Siga las prácticas recomendadas de cifrado de máquinas virtuales para evitar problemas futuros, por ejemplo, al generar un paquete de vm-support.
Prácticas recomendadas para comenzar con el cifrado de máquinas virtuales
Para evitar problemas a la hora de utilizar el cifrado de máquinas virtuales, siga estas prácticas recomendadas generales.
- No cifre ninguna máquina virtual de vCenter Server Appliance.
- Si se produce un error en el host ESXi, recupere el paquete de soporte lo antes posible. La clave de host debe estar disponible para generar un paquete de soporte que utilice una contraseña o para descifrar un volcado de núcleo. Si el host se reinicia, es posible que se cambie la clave de host. En caso de que esto suceda, ya no se podrá generar un paquete de soporte con una contraseña ni descifrar volcados de núcleo en el paquete de soporte con la clave de host.
- Administre los nombres de proveedor de claves con cuidado. Si cambia el nombre de proveedor de claves por un servidor de claves que ya está en uso, la máquina virtual cifrada con las claves de ese servidor de claves pasa a tener el estado bloqueado durante el encendido o el registro. En ese caso, elimine el servidor de claves de vCenter Server y agréguelo con el nombre de proveedor de claves que utilizó al comienzo.
- No edite los archivos VMX ni los archivos de descriptores de VMDK. Estos archivos contienen el paquete de cifrado. Es posible que la máquina virtual no se pueda recuperar debido a los cambios realizados y que el problema de recuperación no se pueda solucionar.
- El proceso de cifrado de máquinas virtuales de vSphere cifra los datos en el host antes de escribir los datos en el almacenamiento. La eficacia de las funciones de almacenamiento back-end (como la desduplicación, la compresión, la replicación, etc.) puede verse afectada cuando las máquinas virtuales se cifran de esta manera.
- Si utiliza varias capas de cifrado, por ejemplo, cifrado de máquinas virtuales de vSphere y cifrado en el invitado (BitLocker, dm-crypt, etc.), el rendimiento general de la máquina virtual puede verse afectado, ya que los procesos de cifrado usan recursos adicionales de CPU y memoria.
- Asegúrese de que las copias replicadas de las máquinas virtuales cifradas con el cifrado de máquinas virtuales de vSphere tengan acceso a las claves de cifrado en el sitio de recuperación. Para los proveedores de claves estándar, esto se controla como parte del diseño del sistema de administración de claves, fuera de vSphere. Para vSphere Native Key Provider, asegúrese de que exista una copia de seguridad de la instancia de vSphere Native Key Provider y esté protegida contra la pérdidas. Para obtener más información, consulte Hacer una copia de seguridad de vSphere Native Key Provider.
- El cifrado requiere gran consumo de CPU. AES-NI mejora significativamente el rendimiento del cifrado. Habilite AES-NI en el BIOS.
Prácticas recomendadas para volcados de núcleo cifrados
Siga estas prácticas recomendadas para evitar problemas cuando desee examinar un volcado de núcleo a fin de diagnosticar un problema.
- Establezca una directiva con respecto a los volcados de núcleo. Los volcados de núcleo están cifrados porque pueden contener información confidencial, por ejemplo, claves. Si descifra un volcado de núcleo, asuma que contiene información confidencial. Los volcados de núcleo de ESXi pueden contener claves para el host ESXi y para las máquinas virtuales que este contiene. Después de descifrar un volcado de núcleo, considere cambiar la clave del host y volver a cifrar las máquinas virtuales cifradas. Puede realizar ambas tareas con vSphere API.
Consulte Cifrado de máquinas virtuales de vSphere y volcados de núcleo para obtener detalles.
- Siempre utilice una contraseña cuando recopile un paquete de vm-support. Puede especificar la contraseña cuando genera el paquete de soporte de vSphere Client o puede utilizar el comando vm-support.
La contraseña vuelve a cifrar los volcados de núcleo que utilizan claves internas de manera que estos volcados empleen claves basadas en la contraseña. Posteriormente, se puede usar la contraseña para descifrar cualquier volcado de núcleo cifrado que pudiera estar incluido en el paquete de soporte. El uso de la opción de contraseña no afecta a los volcados de núcleo sin cifrar ni los registros.
- La contraseña que especificó durante la creación del paquete de vm-support no persiste en los componentes de vSphere. Es su responsabilidad llevar un registro de las contraseñas de los paquetes de soporte.
- Antes de cambiar la clave de host, genere un paquete de vm-support con una contraseña. Más adelante, puede usar la contraseña para acceder a todos los volcados de núcleo que se hayan cifrado con la clave de host anterior.
Prácticas recomendadas para la administración del ciclo de vida de claves
- Usted es responsable de contar con las directivas que garanticen la disponibilidad del servidor de claves.
Si el servidor de claves no está disponible, no se pueden realizar operaciones de máquinas virtuales que requieren que vCenter Server solicite la clave del servidor de claves. Eso significa que las máquinas virtuales en ejecución siguen ejecutándose, y puede encenderlas, apagarlas y volver a configurarlas. No obstante, no puede reubicar la máquina virtual en un host que no tiene la información de la clave.
La mayoría de las soluciones de servidor de claves incluyen funciones de alta disponibilidad. Puede utilizar vSphere Client o la API para especificar un proveedor de claves y los servidores de proveedor de claves asociados.
Nota: A partir de la versión 7.0 Update 2, las máquinas virtuales cifradas y los TPM virtuales pueden seguir funcionando incluso cuando el servidor de claves está desconectado temporalmente o no está disponible. Los hosts ESXi pueden conservar las claves de cifrado para continuar con el cifrado y las operaciones de vTPM. Consulte Persistencia de claves de vSphere en hosts ESXi. - Es su responsabilidad llevar un registro de las claves y encontrar soluciones si las claves de las máquinas virtuales actuales no tienen el estado Activa.
El estándar KMIP define los siguientes estados para las claves:
- Preactiva
- activa
- Desactivada
- Comprometida
- Destruida
- Comprometida destruida
El cifrado de máquinas virtuales de vSphere utiliza solo claves con el estado Activa para cifrar. Si la clave está en el estado Preactiva, el cifrado de máquinas virtuales de vSphere la activa. Si el estado de la clave es Desactivada, Comprometida, Destruida o Comprometida destruida, no se pueden cifrar una máquina ni un disco virtuales con esa clave.
Las máquinas virtuales que usan estas claves seguirán funcionando cuando las claves tengan otros estados. La correcta ejecución de una operación de clonación o migración dependerá de si la clave ya existe en el host.- Si la clave existe en el host de destino, la operación se realiza correctamente incluso si la clave no tiene el estado Activa en el servidor de claves.
- Si las claves de máquina virtual y disco virtual no están en el host de destino, vCenter Server debe recuperar las claves del servidor de claves. Si el estado de la clave es Desactivada, Comprometida, Destruida o Comprometida destruida, vCenter Server muestra un error y la operación no se realiza correctamente.
Una operación de clonación o de migración se realiza correctamente si la clave ya está en el host. Se produce un error en la operación si vCenter Server debe extraer las claves del servidor de claves.
Si una clave no tiene el estado Activa, vuelva a introducir la clave con la API. Consulte la Guía de programación de vSphere Web Services SDK.
- Desarrolle directivas de rotación de claves para que las claves se retiren y se transfieran después de un momento específico.
- Proveedor de claves de confianza: cambie la clave principal de un proveedor de claves de confianza.
- vSphere Native Key Provider: cambie el
key_id
de una instancia de vSphere Native Key Provider.
Prácticas recomendadas para la copia de seguridad y la restauración
- No todas las arquitecturas de copias de seguridad son compatibles. Consulte Interoperabilidad del cifrado de máquinas virtuales.
- Establezca directivas para las operaciones de restauración. Debido a que las copias de seguridad siempre incluyen texto no cifrado, cifre las máquinas virtuales inmediatamente después de que finalice la restauración. Puede especificar que se cifre la máquina virtual como parte de la operación de restauración. Si fuera posible, cifre la máquina virtual como parte del proceso de restauración para evitar que se divulgue información confidencial. Para cambiar la directiva de cifrado de cualquier disco que esté relacionado con la máquina virtual, cambie la directiva de almacenamiento de ese disco.
- Debido a que los archivos de inicio de la máquina virtual están cifrados, asegúrese de que las claves de cifrado estén disponibles en el momento de una restauración.
Prácticas recomendadas para el rendimiento del cifrado
- El rendimiento del cifrado depende de la velocidad de la CPU y del almacenamiento.
- El cifrado de las máquinas virtuales existentes lleva más tiempo que el cifrado de una máquina virtual durante la creación. En lo posible, cifre la máquina virtual al crearla.
Prácticas recomendadas para la directiva de almacenamiento de muestra
Consulte la documentación de Almacenamiento de vSphere si desea obtener información para personalizar las directivas de almacenamiento.
Prácticas recomendadas para eliminar claves de cifrado
Para asegurarse de que las claves de cifrado se eliminen de un clúster, después de quitar, eliminar del registro o mover la máquina virtual cifrada a otra instancia de vCenter Server, reinicie los hosts ESXi en el clúster.