Prácticas recomendadas de cifrado de máquinas virtuales

Siga las prácticas recomendadas de cifrado de máquinas virtuales para evitar problemas futuros, por ejemplo, al generar un paquete de vm-support.

Prácticas recomendadas generales

Siga estas prácticas recomendadas generales para evitar problemas.

No cifre ninguna máquina virtual de vCenter Server Appliance.
Si se produce un error en el host ESXi, recupere el paquete de soporte lo antes posible. La clave de host debe estar disponible para generar un paquete de soporte que utilice una contraseña o para descifrar un volcado de núcleo. Si el host se reinicia, es posible que se cambie la clave de host. En caso de que esto suceda, ya no se podrá generar un paquete de soporte con una contraseña ni descifrar volcados de núcleo en el paquete de soporte con la clave de host.
Administre los nombres de clúster del KMS con cuidado. Si cambia el nombre de clúster de un KMS por un KMS que ya está en uso, la máquina virtual cifrada con las claves de ese KMS pasa a tener el estado bloqueado durante el encendido o el registro. En ese caso, elimine el KMS de vCenter Server y agréguelo con el nombre de clúster que utilizó al comienzo.
No edite los archivos VMX ni los archivos de descriptores de VMDK. Estos archivos contienen el paquete de cifrado. Es posible que la máquina virtual no se pueda recuperar debido a los cambios realizados y que el problema de recuperación no se pueda solucionar.
El proceso de cifrado cifra los datos del host antes de que se escriban en el almacenamiento. Las funciones de almacenamiento de back-end, como la desduplicación y la compresión, pueden no ser efectivas para las máquinas virtuales cifradas. Al usar el cifrado de máquinas virtuales de vSphere, tenga en cuenta los compromisos de almacenamiento.
El cifrado requiere gran consumo de CPU. AES-NI mejora significativamente el rendimiento del cifrado. Habilite AES-NI en el BIOS.

Prácticas recomendadas para volcados de núcleo cifrados

Siga estas prácticas recomendadas para evitar problemas cuando desee examinar un volcado de núcleo a fin de diagnosticar un problema.

Establezca una directiva con respecto a los volcados de núcleo. Los volcados de núcleo están cifrados porque pueden contener información confidencial, por ejemplo, claves. Si descifra un volcado de núcleo, asuma que contiene información confidencial. Los volcados de núcleo de ESXi pueden contener claves para el host ESXi y para las máquinas virtuales que este contiene. Después de descifrar un volcado de núcleo, considere cambiar la clave del host y volver a cifrar las máquinas virtuales cifradas. Puede realizar ambas tareas con vSphere API.
Consulte Cifrado de máquinas virtuales de vSphere y volcados de núcleo para obtener detalles.
Siempre utilice una contraseña cuando recopile un paquete de vm-support. Puede especificar la contraseña cuando genera el paquete de soporte de vSphere Client o puede utilizar el comando vm-support.
La contraseña vuelve a cifrar los volcados de núcleo que utilizan claves internas de manera que estos volcados empleen claves basadas en la contraseña. Posteriormente, se puede usar la contraseña para descifrar cualquier volcado de núcleo cifrado que pudiera estar incluido en el paquete de soporte. El uso de la opción de contraseña no afecta a los volcados de núcleo sin cifrar ni los registros.
La contraseña que especificó durante la creación del paquete de vm-support no persiste en los componentes de vSphere. Es su responsabilidad llevar un registro de las contraseñas de los paquetes de soporte.
Antes de cambiar la clave de host, genere un paquete de soporte de la máquina virtual con una contraseña. Más adelante, puede usar la contraseña para acceder a todos los volcados de núcleo que se hayan cifrado con la clave de host anterior.

Prácticas recomendadas para la administración del ciclo de vida de claves

Implemente prácticas recomendadas que garanticen la disponibilidad del KMS y supervise claves en el KMS.

Es su responsabilidad implementar directivas que garanticen la disponibilidad del KMS.
Si el KMS no está disponible, no se pueden realizar operaciones de máquinas virtuales que requieren que vCenter Server solicite la clave del KMS. Eso significa que las máquinas virtuales en ejecución siguen ejecutándose, y puede encenderlas, apagarlas y volver a configurarlas. No obstante, no puede reubicar la máquina virtual en un host que no tiene la información de la clave.
La mayoría de las soluciones de KMS incluyen funciones de alta disponibilidad. Puede utilizar vSphere Client o la API para especificar un clúster de KMS y los servidores de KMS asociados.
Es su responsabilidad llevar un registro de las claves y encontrar soluciones si las claves de las máquinas virtuales actuales no tienen el estado Activa.
El estándar KMIP define los siguientes estados para las claves:
- Preactiva
- activa
- Desactivada
- Comprometida
- Destruida
- Comprometida destruida
El cifrado de máquinas virtuales de vSphere utiliza solo claves con el estado Activa para cifrar. Si la clave está en el estado Preactiva, el cifrado de máquinas virtuales de vSphere la activa. Si el estado de la clave es Desactivada, Comprometida, Destruida o Comprometida destruida, no se pueden cifrar una máquina ni un disco virtuales con esa clave.
Las máquinas virtuales que usan estas claves seguirán funcionando cuando las claves tengan otros estados. La correcta ejecución de una operación de clonación o migración dependerá de si la clave ya existe en el host.
- Si la clave existe en el host de destino, la operación se realiza correctamente incluso si la clave no tiene el estado Activa en el KMS.
- Si las claves de máquina virtual y disco virtual no están en el host de destino, vCenter Server debe recuperar las claves del KMS. Si el estado de la clave es Desactivada, Comprometida, Destruida o Comprometida destruida, vCenter Server muestra un error y la operación no se realiza correctamente.
Una operación de clonación o de migración se realiza correctamente si la clave ya está en el host. Se produce un error en la operación si vCenter Server debe extraer las claves del KMS.
Si una clave no tiene el estado Activa, vuelva a introducir la clave con la API. Consulte la Guía de programación de vSphere Web Services SDK.

Prácticas recomendadas de copia de seguridad y restauración

Establezca directivas para las operaciones de copias de seguridad y restauración.

No todas las arquitecturas de copias de seguridad son compatibles. Consulte Interoperabilidad del cifrado de máquinas virtuales.
Establezca directivas para las operaciones de restauración. Debido a que las copias de seguridad siempre incluyen texto no cifrado, cifre las máquinas virtuales inmediatamente después de que finalice la restauración. Puede especificar que se cifre la máquina virtual como parte de la operación de restauración. Si fuera posible, cifre la máquina virtual como parte del proceso de restauración para evitar que se divulgue información confidencial. Para cambiar la directiva de cifrado de cualquier disco que esté relacionado con la máquina virtual, cambie la directiva de almacenamiento de ese disco.
Debido a que los archivos de inicio de la máquina virtual están cifrados, asegúrese de que las claves de cifrado estén disponibles en el momento de una restauración.

Prácticas recomendadas de rendimiento

El rendimiento del cifrado depende de la velocidad de la CPU y del almacenamiento.
El cifrado de las máquinas virtuales existentes lleva más tiempo que el cifrado de una máquina virtual durante la creación. En lo posible, cifre la máquina virtual al crearla.

Prácticas recomendadas de directivas de almacenamiento

No modifique la directiva de almacenamiento de muestra de cifrado de una máquina virtual en paquete. En lugar de ello, clone la directiva y edite el clon.

Nota: No existe ninguna manera automatizada de restaurar la directiva de cifrado de una máquina virtual a la configuración original.

Consulte la documentación de Almacenamiento de vSphere si desea obtener información para personalizar las directivas de almacenamiento.