Siga as práticas recomendadas de criptografia de máquina virtual para evitar problemas mais tarde, por exemplo, ao gerar um pacote de vm-support.
Boas práticas gerais
Siga estas práticas recomendadas gerais para evitar problemas.
- Não criptografe nenhuma vCenter Server máquina virtual do appliance.
- Se o seu host ESXi falhar, recupere o pacote de suporte o mais rápido possível. A chave do host deve estar disponível para gerar um pacote de suporte que usa uma senha ou para descriptografar um despejo de memória. Se o host for reiniciado, é possível que a chave do host seja alterada. Se isso acontecer, você não poderá mais gerar um pacote de suporte com uma senha ou descriptografar despejos de memória no pacote de suporte com a chave do host.
- Gerencie os principais nomes dos provedores com cuidado. Se o nome do provedor de chaves for alterado para um servidor de chaves que já está em uso, uma VM criptografada com chaves desse servidor de chaves entrará em um estado bloqueado durante a inicialização ou o registro. Nesse caso, remova o servidor de chaves do vCenter Server e adicione-o com o nome do provedor de chaves que você usou inicialmente.
- Não edite arquivos VMX e arquivos descritores VMDK. Esses arquivos contêm o pacote de criptografia. É possível que suas alterações tornem a máquina virtual irrecuperável e que o problema de recuperação não possa ser corrigido.
- O processo de criptografia criptografa os dados no host antes que eles sejam gravados no armazenamento. Os recursos de armazenamento de back-end, como eliminação de duplicata e compactação, podem não ser eficazes para máquinas virtuais criptografadas. Considere as compensações de armazenamento ao usar o vSphere Virtual Machine Encryption.
- A criptografia faz uso intensivo da CPU. O AES-NI melhora significativamente o desempenho da criptografia. Habilite o AES-NI na sua BIOS.
Práticas recomendadas para despejos de memória criptografados
Siga estas práticas recomendadas para evitar problemas ao examinar um despejo de memória para diagnosticar um problema.
- Estabeleça uma política sobre despejos de memória. Os despejos de memória são criptografados porque podem conter informações confidenciais, como chaves. Se você descriptografar um despejo de memória, considere-o como informação confidencial. Os despejos de núcleo ESXi podem conter chaves para o host ESXi e para as máquinas virtuais nele. Considere alterar a chave do host e recriar máquinas virtuais criptografadas depois de descriptografar um despejo de memória. Você pode realizar ambas as tarefas usando o vSphere API.
Consulte as vSphere Virtual Machine Encryption and Core Dumps para obter detalhes.
- Sempre use uma senha ao coletar um pacote de vm-support. Você pode especificar a senha ao gerar o pacote de suporte do vSphere Client ou usando o comando vm-support.
A senha recodifica os despejos de memória que usam chaves internas para usar chaves baseadas na senha. Posteriormente, você poderá usar a senha para descriptografar quaisquer despejos de memória criptografados que possam estar incluídos no pacote de suporte. Os despejos de memória e os logs não criptografados não são afetados pelo uso da opção de senha.
- A senha que você especifica durante a criação do pacote vm-support não é persistente nos componentes do vSphere. Você é responsável por manter o controle de senhas para pacotes de suporte.
- Antes de alterar a chave do host, gere um pacote de vm-support com uma senha. Posteriormente, você poderá usar a senha para acessar quaisquer despejos de memória que possam ter sido criptografados com a chave de host antiga.
Práticas recomendadas de gerenciamento do ciclo de vida chave
- Você é responsável por ter políticas em vigor que garantam a disponibilidade do servidor de chaves.
Se o servidor de chaves não estiver disponível, as operações da máquina virtual que exigem que vCenter Server solicitem a chave do servidor de chaves não serão possíveis. Isso significa que as máquinas virtuais em execução continuam a ser executadas e você pode ligar, desligar e reconfigurar essas máquinas virtuais. No entanto, você não pode realocar a máquina virtual para um host que não tenha as informações de chave.
A maioria das principais soluções de servidor inclui recursos de alta disponibilidade. Você pode usar o vSphere Client ou a API para especificar um provedor de chaves e os servidores de chaves associados.
Observação: A partir da versão 7.0, Atualização 2, máquinas virtuais criptografadas e TPMs virtuais podem continuar a funcionar mesmo quando o servidor de chaves está temporariamente offline ou indisponível. Os hosts ESXi podem manter as chaves de criptografia para continuar as operações de criptografia e vTPM. Consulte o Visão geral da persistência da chave. - Você é responsável por manter o controle das chaves e por executar a correção se as chaves das máquinas virtuais existentes não estiverem no estado Ativo.
O padrão KMIP define os seguintes estados para as chaves.
- Pré-ativo
- Ativo
- Desativado
- Comprometido
- Destruído
- Destruído Comprometido
O vSphere Virtual Machine Encryption usa apenas chaves ativas para criptografia. Se uma chave for pré-ativa, o vSphere Virtual Machine Encryption a ativará. Se o estado da chave for Desativado, Comprometido, Destruído, Destruído, não será possível criptografar uma máquina virtual ou disco com essa chave.
Para chaves que estão em outros estados, as máquinas virtuais que usam essas chaves continuam a funcionar. O êxito de uma operação de clone ou migração depende se a chave já está no host.- Se a chave estiver no host de destino, a operação será bem-sucedida mesmo se a chave não estiver ativa no servidor de chaves.
- Se a máquina virtual e as chaves de disco virtual necessárias não estiverem no host de destino, o vCenter Server precisará obter as chaves do servidor de chaves. Se o estado da chave for Desativado, Comprometido, Destruído ou Destruído, vCenter Server exibirá um erro e a operação não será bem-sucedida.
Uma operação de clonagem ou migração será bem-sucedida se a chave já estiver no host. A operação falhará se vCenter Server tiver que puxar as chaves do servidor de chaves.
Se uma chave não estiver ativa, execute uma operação de recodificação usando a API. Consulte o vSphere Web Services SDK Guia de programação .
- Desenvolva políticas de rotação de chaves para que as chaves sejam desativadas e revertidas após um tempo específico.
- Provedor de chave confiável: altere a chave mestre de um provedor de chave confiável.
- vSphere Native Key Provider: Altere o
key_id
de um vSphere Native Key Provider.
Práticas recomendadas de backup e restauração
- Nem todas as arquiteturas de backup são compatíveis. Consulte Interoperabilidade de criptografia de máquina virtual.
- Configure políticas para operações de restauração. Como o backup está sempre em texto não criptografado, planeje criptografar as máquinas virtuais logo após a conclusão da restauração. Você pode especificar que a máquina virtual seja criptografada como parte da operação de restauração. Se possível, criptografe a máquina virtual como parte do processo de restauração para evitar a exposição de informações confidenciais. Para alterar a política de criptografia de qualquer disco associado à máquina virtual, altere a política de armazenamento do disco.
- Como os arquivos iniciais da VM são criptografados, certifique-se de que as chaves de criptografia estejam disponíveis no momento de uma restauração.
Melhores práticas de desempenho
- O desempenho da criptografia depende da velocidade da CPU e do armazenamento.
- Criptografar máquinas virtuais existentes consome mais tempo do que criptografar uma máquina virtual durante a criação. Criptografe uma máquina virtual ao criá-la, se possível.
Melhores práticas de política de armazenamento
Consulte a documentação do vSphere Storage para obter detalhes sobre a personalização das políticas de armazenamento.
Práticas recomendadas de remoção de chaves de criptografia
Para garantir que as chaves de criptografia sejam removidas de um cluster, após excluir, cancelar o registro ou mover a máquina virtual criptografada para outro vCenter Server, reinicie os hosts ESXi no cluster.