Las tareas de cifrado de máquinas virtuales son solo posibles en los entornos que incluyen vCenter Server. Además, el host ESXi debe tener un modo de cifrado activado para la mayoría de las tareas de cifrado. El usuario que realiza la tarea debe contar con los privilegios correspondientes. Un conjunto de privilegios Operaciones criptográficas permite un control detallado. Si las tareas de cifrado de máquinas virtuales requieren un cambio en el modo de cifrado de host, se requieren privilegios adicionales.

Nota: vSphere Trust Authority tiene requisitos previos adicionales y privilegios obligatorios. Consulte Requisitos previos y privilegios necesarios para vSphere Trust Authority.

Usar las funciones y los privilegios de cifrado

De manera predeterminada, el usuario con la función Administrador de vCenter Server tiene todos los privilegios, incluidos los privilegios para operaciones criptográficas. La función Sin administrador de criptografía no tiene los siguientes privilegios que se requieren para las operaciones criptográficas.
Importante: Los usuarios de ESXi Shell también tienen privilegios de operaciones criptográficas.
  • Agregue los privilegios Operaciones criptográficas.
  • Global.Diagnósticos
  • Host.Inventario.Agregar host a clúster
  • Host.Inventario.Agregar host independiente
  • Host.Operaciones locales.Administrar grupos de usuarios

Puede asignar la función Sin administrador de criptografía para los administradores de vCenter Server que no necesitan privilegios Operaciones criptográficas.

Para imponer más límites a lo que pueden hacer los usuarios, puede clonar la función Sin administrador de criptografía y crear una función personalizada con solo algunos privilegios Operaciones criptográficas. Por ejemplo, puede crear una función que permita a los usuarios cifrar máquinas virtuales, pero no descifrarlas. Consulte Usar funciones de vCenter Server para asignar privilegios.

Qué es el modo de cifrado de host

El modo de cifrado de host determina si un host ESXi está listo para aceptar material de cifrado con el fin de cifrar las máquinas virtuales y los discos virtuales. Para poder realizar cualquier operación criptográfica en un host, el modo de cifrado debe estar activado. A menudo, el modo de cifrado de host se establece automáticamente cuando es necesario, pero se puede establecer de forma explícita. Puede comprobar y establecer de forma intencional el modo de cifrado de host actual desde vSphere Client o mediante vSphere API.

Cuando se activa el modo de cifrado de host, vCenter Server instala una clave de host en el host, lo que garantiza que el host esté "seguro" desde el punto de vista del cifrado. Tras establecer la clave de host, se pueden realizar otras operaciones criptográficas, incluidas la obtención por parte de vCenter Server de claves del proveedor de claves y la inserción de estas en los hosts ESXi.

En el modo "seguro", se cifran los volcados de núcleos de los ámbitos de usuario (es decir, hostd) y las máquinas virtuales cifradas. No se cifran los volcados de núcleos de las máquinas virtuales sin cifrar.

Para obtener más información sobre los volcados de núcleos cifrados y la forma en que los utiliza el soporte técnico de VMware, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2147388.

Para obtener instrucciones, consulte Activar el modo de cifrado de host de forma explícita.

Una vez que se establezca el modo de cifrado de host, no podrá desactivarse con facilidad. Consulte Desactivar el modo de cifrado de host mediante la API.

Los cambios automáticos se producen cuando las operaciones de cifrado intentan establecer el modo de cifrado del host. Por ejemplo, supongamos que agrega una máquina virtual cifrada a un host independiente. El modo de cifrado de host no está establecido. Si se tienen los privilegios correspondientes en el host, el modo de cifrado cambiará automáticamente.

Supongamos que el clúster tiene tres hosts ESXi: A, B y C. Debe crear una máquina virtual cifrada en el host A. Lo que suceda dependerá de varios factores.

  • Si ya se ha establecido el cifrado para los hosts A, B y C, solo se necesitan los privilegios Operaciones criptográficas.Cifrar nuevo para crear la máquina virtual.
  • Si los hosts A y B se establecen para el cifrado de host y el C no lo está, el sistema procede de la siguiente manera.
    • Supongamos que tiene los privilegios Operaciones criptográficas.Cifrar nuevo y los privilegios Operaciones criptográficas.Registrar host en cada host. En este caso, el proceso de cifrado establece el modo de cifrado de host en el host C e inserta la clave en cada host del clúster.

      En este caso, también puede establecer explícitamente el modo de cifrado de host en el host C.

    • Suponga que solo tiene los privilegios Operaciones criptográficas.Cifrar nuevo en la máquina virtual o en una carpeta de máquinas virtuales. En ese caso, la creación de máquinas virtuales se completará correctamente y la clave estará disponible en el host A y el host B. El host C permanecerá desactivado para el cifrado y no tendrá la clave de la máquina virtual.
  • Si ninguno de los hosts tiene configurado el modo de cifrado de host y usted cuenta con los privilegios Operaciones criptográficas.Registrar host en el host A, el proceso de creación de máquinas virtuales habilitará el cifrado de hosts en dicho host. De lo contrario, se producirá un error para los hosts B y C.
  • También puede utilizar vSphere API para establecer el modo de cifrado de un clúster en "forzar la habilitación". Forzar habilitación hace que todos los hosts del clúster sean "seguros" desde el punto de vista de cifrado, es decir, que vCenter Server haya instalado una clave de host en el host. Consulte Guía de programación de vSphere Web Services SDK.

Requisitos de espacio de disco al cifrar máquinas virtuales

Al cifrar una máquina virtual existente, se necesita al menos el doble de espacio que el que utiliza actualmente la máquina virtual.