Siga as práticas recomendadas de criptografia de máquina virtual para evitar problemas posteriormente, por exemplo, ao gerar um pacote vm-support.
Práticas recomendadas para a criptografia de máquina virtual para começar
Para evitar problemas ao usar a criptografia de máquina virtual, siga estas práticas recomendadas gerais.
- Não criptografe nenhuma máquina virtual do appliance do vCenter Server.
- Se o seu host ESXi falhar, recupere o pacote de suporte o mais rápido possível. A chave de host deve estar disponível para gerar um pacote de suporte que usa uma senha ou para descriptografar um despejo de memória. Se o host for reinicializado, é possível que a chave do host seja alterada. Se isso acontecer, você não poderá mais gerar um pacote de suporte com uma senha ou descriptografar despejos de memória no pacote de suporte com a chave de host.
- Gerencie os nomes dos principais provedores com cuidado. Se o nome do provedor de chaves for alterado para um servidor de chaves que já está em uso, uma VM criptografada com chaves desse servidor de chaves entrará em um estado bloqueado durante a ativação ou o registro. Nesse caso, remova o servidor de chaves do vCenter Server e adicione-o com o nome do provedor de chaves usado inicialmente.
- Não edite arquivos VMX e arquivos descritores VMDK. Esses arquivos contêm o pacote de criptografia. É possível que suas alterações tornem a máquina virtual irrecuperável e que o problema de recuperação não possa ser corrigido.
- O processo de Criptografia da Máquina Virtual vSphere criptografa os dados no host antes de gravá-los no armazenamento. A eficácia dos recursos de armazenamento de back-end, como desduplicação, compactação, replicação e assim por diante, pode ser afetada ao criptografar máquinas virtuais dessa maneira.
- Se você usar várias camadas de criptografia, por exemplo, vSphere Criptografia de Máquina Virtual e criptografia no convidado (BitLocker, dm-crypt e assim por diante), o desempenho geral da máquina virtual poderá ser afetado, pois os processos de criptografia usam Recursos de CPU e memória.
- Certifique-se de que as cópias replicadas de máquinas virtuais criptografadas com a Criptografia de Máquina Virtual vSphere tenham acesso às chaves de criptografia no site de recuperação. Para provedores de chaves padrão, isso é tratado como parte do projeto do Sistema de Gerenciamento de Chaves, fora do vSphere. Para vSphere Native Key Provider, certifique-se de que exista uma cópia de backup da chave do Native Key Provider e esteja protegida contra perda. Para obter mais informações, consulte Fazer backup de um vSphere Native Key Provider.
- A criptografia faz uso intensivo da CPU. O AES-NI melhora significativamente o desempenho da criptografia. Ative o AES-NI no seu BIOS.
Práticas recomendadas para despejos de núcleo criptografados
Siga estas práticas recomendadas para evitar problemas quando quiser examinar um despejo de memória para diagnosticar um problema.
- Estabeleça uma política em relação aos despejos de memória. Os dumps principais são criptografados porque podem conter informações confidenciais, como chaves. Se você descriptografar um despejo de memória, considere-o como informações confidenciais. Os despejos de memória ESXi podem conter chaves para o host ESXi e para as máquinas virtuais nele. Considere alterar a chave de host e criptografar novamente as máquinas virtuais criptografadas depois de descriptografar um despejo de memória. Você pode executar as duas tarefas usando o vSphere API.
Consulte vSphere Criptografia de máquina virtual e despejos de núcleo para obter detalhes.
- Sempre use uma senha ao coletar um pacote vm-support. Você pode especificar a senha ao gerar o pacote de suporte do vSphere Client ou usando o comando vm-support.
A senha criptografa novamente os despejos principais que usam chaves internas para usar chaves baseadas na senha. Posteriormente, você poderá usar a senha para descriptografar quaisquer despejos de memória criptografados que possam estar incluídos no pacote de suporte. Os despejos de memória e os logs não criptografados não são afetados pelo uso da opção de senha.
- A senha que você especifica durante a criação do pacote vm-support não é mantida nos componentes vSphere. Você é responsável por rastrear as senhas dos pacotes de suporte.
- Antes de alterar a chave do host, gere um pacote vm-support com uma senha. Posteriormente, você poderá usar a senha para acessar quaisquer despejos de memória que possam ter sido criptografados com a chave de host antiga.
Práticas recomendadas para o gerenciamento do ciclo de vida das chaves
- Você é responsável por ter políticas em vigor que garantam a disponibilidade do servidor de chaves.
Se o servidor de chaves não estiver disponível, as operações de máquina virtual que exigem que vCenter Server solicitem a chave do servidor de chaves não serão possíveis. Isso significa que as máquinas virtuais em execução continuam em execução, e você pode ligar, desligar e reconfigurar essas máquinas virtuais. No entanto, você não pode realocar a máquina virtual para um host que não tenha as informações de chave.
A maioria das principais soluções de servidor inclui recursos de alta disponibilidade. Você pode usar o vSphere Client ou a API para especificar um provedor de chaves e os servidores de chaves associados.
Observação: A partir da versão 7.0 Atualização 2, as máquinas virtuais criptografadas e os TPMs virtuais podem continuar a funcionar mesmo quando o servidor principal está temporariamente offline ou indisponível. Os hosts ESXi podem manter as chaves de criptografia para continuar as operações de criptografia e vTPM. Consulte vSphere Persistência de chave em ESXi hosts. - Você é responsável por acompanhar as chaves e por realizar a correção se as chaves das máquinas virtuais existentes não estiverem no estado Ativo.
O padrão KMIP define os seguintes estados para chaves.
- Pré-ativo
- Ativo
- Desativado
- Comprometido
- Destruído
- Destruído Comprometido
vSphere A Criptografia de Máquina Virtual usa apenas chaves ativas para criptografia. Se uma chave for pré-ativa, a vSpherecriptografia de máquina virtual a ativará. Se o estado da chave for Desativado, Comprometido, Destruído, Destruído Comprometido, você não poderá criptografar uma máquina virtual ou um disco com essa chave.
Para chaves que estão em outros estados, as máquinas virtuais que usam essas chaves continuam funcionando. O êxito de uma operação de clonagem ou migração depende do fato de a chave já estar no host.- Se a chave estiver no host de destino, a operação terá êxito mesmo se a chave não estiver Ativa no servidor de chaves.
- Se as chaves necessárias da máquina virtual e do disco virtual não estiverem no host de destino, vCenter Server precisará buscar as chaves do servidor de chaves. Se o estado da chave for Desativado, Comprometido, Destruído ou Destruído Comprometido, vCenter Server exibirá um erro e a operação não terá êxito.
Uma operação de clonagem ou migração será bem-sucedida se a chave já estiver no host. A operação falhará se vCenter Server precisar efetuar pull das chaves do servidor de chaves.
Se uma chave não estiver Ativa, realize uma operação de rechaveamento usando a API. Consulte o vSphere Web Services SDKGuia de programação.
- Desenvolva políticas de rotação de chaves para que as chaves sejam desativadas e substituídas após um horário específico.
- Provedor de chaves confiáveis: altere a chave primária de um provedor de chaves confiáveis.
- vSphere Native Key Provider: Altere o
key_id
de um vSphere Native Key Provider.
Práticas recomendadas para backup e restauração
- Nem todas as arquiteturas de backup são compatíveis. Consulte Interoperabilidade de criptografia de máquina virtual.
- Configure políticas para operações de restauração. Como o backup é sempre em texto não criptografado, planeje criptografar as máquinas virtuais logo após a conclusão da restauração. Você pode especificar que a máquina virtual seja criptografada como parte da operação de restauração. Se possível, criptografe a máquina virtual como parte do processo de restauração para evitar a exposição de informações confidenciais. Para alterar a política de criptografia de qualquer disco associado à máquina virtual, altere a política de armazenamento do disco.
- Como os arquivos iniciais da VM são criptografados, certifique-se de que as chaves de criptografia estejam disponíveis no momento de uma restauração.
Práticas recomendadas para desempenho de criptografia
- O desempenho da criptografia depende da CPU e da velocidade de armazenamento.
- A criptografia de máquinas virtuais existentes é mais demorada do que a criptografia de uma máquina virtual durante a criação. Criptografe uma máquina virtual ao criá-la, se possível.
Práticas recomendadas para a política de armazenamento de amostra
Consulte a documentação do vSphere Armazenamento para obter detalhes sobre como personalizar as políticas de armazenamento.
Práticas recomendadas para remover chaves de criptografia
Para garantir que as chaves de criptografia sejam removidas de um cluster, após excluir, cancelar o registro ou mover a máquina virtual criptografada para outro vCenter Server, reinicialize os hosts ESXi no cluster.