Le chiffrement de machine virtuelle vSphere vous permet de créer des machines virtuelles chiffrées et de chiffrer des machines virtuelles existantes. Étant donné que tous les fichiers de machine virtuelle contenant des informations sensibles sont chiffrés, la machine virtuelle est protégée. Seuls les administrateurs disposant de privilèges de chiffrement peuvent effectuer des tâches de chiffrement et de déchiffrement.

Clés utilisées

Deux types de clés sont utilisés pour le chiffrement.
  • L'hôte ESXi génère et utilise des clés internes pour chiffrer des machines virtuelles et des disques. Ces clés sont utilisées en tant que clés de chiffrement de données. Ce sont des clés XTS AES 256 bits.
  • vCenter Server demande les clés au certificat KMS. Ces clés sont utilisées en tant que clés de chiffrement de clés (KEK) et sont des clés AES 256 bits. vCenter Server stocke uniquement l'identifiant de chaque KEK et non la clé elle-même.
  • ESXi utilise la clé KEK pour chiffrer les clés internes et stocke la clé interne chiffrée sur le disque. ESXi ne stocke pas la clé KEK sur le disque. Lorsqu'un hôte redémarre, vCenter Server demande la clé KEK avec l'ID correspondant au KMS et la met à la disposition du produit ESXi. ESXi peut alors déchiffrer les clés internes si nécessaire.

Éléments chiffrés

Le chiffrement de machine virtuelle vSphere prend en charge le chiffrement des fichiers de machine virtuelle, les fichiers de disque virtuel et les fichiers de vidage de mémoire.
Fichiers de machine virtuelle
La plupart des fichiers de machine virtuelle, notamment les données invitées qui ne sont pas stockées dans le fichier VMDK, sont chiffrés. Cet ensemble de fichiers inclut les fichiers NVRAM, VSWP et VMSN, sans se limiter à ceux-ci. La clé que vCenter Server récupère auprès de KMS déverrouille un bundle chiffré dans le fichier VMX qui contient des clés internes et d'autres secrets.
Si vous utilisez vSphere Web Client pour créer une machine virtuelle chiffrée, tous les disques virtuels sont chiffrés par défaut. Pour d'autres tâches de chiffrement, comme le chiffrement d'une machine virtuelle existante, vous pouvez chiffrer et déchiffrer des disques virtuels distincts des fichiers de machine virtuelle.
Note : Vous ne pouvez pas associer un disque virtuel chiffré à une machine virtuelle qui n'est pas chiffrée.
Fichiers de disque virtuel
Les données se trouvant dans un fichier de disque virtuel (VMDK) chiffré ne sont jamais écrites en texte clair dans le stockage ou le disque physique, et elles ne sont jamais transmises sur le réseau en texte clair. Le fichier descripteur VMDK est principalement en texte clair, mais il contient un ID de clé pour la clé KEK et la clé interne (DEK) dans le bundle chiffré.
Vous pouvez utiliser vSphere API pour effectuer une opération de rechiffrement de premier niveau avec une nouvelle clé KEK ou une opération de rechiffrement approfondi avec une nouvelle clé interne.
Vidages de mémoire
Les vidages de mémoire sur un hôte ESXi pour lequel le mode de chiffrement est activé sont toujours chiffrés. Reportez-vous à la section Chiffrement de machines virtuelles vSphere et vidages mémoire.
Note : Les vidages de mémoire sur le système vCenter Server ne sont pas chiffrés. Veillez à protéger l'accès au système vCenter Server.
Note : Pour plus d'informations sur certaines des limites relatives aux dispositifs et aux fonctionnalités avec lesquels le chiffrement de machine virtuelle vSphere peut interagir, reportez-vous à la section Interopérabilité du chiffrement des machines virtuelles.

Éléments non chiffrés

Certains des fichiers associés à une machine virtuelle ne sont pas chiffrés ou sont partiellement chiffrés.
Fichiers de journalisation
Les fichiers de journalisation ne sont pas chiffrés, car ils ne contiennent pas de données sensibles.
Fichiers de configuration de la machine virtuelle
La plupart des informations de configuration de machine virtuelle stockées dans les fichiers VMX et VMSD ne sont pas chiffrées.
Fichier descripteur du disque virtuel
Pour permettre la gestion de disque sans clé, la plus grande partie du fichier descripteur du disque virtuel n'est pas chiffrée.

Personnes habilitées à effectuer des opérations cryptographiques

Seuls les utilisateurs auxquels des privilèges d'opérations cryptographiques ont été attribués peuvent effectuer des opérations de chiffrement. L'ensemble de privilèges est détaillé. Reportez-vous à Privilèges d'opérations de chiffrement. Le rôle d'administrateur système par défaut possède tous les privilèges d'opérations cryptographiques. Un nouveau rôle, celui d'administrateur sans cryptographie, prend en charge tous les privilèges d'administrateur à l'exception des privilèges d'opérations cryptographiques.

Vous pouvez créer des rôles personnalisés supplémentaires, par exemple pour autoriser un groupe d'utilisateurs à chiffrer des machines virtuelles tout en les empêchant de déchiffrer des machines virtuelles.

Méthodologie pour effectuer des opérations cryptographiques

vSphere Web Client prend en charge de nombreuses opérations cryptographiques. Pour d'autres tâches, vous pouvez utiliser vSphere API.

Tableau 1. Interfaces pour l'exécution d'opérations cryptographiques
Interface Opérations Informations
vSphere Web Client Créer une machine virtuelle chiffrée

Chiffrer et déchiffrer des machines virtuelles

Ce livre.
vSphere Web Services SDK Créer une machine virtuelle chiffrée

Chiffrer et déchiffrer des machines virtuelles

Effectuez un rechiffrement approfondi d'une machine virtuelle (utilisez une clé DEK différente).

Effectuez un rechiffrement de premier niveau d'une machine virtuelle (utilisez une clé KEK différente).

Guide de programmation de vSphere Web Services SDK

Référence de VMware vSphere API

crypto-util Déchiffrez des vidages de mémoire chiffrés, déterminez si des fichiers sont chiffrés et effectuez d'autres tâches de gestion directement sur l'hôte ESXi. Aide relative à la ligne de commande.

Chiffrement de machines virtuelles vSphere et vidages mémoire