Après avoir installé un fournisseur de clés, les utilisateurs ayant les privilèges requis peuvent créer des machines virtuelles et des disques chiffrés. Ces utilisateurs peuvent également chiffrer des machines virtuelles existantes et déchiffrer des machines virtuelles chiffrées, mais aussi ajouter des vTPM (Virtual Trusted Platform Modules) aux machines virtuelles.
Selon le type de fournisseur de clés, le flux de processus peut impliquer un serveur de clés, l'instance de vCenter Server et l'hôte ESXi.
Flux de chiffrement du fournisseur de clés standard
- Lorsque l'utilisateur exécute une tâche de chiffrement, par exemple pour créer une machine virtuelle, vCenter Server demande une nouvelle clé au serveur de clés par défaut. Cette clé est utilisée en tant que certificat KEK (Key Exchange Key).
- vCenter Server stocke l'identifiant de clé et transmet la clé à l'hôte ESXi. Si l'hôte ESXi fait partie d'un cluster, vCenter Server envoie le certificat KEK à chacun des hôtes du cluster.
La clé, quant à elle, n'est pas stockée sur le système vCenter Server. Seul l'identifiant de clé est connu.
- L'hôte ESXi génère des clés internes (DEK) pour la machine virtuelle et ses disques. Les clés internes sont conservées uniquement en mémoire et l'hôte utilise les certificats KEK pour chiffrer les clés internes.
Les clés internes non chiffrées ne sont jamais stockées sur disque. Seules les données chiffrées sont stockées. Dans la mesure où les certificats KEK proviennent du fournisseur de clés, l'hôte continue d'utiliser les mêmes KEK.
- L'hôte ESXi chiffre la machine virtuelle avec la clé interne chiffrée.
Tous les hôtes qui ont le certificat KEK et peuvent accéder au fichier de clé chiffrée peuvent exécuter des opérations sur la machine virtuelle chiffrée ou le disque.
Flux de chiffrement du fournisseur de clés approuvé
Le flux de chiffrement de Autorité d'approbation vSphere inclut les services Autorité d'approbation vSphere , les fournisseurs de clés approuvés, les instances de vCenter Server et les hôtes ESXi.
Le chiffrement d'une machine virtuelle avec un fournisseur de clés approuvé ressemble à l'expérience utilisateur de chiffrement des machines virtuelles lors de l'utilisation d'un fournisseur de clés standard. Le chiffrement de machines virtuelles sous Autorité d'approbation vSphere continue de reposer sur des stratégies de stockage de chiffrement des machines virtuelles ou sur la présence d'un périphérique vTPM pour décider du chiffrement d'une machine virtuelle. Vous continuez d'utiliser un fournisseur de clés configuré par défaut (appelé cluster KMS dans vSphere 6.5 et 6.7) lors du chiffrement d'une machine virtuelle à partir de vSphere Client. De plus, vous pouvez toujours utiliser les API de manière similaire pour spécifier manuellement le fournisseur de clés. Les privilèges de chiffrement existants ajoutés à vSphere 6.5 sont toujours pertinents dans vSphere 7.0 pour Autorité d'approbation vSphere .
Le processus de chiffrement du fournisseur de clés approuvé présente d'importantes différences par rapport au fournisseur de clés standard :
-
Les administrateurs d'autorité d'approbation ne spécifient pas d'informations directement lors de la configuration d'un serveur de clés pour une instance de vCenter Server et ils n'établissent pas l'approbation du serveur de clés. Au lieu de cela, Autorité d'approbation vSphere publie les fournisseurs de clés approuvés que les hôtes approuvés peuvent utiliser.
- vCenter Server n'envoie plus de clés aux hôtes ESXi et peut traiter plutôt chaque fournisseur de clés approuvé comme une clé de niveau supérieur unique.
- Seuls les hôtes approuvés peuvent demander des opérations de chiffrement à partir d'hôtes d'autorité d'approbation
Flux de chiffrement de vSphere Native Key Provider
vSphere Native Key Provider est inclus dans vSphere à partir de la version 7.0 Update 2. Lorsque vous configurez un vSphere Native Key Provider, vCenter Server transmet une clé principale à tous les hôtes ESXi du cluster. En outre, si vous mettez à jour ou supprimez un vSphere Native Key Provider, la modification est transmise aux hôtes du cluster. Le flux de chiffrement est semblable au fonctionnement d'un fournisseur de clés approuvé. La différence est que vSphere Native Key Provider génère les clés et les encapsule avec la clé principale, puis les remet pour effectuer le chiffrement.
Attributs personnalisés pour les serveurs de clés
Le protocole KMIP (Key Management Interoperability Protocol) prend en charge l'ajout d'attributs personnalisés destinés à des fins spécifiques au fournisseur. Les attributs personnalisés vous permettent d'identifier plus spécifiquement les clés stockées dans votre serveur de clés. vCenter Server ajoute les attributs personnalisés suivants pour les clés de machine virtuelle et les clés d'hôte.
| Attribut personnalisé | Valeur |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Version de vCenter Server |
x-Component |
Machine virtuelle |
x-Name |
Nom de la machine virtuelle (collecté à partir de ConfigInfo ou ConfigSpec) |
x-Identifier |
InstanceUuid de la machine virtuelle (collecté à partir de ConfigInfo ou ConfigSpec) |
| Attribut personnalisé | Valeur |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Version de vCenter Server |
x-Component |
Serveur ESXi |
x-Name |
Nom d'hôte |
x-Identifier |
UUID matériel de l'hôte |
vCenter Server ajoute les attributs x-Vendor, x-Product et x-Product_Version lorsque le serveur de clés crée une clé. Lorsque la clé est utilisée pour chiffrer une machine virtuelle ou un hôte, vCenter Server définit les attributs x-Component, x-Identifier et x-Name. Vous pourrez peut-être afficher ces attributs personnalisés dans l'interface utilisateur de votre serveur de clés. Vérifiez auprès de votre fournisseur de serveur de clés.
La clé d'hôte et la clé de machine virtuelle disposent des six attributs personnalisés. x-Vendor, x-Product et x-Product_Version peuvent être identiques pour les deux clés. Ces attributs sont définis lors de la génération de la clé. Selon que la clé est destinée à une machine virtuelle ou à un hôte, il est possible que les attributs x-Component, x-Identifier et x-Name soient ajoutés.
Erreurs de clé
Lorsqu'une erreur se produit lors de l'envoi de clés du serveur de clés à un hôte ESXi, vCenter Server génère un message dans le journal des événements pour les événements suivants :
- L'ajout de clés à l'hôte ESXi a échoué en raison de problèmes de connexion à l'hôte ou de prise en charge de l'hôte.
- Échec de l'obtention des clés depuis le serveur de clés en raison d'une clé manquante dans le serveur de clés.
- Échec de l'obtention des clés depuis le serveur de clés en raison de la connexion au serveur de clés.
Déchiffrement des machines virtuelles chiffrées
Si vous souhaitez déchiffrer ultérieurement une machine virtuelle chiffrée, vous modifiez sa stratégie de stockage. Vous pouvez modifier la stratégie de stockage de la machine virtuelle et de l'ensemble des disques. Si vous souhaitez déchiffrer des composants individuels, déchiffrez les disques sélectionnés en premier, puis déchiffrez la machine virtuelle en modifiant la stratégie de stockage d'Accueil VM. Les deux clés sont requises pour le déchiffrement de chaque composant. Reportez-vous à la section Déchiffrer une machine ou un disque virtuel.
