Selon le fournisseur de clés que vous utilisez, un serveur de clés externe, le système vCenter Server et vos hôtes ESXi contribuent potentiellement à la solution de chiffrement.

Les composants suivants comprennent le chiffrement de machines virtuelles vSphere:

  • Un serveur de clés externe, également appelé KMS (non requis pour vSphere Native Key Provider)
  • vCenter Server
  • hôtes ESXi

Quel est le rôle d'un serveur de clés dans chiffrement des machines virtuelles vSphere

Le serveur de clés est un serveur de gestion KMIP (Key Management Interoperability Protocol) associé à un fournisseur de clés. Un fournisseur de clés standard et un fournisseur de clés approuvé nécessitent un serveur de clés. vSphere Native Key Provider ne nécessite pas de serveur de clés. Le tableau suivant décrit les différences entre le fournisseur de clés et le serveur de clés.

Tableau 1. Interaction entre le fournisseur de clés et le serveur de clés
Fournisseur de clés Interaction avec le serveur de clés
Fournisseur de clés standard Un fournisseur de clés standard utilise vCenter Server pour demander des clés à partir d'un serveur de clés. Ce dernier génère et stocke les clés, et les transmet à vCenter Server pour distribution aux hôtes ESXi.
Fournisseur de clés approuvé Un fournisseur de clés approuvé utilise un service de fournisseur de clés qui permet aux hôtes ESXi approuvés d'extraire les clés directement. Reportez-vous à la section Présentation du service de fournisseur de clés de Autorité d'approbation vSphere.
vSphere Native Key Provider vSphere Native Key Provider ne nécessite pas de serveur de clés. vCenter Server génère une clé principale et la transmet aux hôtes ESXi. Les hôtes ESXi génèrent ensuite des clés de chiffrement de données (même lorsqu'ils ne sont pas connectés à vCenter Server). Reportez-vous à la section Présentation de vSphere Native Key Provider.

Vous pouvez utiliser vSphere Client ou vSphere API pour ajouter des d'instances de fournisseurs de clés au système vCenter Server. Si vous utilisez plusieurs instances de fournisseurs de clés, toutes les instances doivent provenir du même fournisseur et doivent répliquer des clés.

Si votre environnement utilise différents fournisseurs de serveurs de clés dans différents environnements, vous pouvez ajouter un fournisseur de clés pour chaque serveur de clés et spécifier un fournisseur de clés par défaut. Le premier fournisseur de clés que vous ajoutez devient le fournisseur de clés par défaut. Vous pouvez spécifier la valeur par défaut ultérieurement.

En tant que client KMIP, vCenter Server utilise le protocole KMIP (Key Management Interoperability Protocol) pour faciliter l'utilisation du serveur de clés de votre choix.

Quel est le rôle de vCenter Server dans chiffrement des machines virtuelles vSphere

Le tableau suivant décrit le rôle du système vCenter Server dans le processus de chiffrement.

Tableau 2. Fournisseurs de clés et vCenter Server
Fournisseur de clés Rôle de vCenter Server Vérification des privilèges
Fournisseur de clés standard Seul le système vCenter Server dispose des informations d'identification pour établir la connexion au serveur de clés. Vos hôtes ESXi ne possèdent pas ces informations d'identification. Le système vCenter Server obtient des clés du serveur de clés et les transmet aux hôtes ESXi. Le système vCenter Server ne stocke pas les clés du serveur de clés, mais conserve une liste des ID de clés. vCenter Server vérifie les privilèges des utilisateurs qui effectuent des opérations de chiffrement.
Fournisseur de clés approuvé Avec Autorité d'approbation vSphere , le système vCenter Server n'a plus besoin de demander de clés auprès du serveur de clés et conditionne l'accès aux clés de chiffrement à l'état d'attestation d'un cluster de charge de travail. Vous devez utiliser des systèmes vCenter Server séparés pour le cluster approuvé et le cluster d'autorité d'approbation. vCenter Server vérifie les privilèges des utilisateurs qui effectuent des opérations de chiffrement. Seuls les utilisateurs membres du groupe SSO TrustedAdmins peuvent effectuer des opérations administratives.
vSphere Native Key Provider L'instance de vCenter Server génère les clés. vCenter Server vérifie les privilèges des utilisateurs qui effectuent des opérations de chiffrement.

Vous pouvez utiliser vSphere Client pour attribuer des privilèges pour les opérations de chiffrement ou pour attribuer le rôle personnalisé Administrateur sans droits de chiffrement aux groupes d'utilisateurs. Reportez-vous à la section Conditions préalables et privilèges requis pour les tâches de chiffrement des machines virtuelles.

vCenter Server ajoute des événements cryptographiques à la liste des événements que vous pouvez afficher et exporter à partir de la console des événements de vSphere Client. Chaque événement inclut l'utilisateur, l'heure, l'ID de clé et l'opération de chiffrement.

Les clés provenant du serveur de clés sont utilisées comme clés de chiffrement de clés (KEK).

Quel est le rôle des hôtes ESXi dans le chiffrement des machines virtuelles vSphere

Les hôtes ESXi sont responsables de plusieurs aspects du workflow de chiffrement.

Tableau 3. Fournisseurs de clés et hôtes ESXi
Fournisseur de clés Aspects de l'hôte ESXi
Fournisseur de clés standard
  • vCenter Server transmet les clés à un hôte ESXi lorsque ce dernier en a besoin. Le mode de chiffrement doit être activé pour l'hôte.
  • Garantir que les données de l'invité pour les machines virtuelles chiffrées sont chiffrées lorsqu'elles sont stockées sur disque.
  • Garantir que les données de l'invité pour les machines virtuelles chiffrées ne sont pas envoyées sur le réseau sans être chiffrées.
Fournisseur de clés approuvé Les hôtes ESXi exécutent les services Autorité d'approbation vSphere , selon qu'il s'agit d'hôtes approuvés ou d'hôtes d'autorité d'approbation. Les hôtes ESXi approuvés exécutent des machines virtuelles de charge de travail qui peuvent être chiffrées à l'aide de fournisseurs de clés publiés par les hôtes d'autorité d'approbation. Reportez-vous à la section Présentation de l'infrastructure approuvée.
vSphere Native Key Provider Les hôtes ESXi extraient des clés directement depuis vSphere Native Key Provider.

Les clés générées par l'hôte ESXi sont appelées clés internes dans ce document. Ces clés jouent généralement le rôle de clés de chiffrement de données (DEK).