No vSphere 7.0 Update 2 e versões posteriores, você pode usar o vSphere Native Key Provider integrado para habilitar tecnologias de criptografia, como TPMs virtuais (vTPM).

O vSphere Native Key Provider está incluído em todas as edições do vSphere e não requer um servidor de chaves externo (também chamado de Servidor de Gerenciamento de Chaves (KMS) no setor). Você também pode usar o vSphere Native Key Provider para a criptografia de máquina virtual do vSphere, mas deve adquirir o VMware vSphere® Enterprise Plus Edition™.

O que é vSphere Native Key Provider

Com um provedor de chaves padrão ou um provedor de chaves confiável, você deve configurar um servidor de chaves externo. Em uma configuração de provedor de chaves padrão, o vCenter Server busca as chaves do servidor de chaves externo e as distribui para os hosts ESXi. Em uma configuração de provedor de chaves confiável (vSphere Trust Authority), os hosts ESXi confiáveis buscam as chaves diretamente.

Com o vSphere Native Key Provider, você não precisa mais de um servidor de chaves externo. vCenter Server gera uma chave primária, chamada Chave de Derivação de Chave (KDK), e a envia por push para todos os hosts ESXi no cluster. Os hosts ESXi geram chaves de criptografia de dados (mesmo quando não estão conectados a vCenter Server) para habilitar a funcionalidade de segurança, como vTPMs. A funcionalidade do vTPM está incluída em todas as vSphere edições. Para usar vSphere Native Key Provider para vSphere Virtual Machine Encryption, você deve ter adquirido a Edição vSphere Enterprise Plus. vSphere Native Key Provider pode coexistir com uma infraestrutura de servidor de chaves existente.

vSphere Native Key Provider:

  • Habilita o uso de vTPMs, vSphere Virtual Machine Encryption e vSAN Criptografia de Dados em Repouso, quando você não precisa ou deseja um servidor de chaves externo.
  • Funciona apenas com produtos de infraestrutura VMware.
  • Não fornece interoperabilidade externa, suporte a KMIP, módulos de segurança de hardware ou outros recursos que um servidor de chaves externo tradicional de terceiros pode oferecer para interoperabilidade ou conformidade regulatória. Se sua organização exigir essa funcionalidade para produtos e componentes que não sejam VMware, instale um servidor de chaves tradicional de terceiros.
  • Ajuda a atender às necessidades de organizações que não podem usar ou não desejam usar um servidor de chaves externo.
  • Melhora as práticas de higienização de dados e reutilização do sistema, permitindo o uso antecipado de tecnologias de criptografia em mídias difíceis de higienizar, como flash e SSD.
  • Fornece um caminho de transição entre os principais provedores. vSphere Native Key Provider é compatível com o provedor de chaves padrão VMware e o provedor de chaves confiável vSphere Trust Authority.
  • Funciona com vários sistemas vCenter Server usando uma configuração de Modo Vinculado Avançado ou uma configuração de Alta Disponibilidade do vCenter Server.
  • Pode ser usado para habilitar o vTPM em todas as edições do vSphere e criptografar máquinas virtuais com a compra da Edição vSphere Enterprise Plus que inclui vSphere Virtual Machine Encryption. vSphere Virtual Machine Encryption funciona com vSphere Native Key Provider da mesma forma que com VMware provedores de chaves padrão e confiáveis.
  • Pode ser usado para ativar a Criptografia de Dados em Repouso do vSAN com o uso de uma licença do vSAN apropriada.
  • Pode usar um Trusted Platform Module (TPM) 2.0 para aumentar a segurança quando um está instalado em um host ESXi. Você também pode configurar o vSphere Native Key Provider para estar disponível apenas para hosts em que um TPM 2.0 está instalado. Se você usar um TPM, ele deverá ser o TPM 2.0. vSphere Native Key Provider não é compatível com o TPM 1.2.
Observação: Um host ESXi não requer um TPM 2.0 para usar um vSphere Native Key Provider. No entanto, um TPM 2.0 fornece segurança aprimorada.

Como em todas as soluções de segurança, considere o design do sistema, as considerações de implementação e as vantagens e desvantagens do uso do Native Key Provider. Por exemplo, a persistência de chave ESXi evita que a dependência de um servidor de chaves esteja sempre disponível. No entanto, como a persistência de chave armazena as informações criptográficas do Native Key Provider nos hosts clusterizados, você ainda corre o risco de se agentes mal-intencionados roubarem os próprios hosts ESXi. Como os ambientes são diferentes, avalie e implemente seus controles de segurança de acordo com as necessidades regulamentares e de segurança da sua organização, os requisitos operacionais e a tolerância a riscos.

Para obter mais informações de visão geral sobre vSphere Native Key Provider, consulte https://core.vmware.com/native-key-provider.

vSphere Native Key Provider Requisitos

Para usar vSphere Native Key Provider, você deve:

  • Certifique-se de que o sistema vCenter Server e os hosts ESXi estejam executando o vSphere 7.0 Update 2 ou posterior.
  • Configure os hosts ESXi em um cluster. Embora não seja obrigatório, como prática recomendada, use ESXi hosts que sejam o mais idênticos possível, incluindo TPMs. O gerenciamento de cluster e a ativação de recursos são muito mais fáceis quando os hosts de cluster são idênticos.
  • Configure o backup e a restauração baseados em arquivo vCenter Server e armazene os backups com segurança, pois eles contêm a Chave de Derivação de Chave. Consulte o tópico sobre vCenter Server backup e restauração na documentação do vCenter Server Instalação e configuração.

Para executar a criptografia vSphere Virtual Machine Encryption ou vSAN usando o vSphere Native Key Provider, você deve adquirir a edição desses produtos que contém a licença apropriada.

vSphere Native Key Provider e Modo Vinculado Avançado

Você pode configurar um único vSphere Native Key Provider que seja compartilhável entre sistemas vCenter Server configurados em uma configuração de Modo Vinculado Avançado. As etapas de alto nível neste cenário são:

  1. Criando o vSphere Native Key Provider em um dos sistemas vCenter Server
  2. Fazendo backup do Native Key Provider no vCenter Server no qual ele foi criado
  3. Exportando o provedor de chave nativa
  4. Importando o Native Key Provider para os outros sistemas vCenter Server na configuração do Enhanced Link Mode

Consulte Importar um vSphere Native Key Provider em uma configuração de modo vinculado avançado.

vSphere Native Key Provider Privilégios

Assim como os provedores de chaves padrão e confiáveis, o vSphere Native Key Provider usa o Criptógrafo.* privilégios. Além disso, vSphere Native Key Provider usa o privilégio Cryptographer.ReadKeyServersInfo, que é específico de vSphere Provedores de Chave Nativa, para listar vSphere Provedores de Chave Nativa. Consulte Privilégios de operações criptográficas.

vSphere Native Key Provider Alarmes

Você deve fazer backup de um vSphere Native Key Provider. Quando um vSphere Native Key Provider não é submetido a backup, vCenter Server gera um alarme. Quando você faz backup do vSphere Native Key Provider para o qual um alarme foi gerado, o vCenter Server redefine o alarme. Por padrão, o vCenter Server verifica o backup de vSphere Provedores de Chave Nativa uma vez por dia. Você pode alterar o intervalo de verificação modificando a opção vpxd.KMS.backupCheckInterval.

vSphere Native Key Provider Verificação periódica de correção

vCenter Server verifica periodicamente se a configuração de vSphere Native Key Provider nos hosts vCenter Server e ESXi corresponde. Quando um estado de host é alterado, por exemplo, quando você adiciona um host ao cluster, a configuração do provedor de chaves no cluster se afasta da configuração no host. Se a configuração (keyID) for diferente no host, o vCenter Server atualizará a configuração do host automaticamente. Nenhuma intervenção manual é necessária.

Por padrão, o vCenter Server verifica a configuração a cada cinco minutos. Você pode modificar o intervalo usando a opção vpxd.KMS.remediationInterval.

Usando o vSphere Native Key Provider com um site de recuperação de desastres

Você pode usar o vSphere Native Key Provider com um site de recuperação de desastres de backup. A importação do backup vSphere Native Key Provider do vCenter Server primário para o backup vCenter Server no site de recuperação de desastres permite que esse cluster descriptografe e execute suas máquinas virtuais criptografadas.

Sempre teste sua solução de DR. Nunca presuma que sua solução funciona sem tentar uma recuperação. Certifique-se de que uma cópia do backup vSphere Native Key Provider também esteja disponível para o seu site de DR.

Recursos não compatíveis em vSphere Native Key Provider

Atualmente, vSphere Native Key Provider não é compatível com o seguinte:

  • Criptografia de disco de primeira classe (FCD)