Dependendo do provedor de chaves usado, um servidor de chaves externo, o sistema do vCenter Server e seus hosts do ESXi estão potencialmente contribuindo para a solução de criptografia.
Os seguintes componentes compreendem vSphere Virtual Machine Encryption:
- Um servidor de chave externo, também chamado de KMS (não necessário para o vSphere Native Key Provider)
- vCenter Server
- ESXi hosts
Servidor de chave
O servidor de chaves é um servidor de gerenciamento de Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP) que está associado a um provedor de chaves. Um provedor de chaves padrão e um provedor de chaves confiáveis exigem um servidor de chaves. O vSphere Native Key Provider não requer um servidor de chaves. A tabela a seguir descreve as diferenças na interação do provedor de chave e do servidor de chave.
| Provedor de chave | Interação com o servidor de chaves |
|---|---|
| Provedor de chave padrão | Um provedor de chaves padrão usa vCenter Server para solicitar chaves de um servidor de chaves. O servidor de chaves gera e armazena as chaves e as passa para vCenter Server para distribuição aos hosts ESXi. |
| Provedor de chave confiável | Um provedor de chaves confiáveis usa um Serviço de Provedor de Chave que permite que os hosts confiáveis do ESXi busquem as chaves diretamente. Consulte o Sobre o serviço de provedor de chaves do vSphere Trust Authority. |
| vSphere Native Key Provider | O vSphere Native Key Provider não requer um servidor de chaves. vCenter Server gera uma chave primária e a envia para os hosts ESXi. Os hosts ESXi geram chaves de criptografia de dados (mesmo quando não estão conectados a vCenter Server). Consulte o Visão geral do provedor de chave nativa do vSphere. |
Você pode usar o vSphere Client ou o vSphere API para adicionar instâncias de provedor de chave ao sistema do vCenter Server. Se você usar várias instâncias do provedor de chaves, todas as instâncias deverão ser do mesmo fornecedor e deverão replicar as chaves.
Se o seu ambiente usar fornecedores de chaves diferentes em ambientes diferentes, você poderá adicionar um provedor de chaves para cada servidor de chaves e especificar um provedor de chaves padrão. O primeiro provedor de chaves adicionado se torna o provedor de chaves padrão. Você pode especificar explicitamente o padrão mais tarde.
Como um cliente KMIP, o vCenter Server usa o Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP) para facilitar o uso do servidor de chaves de sua escolha.
vCenter Server
A tabela a seguir descreve a função de vCenter Server no processo de criptografia.
| Provedor de chave | Função de vCenter Server | Como os privilégios são verificados |
|---|---|---|
| Provedor de chave padrão | Apenas vCenter Server tem as credenciais para fazer login no servidor de chaves. Seus hosts do ESXi não têm essas credenciais. vCenter Server obtém chaves do servidor de chaves e as envia para os hosts ESXi. vCenter Server não armazena as chaves do servidor de chave, mas mantém uma lista de IDs de chave. | O vCenter Server verifica os privilégios dos usuários que realizam operações criptográficas. |
| Provedor de chave confiável | vSphere Trust Authority elimina a necessidade de vCenter Server solicitar chaves do servidor de chaves e torna o acesso às chaves de criptografia condicional ao estado de atestado de um cluster de carga de trabalho. Você deve usar sistemas vCenter Server separados para o Trusted Cluster e o Trust Authority Cluster. | O vCenter Server verifica os privilégios dos usuários que realizam operações criptográficas. Somente os usuários que são membros do grupo TrustedAdmins SSO podem realizar operações administrativas. |
| vSphere Native Key Provider | O vCenter Server gera as chaves. | O vCenter Server verifica os privilégios dos usuários que realizam operações criptográficas. |
Você pode usar o vSphere Client para atribuir privilégios de operação criptográfica ou para atribuir a função personalizada Nenhum administrador de criptografia a grupos de usuários. Consulte Pré-requisitos e privilégios necessários para tarefas de criptografia.
O vCenter Server adiciona eventos de criptografia à lista de eventos que você pode visualizar e exportar do Console de Eventos do vSphere Client. Cada evento inclui o usuário, a hora, a ID da chave e a operação criptográfica.
As chaves que vêm do servidor de chaves são usadas como chaves de criptografia de chave (KEKs).
Hosts do ESXi
Os hosts ESXi são responsáveis por vários aspectos do fluxo de trabalho de criptografia.
| Provedor de chave | ESXi aspectos do host |
|---|---|
| Provedor de chave padrão |
|
| Provedor de chave confiável | Os hosts ESXi executam serviços do vSphere Trust Authority, dependendo se eles são Hosts Confiáveis ou Hosts de Autoridade de Confiança. Hosts ESXi confiáveis executam máquinas virtuais de carga de trabalho que podem ser criptografadas usando provedores de chave publicados pelos Hosts de Autoridade de Confiança. Consulte o Visão geral da infraestrutura confiável. |
| vSphere Native Key Provider | Os hosts do ESXi obtêm chaves diretamente do vSphere Native Key Provider. |
As chaves que o host ESXi gera são chamadas de chaves internas neste documento. Essas chaves normalmente atuam como chaves de criptografia de dados (DEKs).
