Cuando clona una máquina virtual cifrada, el clon se cifra con las mismas claves a menos que las modifique. Para cambiar las claves, puede utilizar vSphere Client, PowerCLI o la API.

Si utiliza PowerCLI o la API, puede clonar la máquina virtual cifrada y cambiar las claves en un paso. Para obtener más información, consulte Guía de programación de vSphere Web Services SDK.

Puede realizar las siguientes operaciones durante la clonación.
  • Crear una máquina virtual cifrada a partir de una máquina virtual o una plantilla de máquina virtual sin cifrar.
  • Crear una máquina virtual descifrada a partir de una máquina virtual o una plantilla de máquina virtual cifrada.
  • Volver a cifrar la máquina virtual de destino con claves diferentes a las de la máquina virtual de origen.
  • A partir de vSphere 8.0, la selección de la opción Reemplazar para una máquina virtual con un dispositivo vTPM comienza con un vTPM nuevo y vacío, el cual obtiene sus propios secretos e identidades.
Nota: vSphere 8.0 incluye la configuración avanzada vpxd.clone.tpmProvisionPolicy para que el comportamiento de clonación predeterminado de los vTPM sea "reemplazar".
Puede crear una máquina virtual de clon instantáneo a partir de una máquina virtual cifrada, con la salvedad de que el clon instantáneo comparte la misma clave con la máquina virtual de origen. No se pueden volver a cifrar claves en la máquina virtual de origen o de clon instantáneo. Consulte Guía de programación de vSphere Web Services SDK.

Requisitos previos

  • Se debe configurar y habilitar un proveedor de claves.
  • Cree una directiva de almacenamiento de cifrado o utilice la muestra que se incluye en el paquete (la directiva de cifrado de máquina virtual).
  • Privilegios necesarios:
    • Operaciones criptográficas.Clonar
    • Operaciones criptográficas.Cifrar
    • Operaciones criptográficas.Descifrar
    • Operaciones criptográficas.Volver a cifrar
    • Si el estado del modo de cifrado del host no es Habilitado, también debe tener el privilegio Operaciones criptográficas.Registrar host.

Procedimiento

  1. Desplácese hasta la máquina virtual en el inventario de vSphere Client.
  2. Haga clic con el botón derecho en la máquina virtual y seleccione Clonar > Clonar a máquina virtual > .
  3. Desplácese por las páginas del asistente.
    1. En la página Seleccionar un nombre y una carpeta, introduzca un nombre y seleccione el centro de datos o la carpeta donde desea implementarla.
    2. En Seleccionar un recurso informático, seleccione un objeto en el que tenga privilegios para crear máquinas virtuales cifradas. Para obtener información sobre los requisitos previos y los privilegios necesarios para las tareas de cifrado, consulte la documentación Seguridad de vSphere.
    3. Cambie las claves del vTPM clonado.

      La clonación de una máquina virtual duplica la máquina virtual completa, incluidos el vTPM y sus secretos, lo cual se puede utilizar para determinar la identidad de un sistema. Para cambiar secretos en un vTPM, seleccione Reemplazar en Directiva de aprovisionamiento de TPM.

      Nota:

      Cuando se reemplazan los secretos de un vTPM, se reemplazan todas las claves, incluidas las claves relacionadas con las cargas de trabajo. Como práctica recomendada, asegúrese de que las cargas de trabajo ya no utilicen un vTPM antes de reemplazar las claves. De lo contrario, es posible que las cargas de trabajo de la máquina virtual clonada no funcionen correctamente.

    4. En la página Seleccionar almacenamiento, elija el almacén de datos o el clúster de almacén de datos donde se almacenarán los archivos de configuración de la plantilla y todos los discos virtuales. Se puede cambiar la directiva de almacenamiento como parte de la operación de clonación. Por ejemplo, al optar por utilizar una directiva de no cifrado en lugar de una de cifrado, se descifran los discos.
    5. En Seleccionar opciones de clonación, seleccione opciones de personalización adicionales.
    6. En la página Listo para completar, revise la información y haga clic en Finalizar.
  4. (opcional) Cambie las claves de la máquina virtual clonada.
    De forma predeterminada, la máquina virtual clonada se crea con las mismas claves que la máquina virtual principal. Una práctica recomendada es cambiar las claves de la máquina virtual clonada para asegurarse de que varias máquinas virtuales no tengan las mismas claves.
    1. Decida si se trata de una repetición de cifrado superficial o profunda.

      Para usar otros DEK y KEK, repita un cifrado profundo de la máquina virtual clonada. Para usar otro KEK, repita un cifrado superficial de la máquina virtual clonada. Para realizar un repetición de cifrado profunda, debe apagar la máquina virtual. Puede realizar una operación de repetición de cifrado superficial mientras la máquina virtual esté encendida y si esta contiene instantáneas. La repetición de cifrado superficial de una máquina virtual cifrada con instantáneas solo se permite en una única rama de instantáneas (cadena de discos). No se admiten varias ramas de instantáneas. Si se produce un error en la repetición de cifrado superficial antes de actualizar todos los vínculos de la cadena con la nueva KEK, aún se puede acceder a la máquina virtual cifrada si tiene la KEK antigua y la nueva.

    2. Repita el cifrado del clon mediante la API. Para obtener más información, consulte Guía de programación de vSphere Web Services SDK.