Le chiffrement de machine virtuelle vSphere vous permet de créer des machines virtuelles chiffrées et de chiffrer des machines virtuelles existantes. Étant donné que tous les fichiers de machine virtuelle contenant des informations sensibles sont chiffrés, la machine virtuelle est protégée. Seuls les administrateurs disposant de privilèges de chiffrement peuvent effectuer des tâches de chiffrement et de déchiffrement.
Clés utilisées
- L'hôte ESXi génère et utilise des clés internes pour chiffrer des machines virtuelles et des disques. Ces clés sont utilisées en tant que clés de chiffrement de données. Ce sont des clés XTS AES 256 bits.
- vCenter Server demande les clés au certificat KMS. Ces clés sont utilisées en tant que clés de chiffrement de clés (KEK) et sont des clés AES 256 bits. vCenter Server stocke uniquement l'identifiant de chaque KEK et non la clé elle-même.
- ESXi utilise la clé KEK pour chiffrer les clés internes et stocke la clé interne chiffrée sur le disque. ESXi ne stocke pas la clé KEK sur le disque. Lorsqu'un hôte redémarre, vCenter Server demande la clé KEK avec l'ID correspondant au KMS et la met à la disposition du produit ESXi. ESXi peut alors déchiffrer les clés internes si nécessaire.
Éléments chiffrés
- Fichiers de machine virtuelle
- La plupart des fichiers de machine virtuelle, notamment les données invitées qui ne sont pas stockées dans le fichier VMDK, sont chiffrés. Cet ensemble de fichiers inclut les fichiers NVRAM, VSWP et VMSN, sans se limiter à ceux-ci. La clé que vCenter Server récupère auprès de KMS déverrouille un bundle chiffré dans le fichier VMX qui contient des clés internes et d'autres secrets.
- Fichiers de disque virtuel
- Les données se trouvant dans un fichier de disque virtuel (VMDK) chiffré ne sont jamais écrites en texte clair dans le stockage ou le disque physique, et elles ne sont jamais transmises sur le réseau en texte clair. Le fichier descripteur VMDK est principalement en texte clair, mais il contient un ID de clé pour la clé KEK et la clé interne (DEK) dans le bundle chiffré.
- Vidages de mémoire
-
Les vidages de mémoire sur un hôte
ESXi pour lequel le mode de chiffrement est activé sont toujours chiffrés. Reportez-vous à la section
Chiffrement de machines virtuelles vSphere et vidages mémoire.
Note : Les vidages de mémoire sur le système vCenter Server ne sont pas chiffrés. Protégez l'accès au système vCenter Server.
Éléments non chiffrés
- Fichiers de journalisation
- Les fichiers de journalisation ne sont pas chiffrés, car ils ne contiennent pas de données sensibles.
Personnes habilitées à effectuer des opérations cryptographiques
Seuls les utilisateurs auxquels des privilèges d'opérations cryptographiques ont été attribués peuvent effectuer des opérations de chiffrement. L'ensemble de privilèges est détaillé. Reportez-vous à la section Privilèges d'opérations de chiffrement. Le rôle d'administrateur système par défaut possède tous les privilèges d'opérations cryptographiques. Un nouveau rôle, celui d'administrateur sans cryptographie, prend en charge tous les privilèges d'administrateur à l'exception des privilèges d'opérations cryptographiques.
Vous pouvez créer des rôles personnalisés supplémentaires, par exemple pour autoriser un groupe d'utilisateurs à chiffrer des machines virtuelles tout en les empêchant de déchiffrer des machines virtuelles.
Méthodologie pour effectuer des opérations cryptographiques
vSphere Client et vSphere Web Client prennent en charge de nombreuses opérations de chiffrement. Pour d'autres tâches, vous pouvez utiliser vSphere API.
Interface | Opérations | Informations |
---|---|---|
vSphere Client ou vSphere Web Client | Créer une machine virtuelle chiffrée Chiffrer et déchiffrer des machines virtuelles |
Ce livre. |
vSphere Web Services SDK | Créer une machine virtuelle chiffrée Chiffrer et déchiffrer des machines virtuelles Effectuez un rechiffrement approfondi d'une machine virtuelle (utilisez une clé DEK différente). Effectuez un rechiffrement de premier niveau d'une machine virtuelle (utilisez une clé KEK différente). |
Guide de programmation de vSphere Web Services SDK Référence de VMware vSphere API |
crypto-util | Déchiffrez des vidages de mémoire chiffrés, déterminez si des fichiers sont chiffrés et effectuez d'autres tâches de gestion directement sur l'hôte ESXi. | Aide relative à la ligne de commande. Chiffrement de machines virtuelles vSphere et vidages mémoire |