Según el proveedor de claves que utilice, un servidor de claves externo, el sistema vCenter Server y los hosts ESXi contribuyen potencialmente a la solución de cifrado.

Los siguientes componentes incluyen el cifrado de máquinas virtuales de vSphere:

  • Un servidor de claves externo, también denominado KMS (no es necesario para vSphere Native Key Provider)
  • vCenter Server
  • Hosts de ESXi

Cuál es la función de un servidor de claves en el cifrado de máquinas virtuales de vSphere

El servidor de claves es un servidor de administración del protocolo de interoperabilidad de administración de claves (Key Management Interoperability Protocol, KMIP) que está asociado con un proveedor de claves. Un proveedor de claves estándar y un proveedor de claves de confianza requieren un servidor de claves. vSphere Native Key Provider no requiere un servidor de claves. En la siguiente tabla se describen las diferencias en la interacción entre el proveedor de claves y el servidor de claves.

Tabla 1. Interacción entre los proveedores de claves y el servidor de claves
Proveedor de claves Interacción con el servidor de claves
Proveedor de claves estándar Un proveedor de claves estándar utiliza vCenter Server para solicitar claves de un servidor de claves. El servidor de claves genera y almacena las claves, y después las envía a vCenter Server para su distribución a los hosts ESXi.
Proveedor de claves de confianza Un proveedor de claves de confianza utiliza un servicio de proveedor de claves que permite a los hosts ESXi de confianza recuperar las claves directamente. Consulte Descripción del servicio de proveedor de claves de vSphere Trust Authority.
Proveedor de claves nativo de vSphere vSphere Native Key Provider no requiere un servidor de claves. vCenter Server genera una clave principal y la inserta en los hosts ESXi. Luego, los hosts ESXi generan claves de cifrado de datos (incluso cuando no están conectados a vCenter Server). Consulte Descripción general de vSphere Native Key Provider.

Puede utilizar vSphere Client o vSphere API para agregar instancias de proveedor de claves al sistema de vCenter Server. Si utiliza varias instancias de proveedor de claves, todas deben ser del mismo proveedor y deben replicar claves.

Si el entorno utiliza distintos proveedores de servidores de claves en diferentes entornos, puede agregar un proveedor de claves para cada servidor de claves y especificar un proveedor de claves predeterminado. El primer proveedor de claves que agregue será el predeterminado. Podrá especificar explícitamente el predeterminado más adelante.

Como cliente de KMIP, vCenter Server utiliza un protocolo de interoperabilidad de administración de claves (Key Management Interoperability Protocol, KMIP) para que sea sencillo utilizar el servidor de claves que el usuario desea.

Cuál es la función de vCenter Serveren el cifrado de máquinas virtuales de vSphere

En la siguiente tabla se describe la función de las instancias de vCenter Server en el proceso de cifrado.

Tabla 2. Proveedores de claves y vCenter Server
Proveedor de claves Función de vCenter Server Cómo se comprueban los privilegios
Proveedor de claves estándar Solo vCenter Server tiene credenciales para iniciar sesión en el servidor de claves. Los hosts ESXi no tienen esas credenciales. vCenter Server obtiene las claves del servidor de claves y las inserta en los hosts ESXi. vCenter Server no almacena las claves del servidor de claves, pero sí conserva una lista de identificadores de claves. vCenter Server comprueba los privilegios de los usuarios que realizan operaciones criptográficas.
Proveedor de claves de confianza vSphere Trust Authority elimina la necesidad de que vCenter Server solicite claves al servidor de claves y hace que el acceso a las claves de cifrado dependa del estado de atestación de un clúster de carga de trabajo. Debe utilizar sistemas vCenter Server independientes para el clúster de confianza y el clúster de Trust Authority. vCenter Server comprueba los privilegios de los usuarios que realizan operaciones criptográficas. Solo los usuarios que son miembros del grupo de SSO TrustedAdmins pueden realizar operaciones administrativas.
Proveedor de claves nativo de vSphere vCenter Server genera las claves. vCenter Server comprueba los privilegios de los usuarios que realizan operaciones criptográficas.

Puede utilizar vSphere Client para asignar privilegios de operaciones criptográficas o para asignar la función personalizada Sin administrador de criptografía a grupos de usuarios. Consulte Requisitos previos y privilegios necesarios para tareas de cifrado de máquinas virtuales.

vCenter Server agrega eventos de cifrado a la lista de eventos que se pueden ver y exportar de la consola de eventos de vSphere Client. Cada evento incluye el usuario, la hora, el identificador de clave y la operación criptográfica.

Las claves que provienen del servidor de claves se utilizan como claves de cifrado de claves (key encryption key, KEK).

Cuál es la función de los hosts ESXi en el cifrado de máquinas virtuales de vSphere

Los hosts ESXi se encargan de diversos aspectos del flujo de trabajo de cifrado.

Tabla 3. Proveedores de claves y hosts ESXi
Proveedor de claves Aspectos de los hosts ESXi
Proveedor de claves estándar
  • vCenter Server introduce claves en un host ESXi cuando el host necesita una clave. El host debe tener habilitado el modo de cifrado.
  • Garantizar que los datos del invitado de las máquinas virtuales cifradas estén cifrados cuando se almacenan en el disco.
  • Garantizar que los datos del invitado de las máquinas virtuales cifradas no se envíen a la red sin cifrar.
Proveedor de claves de confianza Los hosts ESXi ejecutan servicios de vSphere Trust Authority, en función de si son hosts de confianza o hosts de Trust Authority. Los hosts ESXi de confianza ejecutan máquinas virtuales de carga de trabajo que se pueden cifrar mediante proveedores de claves publicados por los hosts de Trust Authority. Consulte Infraestructura de confianza de vSphere Trust Authority.
Proveedor de claves nativo de vSphere Los hosts ESXi recuperan claves directamente de vSphere Native Key Provider.

Las claves que generan los hosts ESXi se denominan claves internas en este documento. Estas claves, por lo general, actúan como claves de cifrado de datos (Data Encryption Key, DEK).