Con el cifrado de máquinas virtuales de vSphere, puede crear máquinas virtuales cifradas y cifrar máquinas virtuales existentes. Debido a que se cifran todos los archivos de máquinas virtuales con información confidencial, la máquina virtual está protegida. Solo los administradores con privilegios de cifrado puede realizar tareas de cifrado y descifrado.

Claves utilizadas

Se usan dos tipos de claves para el cifrado.
  • El host ESXi genera y usa claves internas para cifrar máquinas y discos virtuales. Estas claves se usan como claves de cifrado de datos (Data Encryption Keys, DEK) y son claves XTS-AES-256.
  • vCenter Server le solicita claves al KMS. Estas claves se usan como la clave de cifrado de claves (key encryption key, KEK), y son claves AES-256. vCenter Server almacena solo el identificador de cada KEK, pero no la clave en sí.
  • ESXi utiliza la KEK para cifrar las claves internas y almacena la clave interna cifrada en el disco. ESXi no almacena la KEK en el disco. Si un host se reinicia, vCenter Server solicita la KEK con el identificador correspondiente del KMS y la pone a disposición de ESXi. De este modo, ESXi puede descifrar las claves internas según sea necesario.

Elementos cifrados

El cifrado de máquinas virtuales de vSphere admite el cifrado de archivos de máquinas virtuales, archivos de discos virtuales y archivos de volcados de núcleo.
Archivos de la máquina virtual
Se cifra la mayoría de los archivos de máquinas virtuales, en particular los datos de invitados que no se almacenan en el archivo VMDK. Este conjunto de archivos incluye, entre otros, los archivos de NVRAM, VSWP y VMSN. La clave que vCenter Server recupera de KMS desbloquea un paquete cifrado en el archivo VMX que contiene claves internas y otros secretos.
Si utiliza vSphere Client para crear una máquina virtual cifrada, puede cifrar y descifrar discos virtuales de manera independiente de los archivos de máquinas virtuales. Si utiliza vSphere Web Client para crear una máquina virtual cifrada, todos los discos virtuales se cifran de manera predeterminada. Para otras tareas de cifrado, en ambos clientes, como el cifrado de una máquina virtual existente, puede cifrar y descifrar discos virtuales de manera independiente de los archivos de máquinas virtuales.
Nota: No se puede asociar un disco virtual cifrado con una máquina virtual que no está cifrada.
Archivos de disco virtual
Los datos de un archivo de disco virtual cifrado (VMDK) jamás se escriben en texto no cifrado en el almacenamiento o el disco físico, ni tampoco se transmiten por la red en texto no cifrado. El archivo de descriptor de VMDK incluye en su mayoría texto no cifrado, pero contiene un identificador de clave para la KEK y la clave interna (DEK) en el paquete cifrado.
Puede usar vSphere API para realizar una operación de repetición de cifrado superficial con una nueva KEK, o bien una operación de repetición de cifrado profunda con una nueva clave interna.
Volcados de núcleos
Los volcados de núcleo en un host ESXi en el que se habilitó el modo de cifrado siempre están cifrados. Consulte Cifrado de máquinas virtuales de vSphere y volcados de núcleo.
Nota: Los volcados de núcleo en el sistema vCenter Server no están cifrados. Proteja el acceso al sistema vCenter Server.
Nota: Para obtener información sobre algunas limitaciones relacionadas con dispositivos y características con las que puede interoperar el cifrado de máquinas virtuales de vSphere, consulte Interoperabilidad del cifrado de máquinas virtuales.

Elementos no cifrados

Algunos de los archivos relacionados con una máquina virtual no se cifran o se cifran parcialmente.
Archivos de registro
Los archivos de registro no se cifran, ya que no contienen datos confidenciales.
Archivos de configuración de máquinas virtuales
La mayoría de la información de configuración de máquinas virtuales, almacenada en los archivos VMX y VMSD, no está cifrada.
Archivo de descriptor de discos virtuales
Para admitir la administración de discos sin una clave, la mayor parte del archivo de descriptor de discos virtuales no se cifra.

Usuarios que pueden realizar operaciones de cifrado

Solo los usuarios a los que se asignan privilegios de Operaciones criptográficas pueden realizar operaciones criptográficas. El conjunto de privilegios tiene una granularidad fina. Consulte Privilegios de operaciones de cifrado. La función del sistema predeterminada Administrador incluye todos los privilegios de Operaciones criptográficas. Una nueva función, Sin administrador de criptografía, admite todos los privilegios de Administrador, salvo los privilegios de Operaciones criptográficas.

Puede crear funciones personalizadas adicionales, por ejemplo, para permitir que un grupo de usuarios cifre máquinas virtuales, pero impedirles que las descifren.

Realización de operaciones de cifrado

vSphere Client y vSphere Web Client admiten muchas de las operaciones criptográficas. Para otras tareas, puede usar vSphere API.

Tabla 1. Interfaces para realizar operaciones de cifrado
Interfaz Operaciones Información
vSphere Client o vSphere Web Client Crear una máquina virtual cifrada

Cifrar y descifrar máquinas virtuales

Este libro.
vSphere Web Services SDK Crear una máquina virtual cifrada

Cifrar y descifrar máquinas virtuales

Realice una operación de repetición de cifrado profunda de una máquina virtual (con otra DEK).

Realice una operación de repetición de cifrado superficial de una máquina virtual (con otra KEK).

Guía de programación de vSphere Web Services SDK

Referencia de VMware vSphere API

crypto-util Descifre volcados de núcleo cifrados, compruebe si los archivos están cifrados y realice otras tareas de administración directamente en el host ESXi. Ayuda de línea de comandos.

Cifrado de máquinas virtuales de vSphere y volcados de núcleo