Una máquina virtual cifrada y clonada utiliza las mismas claves para cifrarse a menos que las cambie. Para cambiar las claves, puede utilizar vSphere Client, PowerCLI o la API. Si utiliza PowerCLI o la API, puede clonar la máquina virtual cifrada y cambiar las claves en un paso.

Puede realizar las siguientes operaciones durante la clonación.

  • Crear una máquina virtual cifrada a partir de una máquina virtual o una plantilla de máquina virtual sin cifrar.
  • Crear una máquina virtual descifrada a partir de una máquina virtual o una plantilla de máquina virtual cifrada.
  • Volver a cifrar la máquina virtual de destino con claves diferentes a las de la máquina virtual de origen.
  • En vSphere 8.0 y versiones posteriores, al seleccionar la opción Reemplazar para una máquina virtual con un vTPM, se inicia con un nuevo vTPM en blanco, que obtiene sus propios secretos e identidad.
Nota: vSphere 8.0 y versiones posteriores incluyen el ajuste avanzado vpxd.clone.tpmProvisionPolicy para que el comportamiento de clonación predeterminado de los vTPM sea "reemplazar".

Puede crear una máquina virtual de clon instantáneo a partir de una máquina virtual cifrada, con la precaución de que el clon instantáneo comparta la misma clave con la máquina virtual de origen. No se pueden volver a cifrar claves en la máquina virtual de origen o de clon instantáneo.

Para usar la API para clonar máquinas cifradas, consulte Guía de programación de vSphere Web Services SDK.

Requisitos previos

  • Se debe configurar y habilitar un proveedor de claves.
  • Cree una directiva de almacenamiento de cifrado o utilice la muestra que se incluye en el paquete (la directiva de cifrado de máquina virtual).
  • Privilegios necesarios (se aplica a todos los proveedores de claves):
    • Operaciones criptográficas.Clonar
    • Operaciones criptográficas.Cifrar
    • Operaciones criptográficas.Descifrar
    • Operaciones criptográficas.Volver a cifrar
    • Si el modo de cifrado del host no está habilitado, además debe tener privilegios de Operaciones de cifrado.Registrar host.

Procedimiento

  1. Desplácese hasta la máquina virtual en el inventario de vSphere Client.
  2. Para crear un clon de una máquina cifrada, haga clic con el botón derecho en la máquina virtual, seleccione Clonar > Clonar a máquina virtual y siga las indicaciones.
    1. En la página Seleccionar un nombre y una carpeta, introduzca un nombre y una ubicación de destino para el clon.
    2. En la página Seleccionar un recurso informático, especifique un objeto para el que tenga privilegios.
    3. (opcional) Cambie las claves del vTPM clonado.
      Figura 1. Seleccionar directiva de aprovisionamiento de TPM
      Esta captura de pantalla muestra las opciones de la directiva de aprovisionamiento de TPM al clonar una máquina virtual que tiene un vTPM.
      La clonación de una máquina virtual duplica la máquina virtual completa, incluidos el vTPM y sus secretos, lo cual se puede utilizar para determinar la identidad de un sistema. Para cambiar secretos en un vTPM, seleccione Reemplazar en Directiva de aprovisionamiento de TPM.
      Nota: Cuando se reemplazan los secretos de un vTPM, se reemplazan todas las claves, incluidas las claves relacionadas con las cargas de trabajo. Como práctica recomendada, asegúrese de que las cargas de trabajo ya no utilicen un vTPM antes de reemplazar las claves. De lo contrario, es posible que las cargas de trabajo de la máquina virtual clonada no funcionen correctamente.
    4. En la página Seleccionar almacenamiento, seleccione un almacén de datos. Se puede cambiar la directiva de almacenamiento como parte de la operación de clonación. Por ejemplo, si en lugar de utilizar una directiva de cifrado se emplea una que no es de cifrado, se descifran los discos.
    5. En la página Seleccionar opciones de clonación, seleccione las opciones de clonación, como se describe en la documentación de Administrar máquinas virtuales de vSphere.
    6. En la página Listo para completar, revise la información y haga clic en Finalizar.
  3. (opcional) Cambie las claves de la máquina virtual clonada.
    De forma predeterminada, la máquina virtual clonada se crea con las mismas claves que la máquina virtual principal. Una práctica recomendada es cambiar las claves de la máquina virtual clonada para asegurarse de que varias máquinas virtuales no tengan las mismas claves.
    1. Decida si se trata de una repetición de cifrado superficial o profunda.
      Para usar otros DEK y KEK, repita un cifrado profundo de la máquina virtual clonada. Para usar otro KEK, repita un cifrado superficial de la máquina virtual clonada. Para realizar un repetición de cifrado profunda, debe apagar la máquina virtual. Puede realizar una operación de repetición de cifrado superficial mientras la máquina virtual esté encendida y si esta contiene instantáneas. La repetición de cifrado superficial de una máquina virtual cifrada con instantáneas solo se permite en una única rama de instantáneas (cadena de discos). No se admiten varias ramas de instantáneas. Si se produce un error en la repetición de cifrado superficial antes de actualizar todos los vínculos de la cadena con la nueva KEK, aún se puede acceder a la máquina virtual cifrada si tiene la KEK antigua y la nueva.
    2. Repita el cifrado del clon mediante la API. Consulte Guía de programación de vSphere Web Services SDK.