Como funciona a persistência de chave em hosts ESXi

Ao usar um provedor de chaves padrão, o host ESXi depende de vCenter Server para gerenciar as chaves de criptografia. Ao usar um provedor de chaves confiável, o host ESXi depende diretamente dos Hosts do Trust Authority para chaves e vCenter Server não está envolvido. vSphere Native Key Provider trata as chaves de forma diferente. Consulte a próxima seção para obter mais informações.

Independentemente do tipo de provedor de chaves, o host ESXi obtém as chaves inicialmente e as retém em seu cache de chaves. Se o host ESXi for reinicializado, ele perderá seu cache de chaves. O host ESXi, em seguida, solicita as chaves novamente, do servidor de chaves (provedor de chaves padrão) ou dos Hosts do Trust Authority (provedor de chaves confiáveis). Quando o host ESXi tenta obter chaves e o servidor de chaves está offline ou inacessível, os vTPMs e a criptografia de carga de trabalho não podem funcionar. Para implantações no estilo de borda, nas quais um servidor de chaves normalmente não é implantado no local, uma perda de conectividade com um servidor de chaves pode causar tempo de inatividade desnecessário para cargas de trabalho criptografadas.

No vSphere 7.0 Update 2 e versões posteriores, as cargas de trabalho criptografadas podem continuar a funcionar mesmo quando o servidor de chaves está offline ou inacessível. Se o host ESXi tiver um TPM, as chaves de criptografia serão mantidas no TPM nas reinicializações. Portanto, mesmo que um host ESXi seja reinicializado, o host não precisará solicitar chaves de criptografia. Além disso, as operações de criptografia e descriptografia podem continuar quando o servidor de chaves não está disponível, porque as chaves persistiram no TPM. Basicamente, dependendo do provedor de chaves, quando o servidor de chaves ou os Hosts do Trust Authority não estiverem disponíveis, você poderá continuar executando cargas de trabalho criptografadas "livre do servidor de chaves". Além disso, os vTPMs também podem continuar funcionando mesmo quando o servidor principal está inacessível.

Persistência de Chave e vSphere Native Key Provider

Ao usar um vSphere Native Key Provider, o vSphere gera chaves de criptografia e nenhum servidor de chaves é necessário. Os hosts ESXi obtêm uma Chave de Derivação de Chave (KDK), que é usada para derivar outras chaves. Depois de receber o KDK e gerar outras chaves, os hosts ESXi não precisam de acesso a vCenter Server para realizar operações de criptografia. Em essência, um vSphere Native Key Provider sempre executa "servidor de chaves livre".

O KDK persiste em um host ESXi por padrão, mesmo após a reinicialização e mesmo quando vCenter Server não está disponível após a reinicialização do host.

Você pode ativar a persistência de chave com vSphere Native Key Provider, mas normalmente isso é desnecessário. Os hosts ESXi têm acesso completo a vSphere Native Key Provider e, portanto, a persistência adicional de chaves é redundante. Um caso de uso para ativar a persistência de chave com vSphere Native Key Provider é quando você também tem um provedor de chaves padrão (servidor KMIP externo) configurado.

Como configurar a persistência de chaves

Para ativar ou desativar a persistência de chave, consulte Ativar e desativar a persistência de chave em um host ESXi.