Je nachdem, welchen Schlüsselanbieter Sie verwenden, tragen ein externer Schlüsselserver, das vCenter Server-System und Ihre ESXi-Hosts potenziell zur Verschlüsselungslösung bei.

Die folgenden Komponenten umfassen vSphere Virtual Machine Encryption:

  • Einen externen Schlüsselserver, auch als KMS bezeichnet (für vSphere Native Key Provider nicht erforderlich)
  • vCenter Server
  • ESXi-Hosts

Schlüsselserver

Der Schlüsselserver ist ein KMIP-Verwaltungsserver (Key Management Interoperability Protocol), der einem Schlüsselanbieter zugeordnet ist. Ein Standardschlüsselanbieter und ein vertrauenswürdiger Schlüsselanbieter benötigen einen Schlüsselserver. vSphere Native Key Provider benötigt keinen Schlüsselserver. In der folgenden Tabelle werden die Unterschiede bei der Schlüsselanbieter- und Schlüsselserverinteraktion beschrieben.

Tabelle 1. Interaktion zwischen Schlüsselanbietern und Schlüsselservern
Schlüsselanbieter Interaktion mit Schlüsselservern
Standardschlüsselanbieter Ein Standardschlüsselanbieter verwendet vCenter Server zum Anfordern von Schlüsseln von einem Schlüsselserver. Der Schlüsselserver generiert und speichert die Schlüssel und leitet sie zur Verteilung an die ESXi-Hosts an vCenter Server weiter.
Vertrauenswürdiger Schlüsselanbieter Ein vertrauenswürdiger Schlüsselanbieter verwendet einen Schlüsselanbieterdienst, mit dem die vertrauenswürdigen ESXi die Schlüssel direkt abrufen können. Weitere Informationen hierzu finden Sie unter Was ist der vSphere Trust Authority-Schlüsselanbieterdienst?.
vSphere Native Key Provider vSphere Native Key Provider benötigt keinen Schlüsselserver. vCenter Server Generiert einen primären Schlüssel und über leitet ihn an die ESXi-Hosts weiter. Daraufhin generieren die ESXi-Hosts dann Datenverschlüsselungsschlüssel (auch wenn sie nicht mit dem vCenter Server verbunden sind). Weitere Informationen hierzu finden Sie unter vSphere Native Key Provider – Übersicht.

Sie können den vSphere Client oder die vSphere API verwenden, um Schlüsselanbieterinstanzen zum vCenter Server-System hinzuzufügen. Wenn Sie mehrere Schlüsselanbieterinstanzen in einem Cluster verwenden, müssen alle Instanzen vom selben Anbieter stammen und Schlüssel replizieren.

Wenn in Ihrer Umgebung verschiedene Schlüsselserveranbieter in unterschiedlichen Umgebungen verwendet werden, können Sie einen Schlüsselanbieter für jeden Schlüsselserver hinzufügen und einen Standardschlüsselanbieter angeben. Der erste hinzugefügte Schlüsselanbieter fungiert als Standardschlüsselanbieter. Sie können den Standardcluster auch zu einem späteren Zeitpunkt explizit festlegen.

Als KMIP-Client verwendet vCenter Server das KMIP (Key Management Interoperability Protocol), um eine problemlose Verwendung des Schlüsselservers Ihrer Wahl zu gewährleisten.

vCenter Server

In der folgenden Tabelle wird die Rolle von vCenter Server beim Verschlüsselungsprozess beschrieben.

Tabelle 2. Schlüsselanbieter und vCenter Server
Schlüsselanbieter Rolle von vCenter Server Wie werden die Rechte überprüft?
Standardschlüsselanbieter Nur vCenter Server verfügt über die Anmeldedaten für die Anmeldung beim Schlüsselserver. Ihre ESXi-Hosts verfügen nicht über diese Anmeldedaten. vCenter Server ruft Schlüssel vom Schlüsselserver ab und pusht diese an die ESXi-Hosts. Der vCenter Server speichert keine Schlüsselserver-Schlüssel, sondern nur eine Liste mit Schlüssel-IDs. vCenter Server überprüft die Berechtigungen der Benutzer, die Kryptografie-Vorgänge durchführen.
Vertrauenswürdiger Schlüsselanbieter Mit vSphere Trust Authority muss vCenter Server nicht länger Schlüssel vom Schlüsselserver anfordern und der Zugriff auf die Verschlüsselungsschlüssel wird somit abhängig vom Bestätigungszustand eines Arbeitslastclusters. Sie müssen getrennte vCenter Server-Systeme für den vertrauenswürdigen Cluster und den Trust Authority Cluster verwenden. vCenter Server überprüft die Berechtigungen der Benutzer, die Kryptografie-Vorgänge durchführen. Nur Benutzer, die Mitglieder der TrustedAdmins SSO-Gruppe sind, können Verwaltungsvorgänge durchführen.
vSphere Native Key Provider Der vCenter Server generiert die Schlüssel. vCenter Server überprüft die Berechtigungen der Benutzer, die Kryptografie-Vorgänge durchführen.

Sie können den vSphere Client zum Zuweisen von Berechtigungen für Kryptografie-Vorgänge oder zum Zuweisen der benutzerdefinierten Rolle Kein Kryptografie-Administrator zu Benutzergruppen verwenden. Weitere Informationen hierzu finden Sie unter Voraussetzungen und erforderliche Berechtigungen für die Verschlüsselung.

vCenter Server fügt Kryptografie-Ereignisse zur Ereignisliste hinzu, die Sie über die vSphere Client-Ereigniskonsole anzeigen und exportieren können. Jedes Ereignis enthält den Benutzer, die Uhrzeit, die Schlüssel-ID und den Kryptografie-Vorgang.

Die Schlüssel aus dem Schlüsselserver werden als Schlüssel für Verschlüsselungsschlüssel (KEKs) verwendet.

ESXi-Hosts

ESXi-Hosts sind verantwortlich für einige Aspekte des Verschlüsselungs-Workflows.

Tabelle 3. ESXi-Hosts
Schlüsselanbieter ESXi-Hostaspekte
Standardschlüsselanbieter
  • vCenter Server leitet Schlüssel an den ESXi-Host weiter, wenn dieser einen Schlüssel benötigt. Für den Host muss der Verschlüsselungsmodus aktiviert sein. Die Rolle des aktuellen Benutzers muss Berechtigungen für Kryptografie-Vorgänge enthalten. Weitere Informationen hierzu finden Sie unter Voraussetzungen und erforderliche Berechtigungen für die Verschlüsselung und Rechte für Verschlüsselungsvorgänge.
  • Es wird sichergestellt, dass die Gastdaten für verschlüsselte virtuelle Maschinen beim Speichern auf die Festplatte verschlüsselt werden.
  • Es wird sichergestellt, dass die Gastdaten für verschlüsselte virtuelle Maschinen nicht ohne Verschlüsselung über das Netzwerk weitergeleitet werden.
Vertrauenswürdiger Schlüsselanbieter Die ESXi-Hosts führen vSphere Trust Authority aus, je nachdem, ob es sich um vertrauenswürdige Hosts oder Trust Authority Hosts handelt. Auf vertrauenswürdigen ESXi-Hosts werden virtuelle Arbeitslastmaschinen ausgeführt, die mithilfe der von den Trust Authority Hosts veröffentlichten Schlüsselanbieter verschlüsselt werden können. Weitere Informationen hierzu finden Sie unter Vertrauenswürdige Infrastruktur – Übersicht.
vSphere Native Key Provider Die ESXi-Hosts rufen Schlüssel direkt vom vSphere Native Key Provider ab.

Die vom ESXi-Host generierten Schlüssel werden in diesem Dokument als interne Schlüssel bezeichnet. Diese Schlüssel fungieren normalerweise als Schlüssel zur Datenverschlüsselung.