Las tareas de cifrado son solo posibles en los entornos que incluyen vCenter Server. Además, el host ESXi debe tener un modo de cifrado habilitado para la mayoría de las tareas de cifrado. El usuario que realiza la tarea debe contar con los privilegios correspondientes. Un conjunto de privilegios Operaciones criptográficas permite un control detallado. Si las tareas de cifrado de máquinas virtuales requieren un cambio en el modo de cifrado de host, se requieren privilegios adicionales.

Nota: vSphere Trust Authority tiene requisitos previos adicionales y privilegios obligatorios. Consulte Requisitos previos y privilegios necesarios para vSphere Trust Authority.

Privilegios de cifrado y funciones

De manera predeterminada, el usuario con la función Administrador de vCenter Servertiene todos los privilegios. La función Sin administrador de criptografía no tiene los siguientes privilegios que se requieren para las operaciones criptográficas.
  • Agregue los privilegios Operaciones criptográficas.
  • Global.Diagnósticos
  • Host.Inventario.Agregar host a clúster
  • Host.Inventario.Agregar host independiente
  • Host.Operaciones locales.Administrar grupos de usuarios

Puede asignar la función Sin administrador de criptografía para los administradores de vCenter Server que no necesitan privilegios Operaciones criptográficas.

Para imponer más límites a lo que pueden hacer los usuarios, puede clonar la función Sin administrador de criptografía y crear una función personalizada con solo algunos privilegios Operaciones criptográficas. Por ejemplo, puede crear una función que permita a los usuarios cifrar máquinas virtuales, pero no descifrarlas. Consulte Usar funciones para asignar privilegios.

Modo de cifrado de host

El modo de cifrado de host determina si un host ESXi está listo para aceptar material de cifrado con el fin de cifrar las máquinas virtuales y los discos virtuales. Para realizar las operaciones criptográficas en un host, debe habilitarse el modo de cifrado de host. A menudo, el modo de cifrado de host se habilita automáticamente cuando es necesario, pero se puede habilitar de forma explícita. Puede comprobar y establecer de forma intencional el modo de cifrado de host actual desde vSphere Client o mediante vSphere API.

Cuando se habilita el modo de cifrado de host, vCenter Server instala una clave de host en el host, lo que garantiza que este está "seguro" desde el punto de vista del cifrado. Tras establecer la clave de host, se pueden realizar otras operaciones criptográficas, incluidas la obtención por parte de vCenter Server de claves del proveedor de claves y la inserción de estas en los hosts ESXi.

En el modo "seguro", se cifran los volcados de núcleos de los ámbitos de usuario (es decir, hostd) y las máquinas virtuales cifradas. No se cifran los volcados de núcleos de las máquinas virtuales sin cifrar.

Para obtener más información sobre los volcados de núcleos cifrados y la forma en que los utiliza el soporte técnico de VMware, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2147388.

Para obtener instrucciones, consulte Habilitar el modo de cifrado de host de forma explícita.

Una vez que el modo de cifrado de host está habilitado, no puede deshabilitarse con facilidad. Consulte Deshabilitar el modo de cifrado de host mediante la API.

Los cambios automáticos se producen cuando las operaciones criptográficas intentan habilitar el modo de cifrado de host. Por ejemplo, supongamos se agrega una máquina virtual cifrada a un host independiente y que el modo de cifrado de host no está habilitado. Si se tienen los privilegios correspondientes en el host, el modo de cifrado cambia a habilitado en forma automática.

Supongamos que el clúster tiene tres hosts ESXi: A, B y C. Debe crear una máquina virtual cifrada en el host A. Lo que suceda dependerá de varios factores.

  • Si ya se ha habilitado el cifrado para los hosts A, B y C, solo se necesitan los privilegios Operaciones criptográficas.Cifrar nuevo para crear la máquina virtual.
  • Si los hosts A y B están habilitados para el cifrado y el C no lo está, el sistema procede de la siguiente manera.
    • Supongamos que tiene los privilegios Operaciones criptográficas.Cifrar nuevo y los privilegios Operaciones criptográficas.Registrar host en cada host. En ese caso, el proceso de creación de la máquina virtual habilitará el cifrado en el host C. El proceso de cifrado habilitará el modo de cifrado de hosts en el host C y envíará la clave a cada host del clúster.

      Para este caso, también se puede habilitar el cifrado de host en el host C de forma explícita.

    • Suponga que solo tiene los privilegios Operaciones criptográficas.Cifrar nuevo en la máquina virtual o en una carpeta de máquinas virtuales. En ese caso, la creación de máquinas virtuales se completará correctamente y la clave estará disponible en el host A y el host B. El host C permanecerá deshabilitado para el cifrado y no tendrá la clave de la máquina virtual.
  • Si el cifrado no está habilitado en ninguno de los hosts y usted cuenta con los privilegios Operaciones criptográficas.Registrar host en el host A, el proceso de creación de máquinas virtuales habilitará el cifrado de hosts en dicho host. De lo contrario, se produce un error.
  • También puede utilizar vSphere API para establecer el modo de cifrado de un clúster en "forzar la habilitación". Forzar habilitación hace que todos los hosts del clúster sean "seguros" desde el punto de vista de cifrado, es decir, que vCenter Server haya instalado una clave de host en el host. Consulte Guía de programación de vSphere Web Services SDK.

Requisitos de espacio de disco

Al cifrar una máquina virtual existente, se necesita al menos el doble de espacio que el que utiliza actualmente la máquina virtual.