Si votre environnement utilise le chiffrement de machines virtuelles vSphere et si une erreur se produit sur l'hôte ESXi, le vidage mémoire qui en résulte est chiffré pour protéger les données clients. Les vidages mémoire qui sont inclus dans le module vm-support sont également chiffrés.
Vidages mémoire sur hôtes ESXi
Lorsqu'un hôte ESXi, un monde utilisateur ou une machine virtuelle échoue, un vidage de mémoire est généré, et l'hôte redémarre. Si le mode de chiffrement est activé sur l'hôte ESXi, le vidage de mémoire est chiffré à l'aide d'une clé qui se trouve dans le cache de la clé ESXi. (En fonction du fournisseur de clés utilisé, la clé provient d'un serveur de clés externe, du service de fournisseur de clés ou de vCenter Server). Pour plus d'informations, reportez-vous à Méthodologie utilisée par le chiffrement de machine virtuelle vSphere pour protéger votre environnement.
Lorsqu'un hôte ESXi est « sécurisé » au niveau du chiffrement et qu'un vidage de mémoire est généré, un événement est créé. L'événement indique qu'un vidage de mémoire s'est produit avec les informations suivantes : nom de monde, heures de déclenchement, ID de clé utilisé pour chiffrer le vidage de mémoire et nom du fichier de vidage de mémoire. Vous pouvez afficher l'événement dans la visionneuse d'événements sous Tâches et événements pour vCenter Server.
Le tableau suivant affiche les clés de chiffrement utilisées pour chaque type de vidage de mémoire, par version de vSphere.
Type de vidage de mémoire | Clé de chiffrement (ESXi 6.5) | Clé de chiffrement (ESXi 6.7 et versions ultérieures) |
---|---|---|
Noyau ESXi | Clé de l'hôte | Clé de l'hôte |
Monde utilisateur (hostd) | Clé de l'hôte | Clé de l'hôte |
Machine virtuelle chiffrée | Clé de l'hôte | Clé de machine virtuelle |
- Dans la plupart des cas, le fournisseur de clés tente de transférer la clé à l'hôte ESXi après le redémarrage. Si l'opération réussit, vous pouvez générer le module vm-support et vous pouvez déchiffrer ou rechiffrer le vidage mémoire. Reportez-vous à la section Déchiffrer ou chiffrer à nouveau un vidage de mémoire chiffré.
- Si vCenter Server ne peut pas se connecter à l'hôte ESXi, vous devriez pouvoir récupérer la clé. Reportez-vous à la section Résoudre les problèmes de clés de chiffrement manquantes.
- Si l'hôte a utilisé une clé personnalisée et que cette clé diffère de la clé que vCenter Server transmet à l'hôte, vous ne pouvez pas manipuler le vidage mémoire. Évitez d'utiliser des clés personnalisées.
Vidages mémoire et modules vm-support
Lorsque vous contactez le support technique de VMware pour une erreur grave, votre représentant du support vous demande généralement de générer un module vm-support. Le module inclut des fichiers journaux et d'autres informations, notamment les vidages mémoire. Si votre représentant du support ne parvient pas à résoudre les problèmes en examinant les fichiers journaux et les autres informations, il peut vous demander de déchiffrer les vidages mémoire et de lui transmettre les informations pertinentes. Pour protéger les informations sensibles comme les clés, respectez la politique de votre organisation en matière de sécurité et de confidentialité. Reportez-vous à la section Collecter un module vm-support pour un hôte ESXi qui utilise le chiffrement.
Vidages mémoire sur systèmes vCenter Server
Un vidage mémoire sur un système vCenter Server n'est pas chiffré. vCenter Server contient déjà des informations potentiellement sensibles. Assurez-vous au minimum que le vCenter Server est protégé. Reportez-vous à la section Sécurisation des systèmes vCenter Server. Il peut également s'avérer utile de désactiver les vidages mémoire pour le système vCenter Server. Les autres informations contenues dans les fichiers journaux peuvent aider à déterminer le problème.
Collecter un module vm-support pour un hôte ESXi qui utilise le chiffrement
Si le mode de chiffrement de l'hôte est activé pour l'hôte ESXi, tout vidage de mémoire intervenant dans le module vm-support est chiffré. Vous pouvez collecter le module auprès de vSphere Client. Vous pouvez également spécifier un mot de passe si vous prévoyez de déchiffrer le vidage de mémoire à une date ultérieure.
Le module vm-support inclut des fichiers journaux, des fichiers de vidage de mémoire, etc.
Conditions préalables
Informez votre représentant de l'assistance technique que le mode de chiffrement de l'hôte est activé pour l'hôte ESXi. Votre représentant de l'assistance technique vous demandera peut-être de déchiffrer les vidages de mémoire et d'extraire les informations appropriées.
Procédure
Déchiffrer ou chiffrer à nouveau un vidage de mémoire chiffré
Vous pouvez déchiffrer, ou chiffrer à nouveau, un vidage de mémoire chiffré sur votre hôte ESXi à l'aide de l'interface de ligne de commande crypto-util.
Vous pouvez vous-même déchiffrer et examiner les vidages de mémoire dans le module vm-support. Les vidages de mémoire peuvent contenir des informations sensibles. Suivez la déclaration de confidentialité et de sécurité de votre entreprise en ce qui concerne la protection des informations sensibles telles que les clés.
Conditions préalables
La clé ayant servi à chiffrer le vidage de mémoire doit être disponible sur l'hôte ESXi qui a généré le vidage de mémoire.