Une machine virtuelle clonée et chiffrée est chiffrée avec les mêmes clés, sauf si vous les modifiez. Pour modifier les clés, vous pouvez utiliser vSphere Client, PowerCLI ou l'API. Si vous utilisez PowerCLI ou l'API vous pouvez cloner la machine virtuelle chiffrée et modifier les clés en une seule étape.

Vous pouvez effectuer les opérations suivantes lors du clonage.

  • Créer une machine virtuelle chiffrée à partir d'une machine virtuelle ou d'un modèle de machine virtuelle non chiffré.
  • Créer une machine virtuelle non chiffrée à partir d'une machine virtuelle ou d'un modèle de machine virtuelle chiffré.
  • Rechiffrer la machine virtuelle de destination avec différentes clés parmi celles de la machine virtuelle source.
  • Dans vSphere 8.0 et versions ultérieures, le fait de sélectionner l'option Remplacer pour une machine virtuelle avec un vTPM lance un nouveau vTPM vide qui obtient ses propres secrets et identité.
Note : vSphere 8.0 et versions ultérieures inclut le paramètre avancé vpxd.clone.tpmProvisionPolicy pour que le comportement de clone par défaut des vTPM soit « remplacer ».

Vous pouvez créer un clone instantané de machine virtuelle à partir d'une machine virtuelle chiffrée en faisant attention au fait que le clone instantané partage la même clé avec la machine virtuelle source. Vous ne pouvez pas rechiffrer les clés sur la machine virtuelle source ou le clone instantané de machine virtuelle.

Pour utiliser l'API pour cloner des machines chiffrées, reportez-vous à la section Guide de programmation de vSphere Web Services SDK.

Conditions préalables

  • Un fournisseur de clés doit être configuré et activé.
  • Créez une stratégie de stockage de chiffrement ou utilisez l'exemple fourni (Stratégie de chiffrement des machines virtuelles).
  • Privilèges requis (applique à tous les fournisseurs de clés) :
    • Opérations de chiffrement.Cloner
    • Opérations de chiffrement.Chiffrer
    • Opérations de chiffrement.Déchiffrer
    • Opérations de chiffrement.Rechiffrer
    • Si le mode de chiffrement de l'hôte n'est pas activé, vous devez également disposer de privilèges Opérations de chiffrement.Enregistrer un hôte.

Procédure

  1. Accédez à la machine virtuelle dans l'inventaire de vSphere Client.
  2. Pour créer un clone d'une machine chiffrée, cliquez avec le bouton droit sur la machine virtuelle, sélectionnez Cloner > Cloner une Machine virtuelle et suivez les invites.
    1. Sur la page Sélectionner un nom et un dossier, spécifiez un nom et un emplacement cible pour le clone.
    2. Sur la page Sélectionner une ressource de calcul, spécifiez un objet pour lequel vous disposez de privilèges.
    3. (Facultatif) Modifiez les clés du vTPM cloné.
      Figure 1. Sélectionner une stratégie de provisionnement TPM
      Cette capture d'écran montre les choix de stratégie de provisionnement TPM lors du clonage d'une machine virtuelle disposant d'un vTPM.
      Le clonage d'une machine virtuelle duplique l'intégralité de la machine virtuelle, y compris le vTPM et ses secrets, qui peuvent être utilisés pour déterminer l'identité d'un système. Pour modifier les secrets sur un vTPM, sélectionnez Remplacer pour Stratégie de provisionnement TPM.
      Note : Lorsque vous remplacez les secrets d'un vTPM, toutes les clés sont remplacées, y compris les clés liées à la charge de travail. Nous vous recommandons de vous assurer que vos charges de travail n'utilisent plus un vTPM avant de remplacer les clés. Dans le cas contraire, les charges de travail de la machine virtuelle clonée risquent de ne pas fonctionner correctement.
    4. Sur la page Sélectionner un stockage, configurez une banque de données. Vous pouvez modifier la stratégie de stockage dans le cadre de l'opération de clonage. Par exemple, si vous choisissez de basculer d'une stratégie de chiffrement à une stratégie de non-chiffrement, cela aura pour effet de déchiffrer les disques.
    5. Sur la page Sélectionner les options de clonage, sélectionnez les options de clone, comme indiqué dans la documentation de Administration d'une machine virtuelle vSphere.
    6. Sur la page Prêt à terminer, vérifiez les informations, puis cliquez sur Terminer.
  3. (Facultatif) Modifiez les clés de la machine virtuelle clonée.
    Par défaut, la machine virtuelle clonée est créée avec les mêmes clés que son parent. Il est recommandé de modifier les clés de la machine virtuelle clonée pour vous assurer que plusieurs machines virtuelles ne disposent pas des mêmes clés.
    1. Décidez d'un rechiffrement superficiel ou approfondi.
      Pour utiliser un autre clé DEK et KEK, effectuez un rechiffrement approfondi de la machine virtuelle clonée. Pour utiliser une clé KEK différente, effectuez un rechiffrement superficiel de la machine virtuelle clonée. Pour un rechiffrement approfondi, vous devez mettre hors tension la machine virtuelle. Vous pouvez effectuer une opération de rechiffrement superficielle alors que la machine virtuelle est sous tension et si des snapshots sont présents sur la machine virtuelle. Le rechiffrement superficiel d'une machine virtuelle chiffrée avec des snapshots n'est autorisé que sur une seule branche de snapshot (chaîne de disques). Plusieurs branches de snapshot ne sont pas prises en charge. Si le rechiffrement superficiel échoue avant la mise à jour de tous les liens de la chaîne avec la nouvelle clé KEK, vous pouvez toujours accéder à la machine virtuelle chiffrée si vous disposez de l'ancienne et de la nouvelle clé KEK.
    2. Effectuez un rechiffrement du clone à l'aide de l'API. Reportez-vous à la section Guide de programmation de vSphere Web Services SDK.