Después de que configura un proveedor de claves, los usuarios que tengan los privilegios necesarios pueden crear máquinas y discos virtuales cifrados. Esos usuarios también pueden cifrar máquinas virtuales existentes y descifrar máquinas virtuales cifradas y agregar módulos de plataforma de confianza virtual (vTPM) a las máquinas virtuales.
Según el tipo de proveedor de claves, el flujo del proceso puede incluir un servidor de claves, el vCenter Server y el ESXi host.
Flujo del proceso de cifrado del proveedor de claves estándar
- Cuando el usuario realiza una tarea de cifrado, por ejemplo, crear una máquina virtual cifrada, vCenter Server solicita una nueva clave del servidor de claves predeterminado. Esta clave se utiliza como la KEK.
- vCenter Server almacena el identificador de la clave y pasa la clave al host ESXi. Si el host ESXi es parte del clúster, vCenter Server envía la KEK a cada host del clúster.
La clave en sí no se guarda en el sistema de vCenter Server. Solo se conoce el identificador de la clave.
- El host ESXi genera claves internas (DEK) para la máquina virtual y sus discos. Mantiene las claves internas solo en la memoria y usa las KEK para cifrar las claves internas.
Nunca se guardan en el disco las claves internas sin cifrar. Solo se guardan los datos cifrados. Dado que las KEK provienen del servidor de claves, el host sigue usando las mismas KEK.
- El host ESXi cifra la máquina virtual con la clave interna cifrada.
Todos los hosts que tengan la KEK y puedan acceder al archivo de la clave cifrada pueden realizar operaciones en la máquina o el disco virtual cifrado.
Flujo del proceso de cifrado del proveedor de claves de confianza
El flujo del proceso de cifrado de vSphere Trust Authority incluye los servicios de vSphere Trust Authority, los proveedores de claves de confianza, la instancia de vCenter Server y los hosts ESXi.
El cifrado de una máquina virtual con un proveedor de claves de confianza tiene el mismo aspecto que la experiencia del usuario de cifrado de máquinas virtuales cuando se utiliza un proveedor de claves estándar. El cifrado de máquinas virtuales en vSphere Trust Authority sigue dependiendo de las directivas de almacenamiento de cifrado de máquinas virtuales o de la presencia de un dispositivo vTPM, para decidir cuándo cifrar una máquina virtual. Aún puede utilizar un proveedor de claves configurado de forma predeterminada (denominado clúster KMS en vSphere 6.5 y 6.7) cuando cifre una máquina virtual desde vSphere Client. También puede utilizar las API de una manera similar para especificar el proveedor de claves manualmente. Los privilegios de cifrado existentes agregados para vSphere 6.5 siguen aplicándose en vSphere 7.0 y versiones posteriores para vSphere Trust Authority.
El proceso de cifrado del proveedor de claves de confianza tiene algunas diferencias importantes con respecto al proveedor de claves estándar:
-
Los administradores de Trust Authority no especifican información directamente al configurar un servidor de claves para una instancia de vCenter Server y no establecen la confianza de servidor de claves. En su lugar, vSphere Trust Authority publica proveedores de claves de confianza que los hosts de confianza pueden utilizar.
- vCenter Server ya no inserta claves para hosts ESXi y, en su lugar, puede tratar a cada proveedor de claves de confianza como una sola clave de nivel superior.
- Solo los hosts de confianza pueden solicitar operaciones de cifrado desde hosts de Trust Authority.
Flujo del proceso de cifrado de vSphere Native Key Provider
vSphere Native Key Provider se incluye en vSphere 7.0 Update 2 y versiones posteriores. Al configurar una instancia de vSphere Native Key Provider, vCenter Server inserta una clave principal en todos ESXi hosts del clúster. Del mismo modo, si actualiza o elimina una instancia de vSphere Native Key Provider, el cambio se inserta en los hosts del clúster. El flujo del proceso de cifrado es similar al funcionamiento de un proveedor de claves de confianza. La diferencia es que vSphere Native Key Provider genera las claves y las encapsula con la clave principal y, a continuación, las entrega de vuelta para realizar el cifrado.
Atributos personalizados para servidores de claves
El protocolo de interoperabilidad para la administración de claves (Key Management Interoperability Protocol, KMIP) admite la adición de atributos personalizados destinados a propósitos específicos de cada proveedor. Los atributos personalizados permiten identificar más específicamente las claves almacenadas en el servidor de claves. vCenter Server agrega los siguientes atributos personalizados para claves de máquina virtual y claves de host.
| Atributo personalizado | Valor |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Versión de vCenter Server |
x-Component |
Máquina virtual |
x-Name |
Nombre de la máquina virtual (que se recopila de ConfigInfo o ConfigSpec) |
x-Identifier |
UUID de instancia de la máquina virtual (que se recopila de ConfigInfo o ConfigSpec) |
| Atributo personalizado | Valor |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Versión de vCenter Server |
x-Component |
Servidor ESXi |
x-Name |
Nombre de host |
x-Identifier |
UUID de hardware del host |
vCenter Server agrega los atributos x-Vendor, x-Product y x-Product_Version cuando el servidor de claves crea una clave. Cuando se utiliza la clave para cifrar una máquina virtual o un host, vCenter Server establece los atributos x-Component, x-Identifier y x-Name. Es posible que pueda ver estos atributos personalizados en la interfaz de usuario del servidor de claves. Consulte con su proveedor de servidores de claves.
Tanto la clave de host como la clave de máquina virtual tienen los seis atributos personalizados. x-Vendor, x-Product y x-Product_Version pueden ser los mismos para ambas claves. Estos atributos se establecen cuando se genera la clave. Dependiendo de si la clave es para una máquina virtual o un host, es posible que se hayan anexado los atributos x-Component, x-Identifier y x-Name.
Errores de claves de cifrado
Cuando se produce un error al enviar claves del servidor de claves a un host ESXi, vCenter Server genera un mensaje en el registro de eventos para los siguientes eventos:
- Error al agregar claves al host ESXi debido a problemas de conexión o compatibilidad del host.
- Se produjo un error al obtener claves del servidor de claves debido a que faltaba una clave en el servidor de claves.
- No se pudieron obtener las claves del servidor de claves debido a la conexión del servidor de claves.
Descifrar máquinas virtuales cifradas
Si posteriormente desea descifrar una máquina virtual cifrada, puede cambiar su directiva de almacenamiento. Puede cambiar la directiva de almacenamiento de la máquina virtual y todos los discos. Si desea descifrar un componente individual, descifre primero el componente seleccionado y luego descifre la máquina virtual cambiando la directiva de almacenamiento para el inicio de la máquina virtual. Ambas claves son necesarias para descifrar cada uno de los componentes. Consulte Descifrar una máquina virtual o un disco virtual cifrados.
