Los servicios de vSphere Trust Authority se configuran para atestar los hosts ESXi, los cuales luego pueden realizar operaciones criptográficas de confianza.

vSphere Trust Authority utiliza la atestación remota para que los hosts ESXi demuestren la autenticidad de su software arrancado. La atestación verifica que los hosts ESXi ejecutan software VMware auténtico o software de socio firmado por VMware. La atestación depende de las mediciones que provienen de un chip de módulo de plataforma de confianza (Trusted Platform Module, TPM) 2.0 instalado en el host ESXi. En vSphere Trust Authority, una instancia de ESXi puede acceder a las claves de cifrado y realizar operaciones criptográficas solo después de que se haya atestado.

Glosario de vSphere Trust Authority

vSphere Trust Authority introduce términos y definiciones específicos que resulta importante comprender.

Tabla 1. Glosario de vSphere Trust Authority
Término Definición
VMware vSphere® Trust Authority™ Especifica un conjunto de servicios que habilita una infraestructura de confianza. Es responsable de garantizar que los hosts ESXi ejecuten software de confianza y de que solo se liberen claves de cifrado en hosts ESXi de confianza.
Componentes de vSphere Trust Authority

Los componentes de vSphere Trust Authority son los siguientes:

  • Servicio de atestación
  • Servicio de proveedor de claves
Servicio de atestación Atesta el estado de un host ESXi remoto. Utiliza TPM 2.0 para establecer una raíz de confianza del hardware y comprueba las mediciones de software con una lista de versiones de ESXi aprobadas por el administrador.
Servicio de proveedor de claves Encapsula uno o varios servidores de claves y expone proveedores de claves de confianza que se pueden especificar al cifrar máquinas virtuales. Actualmente, los servidores de claves se limitan al protocolo KMIP.
Infraestructura de confianza

Una infraestructura de confianza consta de lo siguiente:

  • Una instancia de vCenter Server de Trust Authority
  • Una instancia devCenter Server de carga de trabajo
  • Al menos un clúster de vSphere Trust Authority (configurado como parte de vCenter Server de Trust Authority)
  • Al menos un clúster de confianza (configurado como parte de vCenter Server de carga de trabajo)
  • Máquinas virtuales de carga de trabajo cifradas en ejecución en el clúster de confianza
  • Al menos un servidor de administración de claves que cumpla con KMIP
Nota: Debe utilizar sistemas vCenter Server independientes para el clúster de Trust Authority y el clúster de confianza.
Clúster de Trust Authority Consiste en un clúster de vCenter Server de hosts ESXi que ejecutan componentes de vSphere Trust Authority (el servicio de atestación y el servicio de proveedor de claves).
Host de Trust Authority Un host ESXi que ejecuta componentes de vSphere Trust Authority (el servicio de atestación y el servicio de proveedor de claves).
Clúster de confianza Consiste en un clúster de vCenter Server de hosts ESXi de confianza que el clúster de Trust Authority atesta de forma remota. Aunque no es estrictamente obligatorio, un servicio de proveedor de claves configurado aumenta enormemente el valor que proporciona un clúster de confianza.
Host de confianza Un host ESXi cuyo software ha sido validado por el servicio de atestación del clúster de Trust Authority. Este host ejecuta máquinas virtuales de carga de trabajo que se pueden cifrar mediante proveedores de claves publicados por el servicio de proveedor de claves del clúster de Trust Authority.
Cifrado de vSphere para máquinas virtuales

El cifrado de máquinas virtuales de vSphere puede crear máquinas virtuales cifradas y cifrar las máquinas virtuales existentes. El cifrado de máquinas virtuales de vSphere se introdujo en vSphere 6.5. Consulte Claves de cifrado y proveedores de claves de vSphere para conocer las diferencias en cómo los proveedores de claves gestionan las claves de cifrado.

Proveedor de claves de confianza Un proveedor de claves que encapsula una única clave de cifrado en un servidor de claves. El acceso a la clave de cifrado requiere que el servicio de atestación confirme que el software de ESXi se verificó en el host de confianza.
Proveedor de claves estándar Un proveedor de claves que obtiene las claves de cifrado directamente de un servidor de claves y distribuye claves a los hosts necesarios en un centro de datos. En vSphere, anteriormente se conocía como clúster de KMS.
Servidor de claves Un servidor de administración de claves (Key Management Server, KMS) de KMIP que está asociado a un proveedor de claves.
vCenter Server de carga de trabajo El vCenter Server que administra y se utiliza para configurar uno o varios clústeres de confianza.

Conceptos básicos de vSphere Trust Authority

Con vSphere Trust Authority, se puede realizar lo siguiente:

  • Proporcionar hosts ESXi con una raíz de hardware de confianza y capacidades de atestación remota
  • Restringir la administración de claves de cifrado mediante la liberación de claves solo a hosts ESXi atestados
  • Crear un entorno administrativo más seguro para administrar la confianza
  • Centralizar la administración de varios servidores de claves
  • Continuar realizando operaciones criptográficas en máquinas virtuales, pero con un nivel mejorado de administración de claves de cifrado

En vSphere 6.5 y 6.7, el cifrado de máquinas virtuales depende de vCenter Server para obtener claves de cifrado de un servidor de claves e insertarlas en los hosts ESXi según corresponda. vCenter Server autentifica con el servidor de claves utilizando los certificados del cliente y del servidor, que se almacenan en VMware Endpoint Certificate Store (VECS). Las claves de cifrado que se envían desde el servidor de claves pasan por la memoria de vCenter Server a los hosts ESXi requeridos (con cifrado de datos proporcionado por TLS a través de la conexión). Además, vSphere depende de las comprobaciones de privilegios en vCenter Serverpara validar los permisos de los usuarios y aplicar las restricciones de acceso al servidor de claves. Aunque esta arquitectura es segura, no soluciona la posibilidad de que se produzca un riesgo para vCenter Server, que haya un administrador de vCenter Server malintencionado o que se presente un error de administración o de configuración que pueda provocar pérdidas o robo de secretos.

En vSphere 7.0 y versiones posteriores, vSphere Trust Authority soluciona estos problemas. Puede crear una base informática de confianza, que consta de un conjunto seguro y manejable de hosts ESXi. vSphere Trust Authority implementa un servicio de atestación remoto para los hosts ESXi en los que desea confiar. Además, vSphere Trust Authority mejora la compatibilidad con la atestación de TPM 2.0 (agregada a vSphere a partir de la versión 6.7), para implementar restricciones de acceso en las claves de cifrado y, así, proteger mejor los secretos de carga de trabajo de las máquinas virtuales. Además, vSphere Trust Authority solo permite que administradores de Trust Authority autorizados configuren los servicios de vSphere Trust Authority y los hosts de Trust Authority. El administrador de Trust Authority puede ser el mismo usuario que el usuario administrador de vSphere, o bien, uno independiente.

Al final, vSphere Trust Authority permite ejecutar las cargas de trabajo en un entorno más seguro y protegido mediante lo siguiente:

  • Detectar alteraciones
  • No permitir cambios no autorizados
  • Evitar malware y modificaciones
  • Limitar que las cargas de trabajo confidenciales se ejecuten solo en una pila de hardware y software seguro y verificado

Arquitectura de vSphere Trust Authority

En la siguiente figura, se muestra una vista simplificada de la arquitectura de vSphere Trust Authority.

Figura 1. Arquitectura de vSphere Trust Authority
Esta figura muestra una vista simplificada de la arquitectura de vSphere Trust Authority.

En esta figura:

  1. Sistemas vCenter Server

    Sistemas vCenter Server independientes administran el clúster de Trust Authority y los clústeres de confianza.

  2. Clúster de Trust Authority

    Consta de los hosts ESXi que ejecutan los componentes de vSphere Trust Authority.

  3. Servidores de claves

    Almacenan claves de cifrado que utiliza el servicio de proveedor de claves cuando se realizan operaciones de cifrado. Los servidores de claves son externos a vSphere Trust Authority.

  4. Clústeres de confianza

    Consta de los hosts de confianza ESXi que se han atestado de forma remota con un TPM y que ejecutan cargas de trabajo cifradas.

  5. Administrador de Trust Authority

    Administrador que es miembro del grupo TrustedAdmins de vCenter Server y que configura la infraestructura de confianza.

    vSphere Trust Authority permite que haya flexibilidad en el modo en que se designan los administradores de Trust Authority. Los administradores de Trust Authority de la figura pueden ser usuarios independientes. También es posible que los administradores de Trust Authority sean el mismo usuario, mediante credenciales vinculadas a través de los sistemas vCenter Server. En este caso, es el mismo usuario y el mismo grupo TrustedAdmins.

  6. Administrador de máquinas virtuales

    Administrador al que se han otorgado privilegios para administrar las máquinas virtuales de carga de trabajo cifradas en los hosts de confianza.