Os serviços do vSphere Trust Authority, pelo menos um servidor de chave externo em conformidade com o KMIP, os sistemas do vCenter Server e seus hosts do ESXi contribuem para a Infraestrutura Confiável.
Sobre a infraestrutura confiável
Uma Infraestrutura Confiável consiste em pelo menos um vSphere Trust Authority Cluster, pelo menos um Trusted Cluster e pelo menos um servidor de chaves externo em conformidade com o KMIP. Cada cluster contém ESXi hosts que executam serviços vSphere Trust Authority específicos, conforme mostrado na figura a seguir.
A configuração do Trust Authority Cluster habilita dois serviços:
- Serviço de Atestado
- Serviço do Provedor de Chave
Quando você configura o vSphere Trust Authority, os hosts do ESXi no cluster confiável se comunicam com o serviço de atestado. O serviço do provedor de chave interpõe-se entre os hosts confiáveis e um ou mais provedores de chaves confiáveis.
Sobre o serviço de atestado do vSphere Trust Authority
O serviço de atestado gera um documento assinado que contém asserções que descrevem o estado binário e de configuração dos hosts ESXi remotos no cluster confiável. O Serviço de Atestado atesta o estado dos hosts do ESXi usando um chip Trusted Platform Module (TPM) 2.0 como base para medição e relatório de software. O TPM no host ESXi remoto mede a pilha de software e envia os dados de configuração para o Serviço de Atestado. O Serviço de Atestado verifica se a assinatura de medição de software pode ser atribuída a uma chave de endosso de TPM (EK) confiável anteriormente configurada. O Serviço de Atestado também garante que a medição de software corresponda a um de um conjunto de imagens ESXi previamente aprovadas. O serviço de atestado assina um JSON Web Token (JWT) que ele emite para o host ESXi, fornecendo as asserções sobre a identidade, a validade e a configuração do host ESXi.
Sobre o serviço de provedor de chaves do vSphere Trust Authority
O serviço do provedor de chave elimina a necessidade de os hosts vCenter Server e ESXi exigirem credenciais diretas do servidor de chaves. Em vSphere Trust Authority, para um host ESXi ter acesso a uma chave de criptografia, ele deve se autenticar no Serviço do Provedor de Chave.
Para que o Serviço do Provedor de Chave se conecte a um servidor de chaves, o administrador do Trust Authority deve configurar uma configuração de confiança. Para a maioria dos servidores em conformidade com o KMIP, a configuração de uma configuração de confiança envolve a configuração de certificados de cliente e servidor.
Para garantir que as chaves sejam liberadas apenas para ESXi hosts confiáveis, o serviço do provedor de chaves atua como um porteiro para os servidores de chaves. O serviço do provedor de chave oculta as especificações do servidor de chave do restante da pilha de software do centro de dados usando o conceito de um provedor de chaves confiável. Cada provedor de chave confiável tem uma única chave de criptografia primária configurada (anteriormente chamada de chave de criptografia mestre) e faz referência a um ou mais servidores de chaves. O serviço do provedor de chave pode ter vários provedores de chaves confiáveis configurados. Por exemplo, você pode querer ter um provedor de chaves confiáveis separado para cada departamento em uma organização. Cada provedor de chave confiável usa uma chave primária diferente (anteriormente chamada de chave mestre), mas pode fazer referência ao mesmo servidor de chaves de suporte.
Depois de criar um provedor de chave confiável, o Serviço do Provedor de Chave pode aceitar solicitações dos ESXi Hosts Confiáveis para executar operações criptográficas nesse provedor de chave confiável.
Quando um host confiável ESXi solicita operações em relação a um provedor de chave confiável, o serviço de provedor de chave garante que o host ESXi que está tentando obter a chave de criptografia seja atestado. Depois de passar em todas as verificações, o host confiável do ESXi recebe chaves de criptografia do serviço do provedor de chaves.
Porta usada por vSphere Trust Authority
Os serviços do vSphere Trust Authority detectam conexões atrás do proxy reverso do host do ESXi. Toda a comunicação ocorre por HTTPS na porta 443.
Sobre os hosts vSphere Trust Authority e confiáveis
Os ESXi hosts confiáveis são configurados para usar provedores de chaves confiáveis para realizar operações criptográficas. Os ESXi Hosts Confiáveis realizam operações de chave comunicando-se com o Serviço do Provedor de Chave e com o Serviço de Atestado. Para autenticação e autorização, os ESXi Hosts Confiáveis usam um token obtido do Serviço de Atestado. Para obter um token válido, o host confiável do ESXi deve atestar com êxito o serviço de atestado. O token contém determinadas declarações que são usadas para decidir se o host confiável do ESXi está autorizado a acessar um provedor de chave confiável.
Sobre os servidores principais
vSphere Trust Authority requer o uso de pelo menos um servidor de chaves. Em versões anteriores do vSphere, um servidor de chave era chamado de Key Management Server ou KMS. Atualmente, a solução de criptografia de máquina virtual vSphere oferece suporte a servidores de chaves em conformidade com o KMIP 1.1.
Sobre a vSphere Trust Authority configuração e informações de estado
vCenter Server é principalmente um serviço de passagem para a configuração de vSphere Trust Authority e as informações de estado. A maioria das informações de configuração e estado de vSphere Trust Authority é armazenada nos hosts ESXi no banco de dados ConfigStore. Algumas informações de estado também são armazenadas no banco de dados do vCenter Server.
Sobre a integração do vCenter Server
Você configura instâncias separadas do vCenter Server para gerenciar o Trust Authority Cluster e o Trusted Cluster. Consulte o Configurando o vSphere Trust Authority.
Em um cluster confiável, o vCenter Server gerencia as chamadas de API do Trust Authority e as transmite para os hosts do ESXi. O vCenter Server replica as chamadas de API em todos os hosts ESXi no cluster confiável.
Depois de configurar o vSphere Trust Authority inicialmente, você pode adicionar ou remover hosts do ESXi para ou de um Trust Authority Cluster ou um Trusted Cluster. Consulte o Adicionando e removendo vSphere Trust Authority hosts.