

Referência da API do vSphere Web Services

crypto-util Descriptografar despejos de memória criptografados

Verifique se os arquivos estão criptografados

Realize outras tarefas de gerenciamento diretamente no host ESXi

 Ajuda da linha de comando

vSphere Virtual Machine Encryption and Core Dumps

Reciptografia de máquinas virtuais

Você pode criptografar novamente uma máquina virtual com novas chaves, por exemplo, no caso de uma chave expirar ou ficar comprometida. As seguintes opções estão disponíveis:

  • Uma nova criptografia profunda, que substitui a chave de criptografia de disco (DEK) e a chave de criptografia de chave (KEK)
  • Uma nova criptografia rasa, que substitui apenas a KEK

Você deve realizar uma nova criptografia de uma máquina virtual usando a API. Consulte o vSphere Web Services SDK Guia de programação .

Uma recodificação profunda requer que a máquina virtual esteja desligada e não contenha instantâneos. Você pode realizar uma operação de recodificação superficial enquanto a máquina virtual está ligada e se a máquina virtual tiver instantâneos presentes. A recodificação superficial de uma máquina virtual criptografada com instantâneos é permitida apenas em uma única ramificação de instantâneo (cadeia de disco). Não há suporte para várias ramificações de instantâneo. Além disso, a recodificação superficial não é suportada em um clone vinculado de uma máquina virtual ou disco. Se a nova criptografia superficial falhar antes de atualizar todos os links na cadeia com a nova KEK, você ainda poderá acessar a máquina virtual criptografada se tiver as KEKs novas e antigas. No entanto, é melhor emitir novamente a operação de recodificação superficial antes de realizar qualquer operação de instantâneo.