Como o vSphere Virtual Machine Encryption protege seu ambiente

Independentemente de qual provedor de chaves você usa, com o vSphere Virtual Machine Encryption você pode criar máquinas virtuais criptografadas e criptografar máquinas virtuais existentes. Como todos os arquivos de máquina virtual com informações confidenciais são criptografados, a máquina virtual está protegida. Somente administradores com privilégios de criptografia podem executar tarefas de criptografia e descriptografia.

Importante: Os usuários de ESXi Shell também têm privilégios de operação criptográfica. Para obter mais informações, consulte Pré-requisitos e privilégios necessários para tarefas de criptografia de máquina virtual.

O que o armazenamento é compatível com o vSphere Virtual Machine Encryption

vSphere Virtual Machine Encryption funciona com qualquer tipo de armazenamento compatível (NFS, iSCSI, Fibre Channel, armazenamento de conexão direta e assim por diante), incluindo VMware vSAN. Para obter mais informações sobre como usar a criptografia em um cluster vSAN, consulte a documentação do Administração de VMware vSAN.

vSphere Virtual Machine Encryption e vSAN usam as mesmas bibliotecas de criptografia, mas têm perfis diferentes. A Criptografia de Máquina Virtual é uma criptografia por VM e vSAN é uma criptografia de nível de armazenamento de dados.

vSphere Chaves de criptografia e provedores de chaves

vSphere usa dois níveis de criptografia na forma de uma Chave de Criptografia de Chave (KEK) e uma Chave de Criptografia de Dados (DEK). Resumidamente, um host ESXi gera uma DEK para criptografar máquinas virtuais e discos. A KEK é fornecida por um servidor de chaves e criptografa (ou "empacota") a DEK. A KEK é criptografada usando o algoritmo AES256 e a DEK é criptografada usando o algoritmo XTS-AES-256. Dependendo do tipo de provedor de chaves, métodos diferentes são usados para criar e gerenciar a DEK e a KEK.

O provedor de chaves padrão funciona da seguinte maneira.

O host ESXi gera e usa chaves internas para criptografar máquinas virtuais e discos. Essas chaves são usadas como DEKs.
vCenter Server solicita chaves do servidor de chaves (KMS). Essas chaves são usadas como as KEKs. vCenter Server armazena apenas o ID de cada KEK, mas não a própria chave.
ESXi usa a KEK para criptografar as chaves internas e armazena a chave interna criptografada no disco. ESXi não armazena a KEK no disco. Se um host for reinicializado, vCenter Server solicitará a KEK com a ID correspondente do servidor de chaves e a disponibilizará para ESXi. ESXi pode então descriptografar as chaves internas conforme necessário.

O provedor de chaves confiáveis vSphere Trust Authority opera da seguinte forma.

O vCenter Server do Cluster Confiável verifica se o provedor de chaves confiáveis padrão está acessível ao host ESXi em que a máquina virtual criptografada deve ser criada.
O vCenter Server do Cluster Confiável adiciona o provedor de chaves confiáveis à máquina virtual ConfigSpec.
A solicitação de criação da máquina virtual é enviada ao host ESXi.
Se um token de atestado ainda não estiver disponível para o host ESXi, ele solicitará um do Serviço de Atestado.
O Serviço de Provedor de Chave valida o token de atestado e cria uma KEK a ser enviada ao host ESXi. A KEK é encapsulada (criptografada) com a chave primária configurada no provedor de chaves. O texto criptografado da KEK e o texto sem formatação da KEK são retornados ao Host Confiável.
O host ESXi gera uma DEK para criptografar os discos da máquina virtual.
A KEK é usada para encapsular a DEK gerada pelo host ESXi, e o texto criptografado do provedor de chaves é armazenado junto com os dados criptografados.
A máquina virtual é criptografada e gravada no armazenamento.

Observação:

Os hosts ESXi em clusters vSphere mantêm a KEK para máquinas virtuais criptografadas na memória do host para habilitar recursos de disponibilidade, como Alta Disponibilidade, vMotion, DRS e assim por diante. Quando uma máquina virtual é excluída ou tem o registro cancelado, os hosts ESXi no cluster excluem a KEK da memória. Assim, os hosts ESXi não podem mais usar a KEK. Esse comportamento é o mesmo para provedores de chaves padrão e provedores de chaves confiáveis.

vSphere Native Key Provider funciona da seguinte forma.

Quando você cria o provedor de chaves, o vCenter Server gera uma chave primária e a envia por push para os hosts ESXi no cluster. (Nenhum servidor de chaves externo está envolvido.)
Os hosts ESXi geram uma DEK sob demanda.
Quando você realiza uma atividade de criptografia, os dados são criptografados com a DEK.
As DEKs criptografadas são armazenadas junto com os dados criptografados.
Quando você descriptografa dados, a chave primária é usada para descriptografar a DEK e, em seguida, os dados.

Quais componentes o vSphere Virtual Machine Encryption criptografa

O vSphere Virtual Machine Encryption oferece suporte à criptografia de arquivos de máquina virtual, arquivos de disco virtual e arquivos de despejo de memória.

Arquivos de máquina virtual

A maioria dos arquivos de máquina virtual, em particular, os dados de convidado que não estão armazenados no arquivo VMDK, são criptografados. Esse conjunto de arquivos inclui, entre outros, os arquivos NVRAM, VSWP e VMSN. A chave do provedor de chaves desbloqueia um pacote criptografado no arquivo VMX que contém chaves internas e outros segredos. A recuperação da chave funciona da seguinte forma, dependendo do provedor de chaves:

Provedor de chaves padrão: vCenter Server gerencia as chaves do servidor de chaves e os hosts ESXi não podem acessar diretamente o provedor de chaves. Os hosts aguardam que vCenter Server envie as chaves.
Provedor de chaves confiáveis e vSphere Native Key Provider: os hosts ESXi acessam diretamente os provedores de chaves e, portanto, buscam as chaves solicitadas diretamente do serviço vSphere Trust Authority ou do vSphere Native Key Provider.

Ao usar o vSphere Client para criar uma máquina virtual criptografada, você pode criptografar e descriptografar discos virtuais separados dos arquivos de máquina virtual. Todos os discos virtuais são criptografados por padrão. Para outras tarefas de criptografia, como criptografar uma máquina virtual existente, você pode criptografar e descriptografar discos virtuais separados dos arquivos de máquina virtual.

Observação: Você não pode associar um disco virtual criptografado a uma máquina virtual que não esteja criptografada.

Arquivos de disco virtual

Os dados em um arquivo de disco virtual criptografado (VMDK) nunca são gravados em texto não criptografado no armazenamento ou no disco físico e nunca são transmitidos pela rede em texto não criptografado. O arquivo descritor do VMDK é principalmente de texto não criptografado, mas contém uma ID de chave para a KEK e a chave interna (DEK) no pacote criptografado.

Você pode usar o vSphere Client ou o vSphere API para realizar uma operação de criptografia superficial com uma nova KEK ou usar o vSphere API para realizar uma operação de criptografia profunda com uma nova chave interna.

Despejos principais: Os dumps principais em um host ESXi com o modo de criptografia ativado são sempre criptografados. Consulte vSphere Criptografia de máquina virtual e despejos de núcleo. Os dumps principais no sistema vCenter Server não são criptografados. Proteja o acesso ao sistema vCenter Server.

Arquivo de troca de máquina virtual: O arquivo de permuta da máquina virtual é criptografado sempre que você adiciona um vTPM a uma máquina virtual. Ambientes com pouca RAM podem enfrentar paginação relacionada à criptografia que pode afetar o desempenho.

vTPMs: Quando você configura um vTPM, os arquivos da máquina virtual são criptografados, mas não os discos. Você pode optar por adicionar criptografia explicitamente para a máquina virtual e seus discos. Para obter mais informações, consulte Protegendo máquinas virtuais com o módulo de plataforma virtual confiável.

Observação: Para obter informações sobre algumas limitações relacionadas a dispositivos e recursos com os quais vSphere Virtual Machine Encryption pode interoperar, consulte Interoperabilidade de criptografia de máquina virtual.

Quais componentes o vSphere Virtual Machine Encryption não criptografa

Alguns dos arquivos associados a uma máquina virtual não são criptografados ou são parcialmente criptografados.

Arquivos de log: Os arquivos de log não são criptografados porque não contêm dados confidenciais.

Arquivos de configuração da máquina virtual: A maioria das informações de configuração da máquina virtual, armazenadas nos arquivos VMX e VMSD, não é criptografada.

Arquivo descritor de disco virtual: Para oferecer suporte ao gerenciamento de disco sem uma chave, a maior parte do arquivo descritor do disco virtual não é criptografada.

Quais privilégios são necessários para realizar operações criptográficas

Somente os usuários que recebem os privilégios de Operações Criptográficas podem realizar operações criptográficas. O conjunto de privilégios é refinado. A função padrão do sistema Administrador inclui todos os privilégios de Operações Criptográficas. A função de administrador sem criptografia oferece suporte a todos os privilégios de administrador, exceto os privilégios de operações criptográficas.

Além de usar o Criptógrafo.* privilégios, vSphere Native Key Provider pode usar o privilégio Cryptographer.ReadKeyServersInfo, que é específico para vSphere Native Key Providers.

Consulte Privilégios de operações criptográficas para obter mais informações.

Você pode criar funções personalizadas adicionais, por exemplo, para permitir que um grupo de usuários criptografe máquinas virtuais, mas para impedi-los de descriptografar máquinas virtuais.

Como você executa operações criptográficas

O vSphere Client oferece suporte a muitas das operações criptográficas. Para outras tarefas, você pode usar o PowerCLI ou o vSphere API.

Tabela 1. Interfaces para realizar operações criptográficas
Interface	Operações	Informações
vSphere Client	Criar máquina virtual criptografada Criptografar e descriptografar máquinas virtuais Executar uma nova criptografia superficial de uma máquina virtual (use uma KEK diferente)	Este livro
PowerCLI	Criar máquina virtual criptografada Criptografar e descriptografar máquinas virtuais Configurar vSphere Trust Authority	VMware PowerCLI Referência de cmdlets
vSphere Web Services SDK	Criar máquina virtual criptografada Criptografar e descriptografar máquinas virtuais Executar uma criptografia profunda de uma máquina virtual (use uma DEK diferente) Executar uma nova criptografia superficial de uma máquina virtual (use uma KEK diferente)	vSphere Web Services SDKGuia de programação vSphere Web Referência da API de serviços
crypto-util	Descriptografar despejos de memória criptografados Verificar se os arquivos estão criptografados Executar outras tarefas de gerenciamento diretamente no host ESXi	Ajuda da linha de comando vSphere Criptografia de máquina virtual e despejos de núcleo

Como você recriptografa (rekey) uma máquina virtual criptografada

Você pode criptografar novamente (também chamado de rechaveamento) uma máquina virtual com novas chaves, por exemplo, caso uma chave expire ou seja comprometida. As seguintes opções de redigitação estão disponíveis.

Uma nova criptografia superficial, que substitui apenas a Chave de Criptografia de Chave (KEK)
Uma nova criptografia profunda, que substitui a Chave de Criptografia de Disco (DEK) e a KEK

Uma criptografia profunda requer que a máquina virtual esteja desligada e não contenha snapshots. Você pode executar uma operação de criptografia superficial enquanto a máquina virtual está ligada e se a máquina virtual tiver snapshots presentes. A criptografia superficial de uma máquina virtual criptografada com snapshots é permitida somente em uma única ramificação de snapshot (cadeia de disco). Não há suporte para várias ramificações de snapshot. Além disso, a criptografia superficial não é compatível com um clone vinculado de uma máquina virtual ou disco. Se a criptografia superficial falhar antes de atualizar todos os links na cadeia com a nova KEK, você ainda poderá acessar a máquina virtual criptografada se tiver as KEKs antigas e novas. No entanto, é melhor reemitir a operação de nova criptografia superficial antes de executar qualquer operação de snapshot.

Você pode executar uma nova chave de uma máquina virtual usando o vSphere Client, a CLI ou a API. Consulte Rechavear uma máquina virtual criptografada usando o vSphere Client, Rechavear uma máquina virtual criptografada usando a CLI e vSphere Web Services SDKGuia de programação.