Une présentation générale des fonctionnalités des fournisseurs de clés vSphere nécessite votre attention pour vous aider à planifier votre stratégie de chiffrement.

En général, il existe peu de différences entre les fournisseurs de clés dans les opérations quotidiennes de prise en charge des fonctionnalités ou des produits. Bien que les fournisseurs de clés se ressemblent et se comportent de manière similaire, vous pouvez avoir des exigences et des réglementations à prendre en compte lors du choix d'un fournisseur de clés, comme indiqué dans le tableau suivant.

Tableau 1. Considération relatives au fournisseur de clés
Fournisseur de clés Serveur de clés externe requis ? Configuration rapide ? Fonctionne uniquement avec vSphere ?
Fournisseur de clés standard Oui Non Non
Fournisseur de clés approuvé Oui Non Non
vSphere Native Key Provider Non Oui Oui

Fonctionnalités de chiffrement

Les fonctionnalités de chiffrement suivantes sont supportées par chaque type de fournisseur de clés.

  • Renouvellement de clés à l'aide du même fournisseur de clés ou d'un autre fournisseur de clés
  • Rotation des clés
  • vTPM (Virtual Trusted Platform Module)
  • Chiffrement de disque
  • Chiffrement des machines virtuelles vSphere
  • Coexistence avec d'autres fournisseurs de clés
  • Mise à niveau vers un fournisseur de clés différent

Fonctionnalités de vSphere

Ce qui suit décrit la prise en charge par le fournisseur de clés de certaines fonctionnalités vSphere importantes.

  • Chiffrement vSphere vMotion : pris en charge par tous les types de fournisseurs de clés. Le même fournisseur de clés doit être disponible sur l’hôte de destination. Reportez-vous à la section vSphere vMotion chiffré.
  • Sauvegarde et restauration basée sur des fichiers vCenter Server : le fournisseur de clés standard et vSphere Native Key Provider prennent en charge la sauvegarde et la restauration basées sur des fichiers vCenter Server. Étant donné que la plupart des informations de configuration de Autorité d'approbation vSphere sont stockées sur les hôtes ESXi, le mécanisme de sauvegarde basé sur des fichiers de vCenter Server ne sauvegarde pas ces informations. Pour vous assurer que les informations de configuration de votre déploiement de Autorité d'approbation vSphere sont enregistrées, reportez-vous à Sauvegarde de la configuration de Autorité d'approbation vSphere.

Produits VMware

Le tableau suivant compare la prise en charge par les fournisseurs de clés de certains produits VMware.

Tableau 2. Comparaison de la prise en charge des produits VMware
Fournisseur de clés vSAN Site Recovery Manager vSphere Replication
Fournisseur de clés standard Oui Oui Oui
Fournisseur de clés approuvé Oui Oui

Si la même configuration de services Autorité d'approbation vSphere est disponible côté récupération, SRM avec réplication basée sur la baie est pris en charge.

Non
vSphere Native Key Provider Oui Oui Oui

Matériel requis

Le tableau suivant compare certaines exigences matérielles minimales du fournisseur de clés.

Tableau 3. Comparaison du matériel requis
Fournisseur de clés TPM sur hôte ESXi
Fournisseur de clés standard Non requis
Fournisseur de clés approuvé Requis sur les hôtes approuvés (hôtes du cluster approuvé).

Note : Actuellement, les hôtes ESXi du cluster d'autorité d'approbation ne requièrent pas de TPM. Cependant, il convient d'envisager d'installer de nouveaux hôtes ESXi disposant de TPM.
vSphere Native Key Provider Non requis

La disponibilité de vSphere Native Key Provider peut éventuellement être limitée aux hôtes avec un TPM.

Dénomination du fournisseur de clés

vSphere utilise un nom de fournisseur de clés pour rechercher un identifiant de clé. Si deux fournisseurs de clés ont le même nom, vSphere suppose qu'ils sont équivalents et qu'ils ont accès aux mêmes clés. Chaque fournisseur de clés logique, quel que soit son type (fournisseur de clés standard, approuvé et natif), doit avoir un nom unique sur tous les systèmes vCenter Server.

Dans de rares cas, vous configurez le même fournisseur de clés sur plusieurs systèmes vCenter Server, de la manière suivante :

  • Migration de machines virtuelles chiffrées entre des systèmes vCenter Server
  • Configuration d'une instance de vCenter Server en tant que site de reprise