Persistance des clés sur l'hôte ESXi

Lors de l'utilisation d'un fournisseur de clés standard, l'hôte ESXi s'appuie sur vCenter Server pour gérer les clés de chiffrement. Lors de l'utilisation d'un fournisseur de clés approuvé, l'hôte ESXi s'appuie directement sur les hôtes d'autorité d'approbation pour gérer les clés et vCenter Server n'est pas impliqué.

Quel que soit le type de fournisseur de clés, l'hôte ESXi obtient d'abord les clés et les conserve dans son cache de clés. Si l'hôte ESXi redémarre, il perd son cache de clés. Ensuite, l'hôte ESXi demande à nouveau les clés, soit au serveur de clés (fournisseur de clés standard) soit aux hôtes d'autorité d'approbation (fournisseur de clés approuvé). Lorsque l'hôte ESXi tente d'obtenir les clés et que le serveur de clés est hors ligne ou inaccessible, les vTPM et le chiffrement de la charge de travail ne peuvent pas fonctionner. Pour les déploiements de type Edge, pour lesquels un serveur de clés n'est généralement pas déployé sur le site, une perte de connectivité avec un serveur de clés peut entraîner une indisponibilité superflue pour les charges de travail chiffrées.

Dans vSphere 7.0 Update 2 et versions ultérieures, les charges de travail chiffrées peuvent continuer à fonctionner même lorsque le serveur de clés est hors ligne ou inaccessible. Si l'hôte ESXi dispose d'un TPM, les clés de chiffrement sont persistantes sur le TPM lors des redémarrages. Par exemple, même si un hôte ESXi redémarre, l'hôte n'a pas besoin de demander des clés de chiffrement. En outre, les opérations de chiffrement et de déchiffrement peuvent se poursuivre lorsque le serveur de clés est indisponible, car les clés sont persistantes sur le TPM. En d'autres mots, lorsque le serveur de clés ou les hôtes d'autorité d'approbation sont indisponibles, vous pouvez continuer à gérer les charges de travail chiffrées « sans serveur de clés ». En outre, les vTPM peuvent continuer à fonctionner même lorsque le serveur de clés est inaccessible.

Persistance de clé et vSphere Native Key Provider

Lorsque vous utilisez un vSphere Native Key Provider, vSphere génère les clés de chiffrement et aucun serveur de clés n'est requis. Les hôtes ESXi obtiennent une clé de dérivation de clés (KDK, Key Derivation Key), qui est utilisée pour dériver d'autres clés. Après avoir reçu la clé KDK et généré d'autres clés, les hôtes ESXi n'ont pas besoin d'accéder à vCenter Server pour les opérations de chiffrement. Autrement dit, un vSphere Native Key Provider s'exécute toujours « sans serveur de clés ».

La clé KDK persiste sur un hôte ESXi par défaut même après le redémarrage et même lorsque vCenter Server n'est pas disponible après le redémarrage de l'hôte.

Vous pouvez activer la persistance des clés avec vSphere Native Key Provider, mais elle est normalement inutile. Les hôtes ESXi ont un accès complet à vSphere Native Key Provider, l'utilisation de la persistance des clés est donc redondante. Un cas d'utilisation pour activer la persistance des clés avec vSphere Native Key Provider est lorsqu'un fournisseur de clés standard (serveur KMIP externe) est également configuré.

Comment configurer la persistance de clé?

Pour activer ou désactiver la persistance des clés, consultez la section Activer ou désactiver la persistance de clé sur un hôte ESXi.