Para obtener una descripción general de alto nivel de las capacidades de los proveedores de claves de vSphere, se requiere su atención para ayudar a planificar la estrategia de cifrado.

En general, hay poca diferencia en la compatibilidad de características o productos entre el funcionamiento diario del proveedor de claves. A pesar de que los proveedores de claves tienen una apariencia y comportamiento similares, es posible que tenga en cuenta los requisitos y las normas al elegir un proveedor de claves, como se muestra en la siguiente tabla.

Tabla 1. Consideraciones del proveedor de claves
Proveedor de claves ¿Se requiere el servidor de claves externo? ¿Configuración rápida? ¿Funciona solo con vSphere? ¿Claves de cifrado almacenadas permanentemente en el host? ¿Regenerar clave durante la clonación?
Proveedor de claves estándar No No No
Proveedor de claves de confianza No No No
vSphere Native Key Provider No
Nota: Al iniciar el host, vSphere Native Key Provider siempre escribe la clave de cifrado en los hosts de ESXi del clúster. Si le preocupa la seguridad física del clúster, considere la posibilidad de utilizar un proveedor de claves estándar o uno de confianza; ambos requieren que el servidor de claves esté disponible para que las máquinas virtuales cifradas funcionen.

Funciones de cifrado del proveedor de claves

Las siguientes funciones de cifrado son compatibles con cada tipo de proveedor de claves.

  • Vuelva a crear claves con el mismo proveedor de claves o con otro.
  • Rote las claves
  • Módulo de plataforma de confianza virtual (Virtual Trusted Platform Module, vTPM)
  • Cifrado de discos
  • Cifrado de máquinas virtuales de vSphere
  • Coexistencia con otros proveedores de claves
  • Actualizar a otro proveedor de claves

Compatibilidad del proveedor de claves con funciones de vSphere

A continuación, se describen las funciones importantes que se admiten en el proveedor de claves de vSphere.

  • vSphere vMotion encriptadas: compatibles con todos los tipos de proveedores de claves. El mismo proveedor de claves debe estar disponible en el host de destino. Consulte Qué es vSphere vMotion cifrado.
  • Copia de seguridad y restauración basada en archivos de vCenter Server: el proveedor de claves estándar y vSphere Native Key Provider admiten vCenter Server copia de seguridad y restauración basada en archivos. Debido a que la mayor parte de la información de configuración de vSphere Trust Authority se almacena en los hosts ESXi, el mecanismo de copia de seguridad basada en archivo vCenter Server no hace la copia de seguridad de esta información. de . Para garantizar que se hayan guardado los datos de configuración de la implementación de vSphere Trust Authority, consulte Realizar una copia de seguridad de la configuración de vSphere Trust Authority.

Soporte de proveedores de claves para productos VMware

En la siguiente tabla, se compara la compatibilidad del proveedor de claves con algunos productos VMware.

Tabla 2. Comparación de la compatibilidad con productos VMware
Proveedor de claves Cifrado de datos en reposo de vSAN Site Recovery Manager vSphere Replication
Proveedor de claves estándar
Proveedor de claves de confianza No

Si la misma configuración de servicios vSphere Trust Authority está disponible en el lado de la recuperación, se admite SRM con replicación basada en matrices.

No
vSphere Native Key Provider
Nota:

El proveedor de claves estándar, el proveedor de claves de confianza y vSphere Native Key Provider admiten el cifrado de máquinas virtuales de vSphere sobre vSAN.

Hardware requerido para proveedores de claves

En la siguiente tabla se comparan algunos requisitos mínimos de hardware del proveedor de claves.

Tabla 3. Comparación del hardware requerido para los proveedores de claves
Proveedor de claves TPM en host ESXi
Proveedor de claves estándar No son obligatorias
Proveedor de claves de confianza Se requiere en hosts de confianza (hosts en el clúster de confianza).

Nota: Actualmente, los hosts ESXi del clúster de Trust Authority no requieren un TPM. Sin embargo, como práctica recomendada, considere la posibilidad de instalar nuevos hosts ESXi con TPM.
vSphere Native Key Provider No son obligatorias

La disponibilidad de vSphere Native Key Provider puede limitarse opcionalmente a los hosts con un TPM.

Nomenclatura de proveedor de claves

vSphere utiliza un nombre de proveedor de claves para buscar un identificador de clave. Si dos proveedores de claves tienen el mismo nombre, vSphere asume que son equivalentes y tienen acceso a las mismas claves. Cada proveedor de claves lógico, independientemente de su tipo (proveedor de claves estándar, de confianza y nativo), debe tener un nombre único en todos los sistemas vCenter Server.

En unos pocos casos, se puede configurar el mismo proveedor de claves en varios sistemas vCenter Server, como:

  • Migrar máquinas virtuales cifradas entre sistemas vCenter Server.
  • Configurar una instancia de vCenter Server como sitio de recuperación ante desastres.