Dans vSphere 7.0 Update 2 et versions ultérieures, les machines virtuelles chiffrées et les TPM virtuels peuvent éventuellement continuer à fonctionner même lorsque le serveur de clés est temporairement hors ligne ou indisponible. Les hôtes ESXi peuvent faire persister les clés de chiffrement afin de poursuivre et les opérations de chiffrement et vTPM.
Avant vSphere 7.0 Update 2, les machines virtuelles et les vTPM chiffrés avaient besoin que le serveur de clés soit disponible en permanence pour fonctionner. Dans vSphere 7.0 Update 2 et version ultérieure, les terminaux chiffrés peuvent fonctionner même lorsque l'accès à un serveur de clés est interrompu.
Dans vSphere 7.0 Update 3 et versions ultérieures, les clusters vSAN chiffrés peuvent également fonctionner même lorsque l'accès à un fournisseur de clés est interrompu.
Comment fonctionne la persistance de clé sur les hôtes ESXi ?
Lors de l'utilisation d'un fournisseur de clés standard, l'hôte ESXi s'appuie sur vCenter Server pour gérer les clés de chiffrement. Lors de l'utilisation d'un fournisseur de clés approuvé, l'hôte ESXi s'appuie directement sur les hôtes d'autorité d'approbation pour gérer les clés et vCenter Server n'est pas impliqué. vSphere Native Key Provider gère les clés différemment. Pour plus d'informations, consultez la section suivante.
Quel que soit le type de fournisseur de clés, l'hôte ESXi obtient d'abord les clés et les conserve dans son cache de clés. Si l'hôte ESXi redémarre, il perd son cache de clés. Ensuite, l'hôte ESXi demande à nouveau les clés, soit au serveur de clés (fournisseur de clés standard) soit aux hôtes d'autorité d'approbation (fournisseur de clés approuvé). Lorsque l'hôte ESXi tente d'obtenir les clés et que le serveur de clés est hors ligne ou inaccessible, les vTPM et le chiffrement de la charge de travail ne peuvent pas fonctionner. Pour les déploiements de type Edge, pour lesquels un serveur de clés n'est généralement pas déployé sur le site, une perte de connectivité avec un serveur de clés peut entraîner une indisponibilité superflue pour les charges de travail chiffrées.
Dans vSphere 7.0 Update 2 et versions ultérieures, les charges de travail chiffrées peuvent continuer à fonctionner même lorsque le serveur de clés est hors ligne ou inaccessible. Si l'hôte ESXi dispose d'un TPM, les clés de chiffrement sont persistantes sur le TPM lors des redémarrages. Par exemple, même si un hôte ESXi redémarre, l'hôte n'a pas besoin de demander des clés de chiffrement. En outre, les opérations de chiffrement et de déchiffrement peuvent se poursuivre lorsque le serveur de clés est indisponible, car les clés sont persistantes sur le TPM. Autrement dit, en fonction du fournisseur de clés, lorsque le serveur de clés ou les hôtes d'autorité d'approbation sont indisponibles, vous pouvez continuer à gérer les charges de travail chiffrées « sans serveur de clés ». En outre, les vTPM peuvent continuer à fonctionner même lorsque le serveur de clés est inaccessible.
Persistance de clé et vSphere Native Key Provider
Lorsque vous utilisez un vSphere Native Key Provider, vSphere génère des clés de chiffrement et aucun serveur de clés n'est requis. Les hôtes ESXi obtiennent une clé de dérivation de clés (KDK, Key Derivation Key), qui est utilisée pour dériver d'autres clés. Après avoir reçu la clé KDK et généré d'autres clés, les hôtes ESXi n'ont pas besoin d'accéder à vCenter Server pour les opérations de chiffrement. Autrement dit, un vSphere Native Key Provider s'exécute toujours « sans serveur de clés ».
La clé KDK persiste sur un hôte ESXi par défaut même après le redémarrage et même lorsque vCenter Server n'est pas disponible après le redémarrage de l'hôte.
Vous pouvez activer la persistance de clé avec vSphere Native Key Provider, mais cela n'est généralement pas nécessaire. Les hôtes ESXi ont un accès complet à vSphere Native Key Provider. La persistance des clés supplémentaires est donc redondante. Vous pouvez, par exemple, activer la persistance de clé avec vSphere Native Key Provider lorsque vous avez également configuré un fournisseur de clés standard (serveur KMIP externe).
Comment configurer la persistance de clé?
Pour activer ou désactiver la persistance des clés, consultez la section Activer et désactiver la persistance de clé sur un hôte ESXi.