In vSphere 7.0 Update 2 y versiones posteriores, puede usar vSphere Native Key Provider, que viene integrado, para habilitar tecnologías de cifrado como los TPM virtuales (vTPM).

vSphere Native Key Provider se incluye en todas las ediciones de vSphere y no requiere servidor de claves externo (también denominado en el sector servidor de administración de claves, KMS). También puede usar vSphere Native Key Provider para el cifrado de máquinas virtuales de vSphere, pero debe adquirir vSphere® Enterprise Plus Edition™ de VMware.

¿Qué es vSphere Native Key Provider?

Con un proveedor de claves estándar o un proveedor de claves de confianza, debe configurar un servidor de claves externo. En una configuración de proveedor de claves estándar, vCenter Server recupera las claves del servidor de claves externo y las distribuye a los hosts ESXi. En una configuración de proveedor de claves de confianza, (vSphere Trust Authority) los hosts ESXi de confianza recuperan las claves directamente.

Con vSphere Native Key Provider, ya no necesita un servidor de claves externo. vCenter Server genera una clave principal, denominada Clave de derivación de claves (Key Derivation Key, KDK), y la inserta en todos los hosts ESXi del clúster. A continuación, los hosts ESXi generan claves de cifrado de datos (incluso cuando no están conectados a vCenter Server) para habilitar la funcionalidad de seguridad, como vTPM. La funcionalidad vTPM se incluye en todas las ediciones vSphere. Para usar vSphere Native Key Provider para el cifrado de máquinas virtuales de vSphere, tiene que haber adquirido vSphere Enterprise Plus Edition. vSphere Native Key Provider puede coexistir con una infraestructura de servidor de claves existente.

vSphere Native Key Provider:

  • Permite el uso de vTPM, cifrado de máquinas virtuales de vSphere y cifrado de datos en reposo de vSAN cuando no se necesita ni se desea tener un servidor de claves externo.
  • Funciona únicamente con productos de infraestructura de VMware.
  • No proporciona interoperabilidad externa, soporte de KMIP, módulos de seguridad de hardware u otras características que un servidor de claves externo tradicional de terceros puede ofrecer para el cumplimiento normativo o interoperabilidad. Si su organización requiere esta funcionalidad para productos y componentes que no son de VMware, instale un servidor de claves tradicional de terceros.
  • Ayuda a solucionar las necesidades de las organizaciones que no pueden o no desean utilizar un servidor de claves externo.
  • Mejora las prácticas de saneamiento de datos y reutilización de sistemas al facilitar el uso previo de tecnologías de cifrado en soportes difíciles de sanear, como las memorias flash y las unidades SSD.
  • Proporciona una ruta de acceso de transición entre proveedores de claves. vSphere Native Key Provider es compatible con el proveedor de claves estándar de VMware y con el proveedor de claves de confianza vSphere Trust Authority.
  • Funciona con varios sistemas vCenter Server mediante una configuración de Enhanced Linked Mode o una configuración de vCenter Server High Availability.
  • Se puede utilizar para habilitar vTPM en todas las ediciones de vSphere y cifrar máquinas virtuales con la compra de vSphere Enterprise Plus Edition que incluye cifrado de máquinas virtuales de vSphere. El cifrado de máquinas virtuales de vSphere funciona con vSphere Native Key Provider de la misma manera que con los proveedores de claves estándar y de confianza de VMware.
  • Se puede utilizar para habilitar el cifrado de datos en reposo de vSAN con el uso de una licencia de vSAN adecuada.
  • Puede utilizar un módulo de plataforma de confianza (Trusted Platform Module, TPM) 2.0 para aumentar la seguridad cuando se instala en un host ESXi. También puede configurar vSphere Native Key Provider para que solo esté disponible para los hosts en los que hay un TPM 2.0 instalado. Si utiliza un TPM, debe ser TPM 2.0. vSphere Native Key Provider no admite TPM 1.2.
Nota: Un host ESXi no requiere un TPM 2.0 para usar una instancia de vSphere Native Key Provider. No obstante un TPM 2.0 sí brinda seguridad mejorada.

Al igual que con todas las soluciones de seguridad, tenga en cuenta el diseño del sistema, las consideraciones de implementación y las ventajas del uso de vSphere Native Key Provider. Por ejemplo, la persistencia de claves de ESXi evita la dependencia de que un servidor de claves esté siempre disponible. Sin embargo, debido a que la persistencia de claves almacena la información criptográfica de vSphere Native Key Provider en los hosts agrupados en clúster, seguirá estando en situación de riesgo si los agentes malintencionados roban los propios hosts ESXi. Dado que los entornos difieren, evalúe e implemente los controles de seguridad de acuerdo con las necesidades normativas y de seguridad de su organización, los requisitos operativos y la tolerancia al riesgo.

Para obtener más información general sobre vSphere Native Key Provider, consulte https://core.vmware.com/native-key-provider.

Requisitos de vSphere Native Key Provider

Para usar vSphere Native Key Provider, debe:

  • Asegúrese de que el sistema vCenter Server y los hosts ESXi ejecuten vSphere 7.0 Update 2 o una versión posterior.
  • Configure los hosts ESXi en un clúster.
  • Si bien no es necesario, como práctica recomendada, utilice hosts ESXi que sean lo más idénticos posible, incluidos los TPM. La administración de clústeres y la habilitación de funciones son mucho más sencillas cuando los hosts del clúster son idénticos.
  • Configure la copia de seguridad y la restauración basadas en archivos de vCenter Server, y almacene las copias de seguridad de forma segura, ya que contienen la clave de derivación de claves. Consulte el tema sobre copia de seguridad y restauración de vCenter Server en la documentación de Instalar y configurar vCenter Server.

Para realizar cifrado de máquinas virtuales de vSphere o cifrado de vSAN mediante vSphere Native Key Provider, debe adquirir la edición de los productos que contengan la licencia adecuada.

vSphere Native Key Provider y Enhanced Linked Mode

Puede configurar un vSphere Native Key Provider único que se pueda compartir entre sistemas vCenter Server dispuestos en una configuración de Enhanced Linked Mode. Los pasos de alto nivel en este escenario son los siguientes:

  1. Crear el vSphere Native Key Provider en uno de los sistemas vCenter Server
  2. Hacer una copia de seguridad de vSphere Native Key Provider en el vCenter Server en el que se creó
  3. Exportar el vSphere Native Key Provider
  4. Restaurar el vSphere Native Key Provider a otros sistemas vCenter Server existentes en la configuración de Enhanced Link Mode (consulte Restaurar un vSphere Native Key Provider mediante el vSphere Client)

Privilegios de vSphere Native Key Provider

Al igual que los proveedores de claves estándar y de confianza, vSphere Native Key Provider utiliza los privilegios Cryptographer*. Además, vSphere Native Key Provider utiliza el privilegio Cryptographer.ReadKeyServersInfo, que es específico de él, para enumerar las instancias de vSphere Native Key Provider. Consulte Privilegios de operaciones de cifrado.

Alarmas de vSphere Native Key Provider

Debe realizar una copia de seguridad de vSphere Native Key Provider. Cuando no se realiza una copia de seguridad de vSphere Native Key Provider, vCenter Server genera una alarma. Después de que haga una copia de seguridad de la instancia de vSphere Native Key Provider para la que se generó una alarma, vCenter Server restablecerá la alarma. De forma predeterminada, vCenter Server comprueba una vez al día que las instancias de vSphere Native Key Provider tengan una copia de seguridad. Puede cambiar el intervalo de comprobación modificando la opción vpxd.KMS.backupCheckInterval.

Comprobación de corrección periódica de vSphere Native Key Provider

vCenter Server comprueba periódicamente que la configuración de vSphere Native Key Provider en vCenter Server coincida con la de los hosts ESXi. Cuando cambia el estado de un host, por ejemplo, cuando agrega un host al clúster, la configuración del proveedor de claves en el clúster se diferencia de la configuración en el host. Si la configuración (keyID) es diferente en el host, vCenter Server actualiza automáticamente la configuración del host. No se requiere intervención manual.

De forma predeterminada, vCenter Server comprueba la configuración cada cinco minutos. Puede modificar el intervalo mediante la opción vpxd.KMS.remediationInterval.

Usar vSphere Native Key Provider con un sitio de recuperación ante desastres

Puede utilizar vSphere Native Key Provider con un sitio de recuperación ante desastres de copia de seguridad. La importación de la copia de seguridad de vSphere Native Key Provider desde la instancia principal de vCenter Server a la instancia de copia de seguridad de vCenter Server en el sitio de recuperación ante desastres permite que ese clúster descifre y ejecute las máquinas virtuales cifradas.

Pruebe siempre su solución de recuperación ante desastres. Nunca asuma que su solución funciona sin intentar una recuperación. Asegúrese de que una copia de seguridad de vSphere Native Key Provider también esté disponible para el sitio de recuperación ante desastres.

Funciones no compatibles en vSphere Native Key Provider

Actualmente, vSphere Native Key Provider no admite lo siguiente:

  • Cifrado de disco de primera clase (First Class Disk, FCD)

Migrar máquinas virtuales mediante vSphere Native Key Provider en sistemas vCenter Server no vinculados

Los pasos de alto nivel para migrar una máquina virtual, ya sea cifrada o habilitada con un vTPM a través de vSphere Native Key Provider, de un sistema vCenter Server no vinculado a otro, incluyen:

  1. Restaurar el vSphere Native Key Provider al sistema vCenter Server al que se va a migrar.
  2. Migración de la máquina virtual mediante vMotion.