Depois que você configurar um provedor de chaves, os usuários com os privilégios necessários poderão criar máquinas virtuais e discos criptografados. Esses usuários também podem criptografar máquinas virtuais existentes e descriptografar máquinas virtuais criptografadas, além de adicionar vTPMs (Virtual Trusted Platform Modules) às máquinas virtuais.

Dependendo do tipo de provedor de chaves, o fluxo do processo pode envolver um servidor de chaves, o host vCenter Server e o ESXi.

Fluxo do processo de criptografia do provedor de chaves padrão

Durante o processo de criptografia, diferentes componentes vSphere interagem da seguinte maneira.
  1. Quando o usuário executa uma tarefa de criptografia, por exemplo, criando uma máquina virtual criptografada, vCenter Server solicita uma nova chave do servidor de chaves padrão. Essa chave é usada como a KEK.
  2. vCenter Server armazena o ID da chave e passa a chave para o host ESXi. Se o host ESXi fizer parte de um cluster, vCenter Server enviará a KEK para cada host no cluster.

    A própria chave não está armazenada no sistema vCenter Server. Somente o ID da chave é conhecido.

  3. O host ESXi gera chaves internas (DEKs) para a máquina virtual e seus discos. Ele mantém as chaves internas apenas na memória e usa as KEKs para criptografar as chaves internas.

    As chaves internas não criptografadas nunca são armazenadas no disco. Somente os dados criptografados são armazenados. Como as KEKs vêm do servidor de chaves, o host continua a usar as mesmas KEKs.

  4. O host ESXi criptografa a máquina virtual com a chave interna criptografada.

    Quaisquer hosts que tenham a KEK e que possam acessar o arquivo de chave criptografado podem realizar operações na máquina virtual ou no disco criptografado.

Fluxo do processo de criptografia do provedor de chaves confiáveis

O fluxo do processo de criptografia vSphere Trust Authority inclui os serviços vSphere Trust Authority, os provedores de chaves confiáveis, os hosts vCenter Server e ESXi.

A criptografia de uma máquina virtual com um provedor de chaves confiável é semelhante à experiência do usuário de criptografia da máquina virtual ao usar um provedor de chaves padrão. A criptografia da máquina virtual em vSphere Trust Authority continua a depender das políticas de armazenamento de criptografia da máquina virtual ou da presença de um dispositivo vTPM para decidir quando criptografar uma máquina virtual. Você ainda usa um provedor de chaves configurado padrão (chamado de cluster KMS no vSphere 6.5 e 6.7) ao criptografar uma máquina virtual do vSphere Client. Além disso, você ainda pode usar as APIs de maneira semelhante para especificar o provedor de chaves manualmente. Os privilégios criptográficos existentes adicionados para o vSphere 6.5 ainda são relevantes no vSphere 7.0 e posteriores para o vSphere Trust Authority.

O processo de criptografia do provedor de chaves confiável tem algumas diferenças importantes em relação ao provedor de chaves padrão:

  • Os administradores do Trust Authority não especificam informações diretamente ao configurar um servidor principal para uma instância vCenter Server e não estabelecem a confiança do servidor principal. Em vez disso, o vSphere Trust Authority publica provedores de chaves confiáveis que os hosts confiáveis podem usar.

  • vCenter Server não envia mais chaves para hosts ESXi e, em vez disso, pode tratar cada provedor de chaves confiável como uma única chave de nível superior.
  • Somente os Hosts Confiáveis podem solicitar operações de criptografia dos Hosts do Trust Authority.

vSphere Native Key Provider Fluxo do processo de criptografia

vSphere Native Key Provider está incluído no vSphere 7.0 Update 2 e posterior. Quando você configura um vSphere Native Key Provider, vCenter Server envia uma chave primária para todos os hosts ESXi no cluster. Da mesma forma, se você atualizar ou excluir um vSphere Native Key Provider, a alteração será enviada por push para os hosts no cluster. O fluxo do processo de criptografia é semelhante ao modo como um provedor de chaves confiável funciona. A diferença é que vSphere Native Key Provider gera as chaves e as agrupa com a chave primária, depois as devolve para executar a criptografia.

Atributos personalizados para servidores de chaves

O KMIP (Key Management Interoperability Protocol) oferece suporte à adição de atributos personalizados destinados a fins específicos do fornecedor. Os atributos personalizados permitem que você identifique mais especificamente as chaves armazenadas no servidor de chaves. vCenter Server adiciona os seguintes atributos personalizados para chaves de máquina virtual e chaves de host.

Tabela 1. Atributos personalizados de criptografia de máquina virtual
Atributo personalizado Valor
x-Vendor VMware, Inc.
x-Product VMware vSphere
x-Product_Version vCenter Server versão
x-Component Máquina virtual
x-Name Nome da máquina virtual (coletado do ConfigInfo ou do ConfigSpec)
x-Identifier instanceUuid da máquina virtual (reunido do ConfigInfo ou do ConfigSpec)
Tabela 2. Atributos personalizados de criptografia do host
Atributo personalizado Valor
x-Vendor VMware, Inc.
x-Product VMware vSphere
x-Product_Version vCenter Server versão
x-Component Servidor ESXi
x-Name Nome do host
x-Identifier Uuid de hardware do host

vCenter Server adiciona os atributos x-Vendor, x-Product e x-Product_Version quando o servidor de chaves cria uma chave. Quando a chave é usada para criptografar uma máquina virtual ou um host, vCenter Server define os atributos x-Component, x-Identifier e x-Name. Você pode visualizar esses atributos personalizados na interface do usuário do servidor de chaves. Verifique com o fornecedor do servidor de chaves.

A chave do host e a chave da máquina virtual têm os seis atributos personalizados. x-Vendor, x-Product e x-Product_Version podem ser iguais para ambas as chaves. Esses atributos são definidos quando a chave é gerada. Dependendo se a chave é para uma máquina virtual ou um host, ela pode ter os atributos x-Component, x-Identifier e x-Name anexados.

Erros da chave de criptografia

Quando ocorre um erro ao enviar chaves do servidor de chaves para um host ESXi, vCenter Server gera uma mensagem no log de eventos para os seguintes eventos:

  • Falha ao adicionar chaves ao host ESXi devido a problemas de conexão do host ou de suporte do host.
  • Falha ao obter chaves do servidor de chaves devido à falta de uma chave no servidor de chaves.
  • Falha ao obter chaves do servidor de chaves devido à conexão do servidor de chaves.

Como descriptografar máquinas virtuais criptografadas

Se mais tarde você quiser descriptografar uma máquina virtual criptografada, altere sua política de armazenamento. Você pode alterar a política de armazenamento da máquina virtual e de todos os discos. Se você quiser descriptografar componentes individuais, descriptografe os discos selecionados primeiro e, em seguida, descriptografe a máquina virtual alterando a política de armazenamento para a Página inicial da VM. Ambas as chaves são necessárias para a descriptografia de cada componente. Consulte Descriptografar uma máquina virtual ou um disco virtual criptografado.