Dans vSphere 7.0 Update 2 et versions ultérieures, vous pouvez utiliser l'instance intégrée de vSphere Native Key Provider pour activer des technologies de chiffrement, comme des TPM virtuels (vTPM).
vSphere Native Key Provider est inclus dans toutes les éditions de vSphere et ne nécessite pas de serveur de clés externe (également appelé serveur de gestion des clés dans le secteur). Vous pouvez également utiliser vSphere Native Key Provider pour le chiffrement de machine virtuelle vSphere, mais vous devez acheter l'édition VMware vSphere® Enterprise Plus™.
Qu'est-ce que vSphere Native Key Provider ?
Avec un fournisseur de clés standard ou un fournisseur de clés approuvé, vous devez configurer un serveur de clés externe. Dans une configuration de fournisseur de clés standard, vCenter Server extrait les clés du serveur de clés externe et les distribue aux hôtes ESXi. Dans une configuration de fournisseur de clés approuvé (Autorité d'approbation vSphere ), les hôtes ESXi approuvés extraient les clés directement.
Avec vSphere Native Key Provider, vous n'avez plus besoin d'un serveur de clés externe. vCenter Server génère une clé principale, appelée clé de dérivation de clé (KDK), et la transmet à tous les hôtes ESXi du cluster. Les hôtes ESXi génèrent ensuite des clés de chiffrement des données (même si elles ne sont pas connectées à vCenter Server) pour activer des fonctionnalités de sécurité telles que des vTPM. La fonctionnalité vTPM est incluse dans toutes les éditions vSphere. Pour utiliser vSphere Native Key Provider pour le chiffrement de machine virtuelle vSphere, vous devez avoir acheté l'édition vSphere Enterprise Plus. vSphere Native Key Provider peut coexister avec une infrastructure de serveur de clés existante.
vSphere Native Key Provider :
- Permet d'utiliser des vTPM, le chiffrement de machine virtuelle vSphere et vSAN le chiffrement des données au repos, lorsque vous n'avez pas besoin ou ne souhaitez pas de serveur de clés externe.
- Fonctionne uniquement avec les produits d'infrastructure VMware.
- Ne fournit pas d'interopérabilité externe, de support KMIP, de modules de sécurité matérielle ou les autres fonctionnalités qu'un serveur de clés externe tiers traditionnel peut fournir pour assurer l'interopérabilité ou le respect de la réglementation. Si votre organisation cette fonctionnalité pour les produits et composants non-VMware, installez un serveur de clés tiers traditionnel.
- Permet de répondre aux besoins des organisations qui ne peuvent pas utiliser ou ne souhaitent pas utiliser un serveur de clés externe.
- Améliore les pratiques de nettoyage des données et de réutilisation du système en permettant l'utilisation antérieure de technologies de chiffrement sur des supports difficiles à nettoyer, tels que Flash et SSD.
- Fournit un chemin de transition entre les fournisseurs de clés. vSphere Native Key Provider est compatible avec le fournisseur de clés VMware standard et le fournisseur de clés approuvé vSphere Trust Authority.
- Fonctionne avec plusieurs systèmes vCenter Server en utilisant une configuration Enhanced Linked Mode ou une configuration vCenter Server High Availability.
- Peut être utilisé pour activer un vTPM dans toutes les éditions de vSphere et chiffrer les machines virtuelles avec l'achat de l'édition vSphere Enterprise Plus qui inclut le chiffrement de machine virtuelle vSphere. Le chiffrement de machines virtuelles vSphere fonctionne avec un périphérique vSphere Native Key Provider, comme il le fait avec les fournisseurs de clés approuvés et standard VMware.
- Peut être utilisé pour activer le chiffrement des données au repos vSAN avec l'utilisation d'une licence vSAN appropriée.
- Peut utiliser un TPM (Trusted Platform Module) 2.0 pour renforcer la sécurité lorsqu'un tel module est installé sur un hôte ESXi. Vous pouvez également configurer vSphere Native Key Provider pour qu'il soit disponible uniquement pour les hôtes sur lesquels un TPM 2.0 est installé. Si vous utilisez un TPM, il doit s'agir de TPM 2.0. vSphere Native Key Provider ne prend pas en charge TPM 1.2.
Comme pour toutes les solutions de sécurité, tenez compte de la conception du système, des éléments à prendre en compte pour la mise en œuvre et des compromis liés à l'utilisation d'un fournisseur de clés natif. Par exemple, la persistance des clés ESXi évite que la dépendance sur un serveur de clés soit toujours disponible. Cependant, étant donné que la persistance des clés stocke les informations de chiffrement du fournisseur de clés natif sur les hôtes en cluster, vous êtes toujours exposé à un risque si des acteurs malveillants dérobent les données des hôtes ESXi eux-mêmes. Étant donné que les environnements diffèrent, évaluez et mettez en œuvre vos contrôles de sécurité conformément aux besoins réglementaires et de sécurité de votre organisation, aux exigences opérationnelles et à la tolérance aux risques.
Pour plus d'informations sur vSphere Native Key Provider, reportez-vous à https://core.vmware.com/native-key-provider.
Conditions requises pour vSphere Native Key Provider
Pour utiliser vSphere Native Key Provider :
- Assurez-vous que le système vCenter Server et les hôtes ESXi exécutent vSphere 7.0 Update 2 ou une version ultérieure.
- Configurez les hôtes ESXi dans un cluster.
- Bien qu'ils ne soient pas requis, il est recommandé d'utiliser des hôtes ESXi aussi identiques que possible, notamment les TPM. La gestion des clusters et l'activation des fonctionnalités sont beaucoup plus faciles lorsque les hôtes du cluster sont identiques.
- Configurez la sauvegarde et la restauration vCenter Server basées sur des fichiers, et stockez les sauvegardes de manière sécurisée, car elles contiennent la clé de dérivation de clé. Reportez-vous à la rubrique sur la sauvegarde et la restauration de vCenter Server dans la documentation Installation et configuration de vCenter Server.
Pour effectuer le chiffrement de machine virtuelle vSphere ou le chiffrement de vSAN à l'aide de vSphere Native Key Provider, vous devez acheter l'édition de ces produits contenant la licence appropriée.
vSphere Native Key Provider et Enhanced Linked Mode
Vous pouvez configurer un seul périphérique vSphere Native Key Provider pouvant être partagé entre les systèmes vCenter Server configurés dans une configuration Enhanced Linked Mode. Les étapes générales de ce scénario sont les suivantes :
- Création du périphérique vSphere Native Key Provider sur l'un des systèmes vCenter Server
- Sauvegarde du fournisseur de clés natif sur le vCenter Server sur lequel il a été créé
- Exportation du fournisseur de clés natif
- Restauration du fournisseur de clés natif sur les autres systèmes vCenter Server dans la configuration Enhanced Linked Mode (reportez-vous à la section Restaurer un vSphere Native Key Provider à l'aide de vSphere Client)
Privilèges vSphere Native Key Provider
Comme pour les fournisseurs de clés standard et approuvés, vSphere Native Key Provider utilise le cryptographe.*. En outre, vSphere Native Key Provider utilise le privilège Cryptographer.ReadKeyServersInfo, qui est spécifique aux périphériques vSphere Native Key Providers, pour répertorier les périphériques vSphere Native Key Providers. Reportez-vous à la section Privilèges d'opérations de chiffrement.
Alarmes vSphere Native Key Provider
Vous devez sauvegarder un périphérique vSphere Native Key Provider. Lorsqu'un périphérique vSphere Native Key Provider n'est pas sauvegardé, vCenter Server génère une alarme. Lorsque vous sauvegardez un périphérique vSphere Native Key Provider pour lequel une alarme a été générée, vCenter Server réinitialise l'alarme. Par défaut, vCenter Server recherche les périphériques vSphere Native Key Provider sauvegardés une fois par jour. Vous pouvez modifier l'intervalle de vérification en modifiant l'option vpxd.KMS.backupCheckInterval.
Vérification de correction périodique de vSphere Native Key Provider
vCenter Server vérifie périodiquement que la configuration de vSphere Native Key Provider sur les hôtes vCenter Server et ESXi correspond. Lorsqu'un état d'un hôte change, par exemple, lorsque vous ajoutez un hôte au cluster, la configuration du fournisseur de clés sur le cluster s'écarte de la configuration sur l'hôte. Si la configuration (keyID) diffère sur l'hôte, vCenter Server met à jour la configuration de l'hôte automatiquement. Aucune intervention manuelle n'est requise.
Par défaut, vCenter Server vérifie la configuration toutes les cinq minutes. Vous pouvez modifier l'intervalle en utilisant l'option vpxd.KMS.remediationInterval.
Utilisation de vSphere Native Key Provider avec un site de récupération d'urgence
Vous pouvez utiliser vSphere Native Key Provider avec un site de récupération d'urgence de sauvegarde. L'importation de la sauvegarde de vSphere Native Key Provider du vCenter Server principal vers la sauvegarde de vCenter Server sur le site de reprise permet à ce cluster de déchiffrer et d'exécuter vos machines virtuelles chiffrées.
Testez toujours votre solution de récupération d'urgence. Ne supposez jamais que votre solution fonctionne sans essayer une récupération. Assurez-vous qu'une copie de la sauvegarde de vSphere Native Key Provider est également disponible sur votre site de récupération d'urgence.
Fonctionnalités non prises en charge dans vSphere Native Key Provider
Actuellement, vSphere Native Key Provider ne prend pas en charge les éléments suivants :
- Chiffrement de disque de première classe (FCD)
Migration de machines virtuelles à l'aide de vSphere Native Key Provider sur des systèmes vCenter Server non liés
Les étapes de haut niveau de migration d'une machine virtuelle, chiffrée ou activée avec un vTPM via vSphere Native Key Provider, d'un système vCenter Server non lié vers un autre, sont les suivantes :
- Restauration de vSphere Native Key Provider vers le système à migrer vers vCenter Server.
- Migration de la machine virtuelle à l'aide de vMotion.