Les services Autorité d'approbation vSphere , au moins un serveur de clés externe compatible KMIP, les systèmes vCenter Server et vos hôtes ESXi contribuent à l'infrastructure approuvée.

Présentation d'une infrastructure approuvée

Une infrastructure approuvée se compose d'au moins un cluster vSphere Trust Authority, d'au moins un cluster approuvé et d'au moins un serveur de clés compatible KMIP externe. Chaque cluster contient des hôtes ESXi qui exécutent des services Autorité d'approbation vSphere spécifiques, comme indiqué dans la figure suivante.

Figure 1. Services Autorité d'approbation vSphere
Cette figure montre les services de vSphere Trust Authority, notamment le service d'attestation et le service de fournisseur de clés.

La configuration du cluster d'autorité d'approbation active deux services :

  • Service d'attestation
  • Service de fournisseur de clés

Lorsque vous configurez Autorité d'approbation vSphere , les hôtes ESXi dans le cluster approuvé communiquent avec le service d'attestation. Le service de fournisseur de clés interagit entre les hôtes approuvés et un ou plusieurs fournisseurs de clés approuvés.

Note : Actuellement, les hôtes ESXi du cluster d'autorité d'approbation ne requièrent pas de TPM. Cependant, il convient d'envisager d'installer de nouveaux hôtes ESXi disposant de TPM.

Qu'est-ce que le Autorité d'approbation vSphere service d'attestation ?

Le service d'attestation génère un document signé contenant des assertions décrivant l'état binaire et de configuration des hôtes ESXi distants dans le cluster approuvé. Le service d'attestation atteste de l'état des hôtes ESXi en utilisant une puce TPM (Trusted Platform Module) 2.0 comme base pour la mesure et la génération de rapports de logiciel. Le TPM sur l'hôte ESXi distant mesure la pile logicielle et envoie les données de configuration au service d'attestation. Le service d'attestation vérifie que la signature de mesure du logiciel peut être attribuée à une clé d'approbation TPM (EK) précédemment approuvée. Le service d'attestation garantit également que la mesure du logiciel correspond à l'une des images ESXi d'un ensemble précédemment validé. Le service d'attestation signe un jeton Web JSON (JWT) qu'il envoie à l'hôte ESXi, en fournissant les assertions sur l'identité, la validité et la configuration de l'hôte ESXi.

Présentation du service de fournisseur de clés de Autorité d'approbation vSphere

Le service de fournisseur de clés libère vCenter Server et les hôtes ESXi de la nécessité d'exiger des informations d'identification de serveur de clés directes. Dans Autorité d'approbation vSphere , pour qu'un hôte ESXi ait accès à une clé de chiffrement, il doit s'authentifier auprès du service de fournisseur de clés.

Pour que le service de fournisseur de clés se connecte à un serveur de clés, l'administrateur de l'autorité d'approbation doit effectuer une configuration d'approbation. Pour la plupart des serveurs compatibles KMIP, une configuration d'approbation implique la configuration de certificats de client et de serveur.

Pour s'assurer que les clés sont uniquement publiées sur des hôtes ESXi approuvés, le service de fournisseur de clés agit comme un contrôleur d'accès aux serveurs de clés. Le service de fournisseur de clés masque les spécificités du serveur de clés du reste de la pile logicielle du centre de données en utilisant le concept de fournisseur de clés approuvé. Chaque fournisseur de clés approuvé dispose d'une clé de chiffrement principale configurée unique et référence un ou plusieurs serveurs de clés. Le service de fournisseur de clés peut avoir plusieurs fournisseurs de clés approuvés configurés. Par exemple, vous souhaiterez éventuellement disposer d'un fournisseur de clés approuvé distinct pour chaque service d'une organisation. Chaque fournisseur de clés approuvé utilise une clé principale différente, mais peut référencer le même serveur de clés de sauvegarde.

Une fois que vous avez créé un fournisseur de clés approuvé, le service de fournisseur de clés peut accepter des demandes d'hôtes ESXi approuvés pour exécuter des opérations de chiffrement sur ce fournisseur de clés approuvé.

Lorsqu'un hôte ESXi approuvé demande des opérations à un fournisseur de clés approuvé, le service de fournisseur de clés s'assure que l'hôte ESXi qui tente d'obtenir la clé de chiffrement est attesté. Après avoir passé tous les contrôles, l'hôte ESXi approuvé reçoit des clés de chiffrement du service de fournisseur de clés.

Présentation des ports utilisés par Autorité d'approbation vSphere

Les services Autorité d'approbation vSphere écoutent les connexions derrière le proxy inverse de l'hôte ESXi. Toutes les communications s'effectuent sur HTTPS sur le port 443.

Présentation des hôtes approuvés Autorité d'approbation vSphere

Les hôtes ESXi approuvés sont configurés pour utiliser des fournisseurs de clés approuvés afin d'effectuer des opérations de chiffrement. Les hôtes ESXi approuvés effectuent des opérations de clés en communiquant avec le service de fournisseur de clés et le service d'attestation. Pour l'authentification et l'autorisation, les hôtes ESXi approuvés utilisent un jeton obtenu du service d'attestation. Pour obtenir un jeton valide, l'hôte ESXi approuvé doit attester correctement le service d'attestation. Le jeton contient des déclarations utilisées pour décider si l'hôte ESXi approuvé est autorisé à accéder à un fournisseur de clés approuvé.

Autorité d'approbation vSphere et le serveur de clés

Autorité d'approbation vSphere nécessite l'utilisation d'au moins un serveur de clés. Dans les versions précédentes de vSphere, un serveur de clés s'appelait un serveur de gestion des clés ou KMS. Actuellement, le chiffrement des machines virtuelles vSphere prend en charge les serveurs de clés conformes à KMIP 1.1.

Stockage de la configuration et des informations d'état par Autorité d'approbation vSphere

vCenter Server est principalement un service de relais pour les informations de configuration et d'état de Autorité d'approbation vSphere . La plupart des informations de configuration et d'état de Autorité d'approbation vSphere sont stockées sur les hôtes ESXi dans la base de données ConfigStore. Certaines informations d'état sont également stockées dans la base de données vCenter Server.

Note : Étant donné que la plupart des informations de configuration de Autorité d'approbation vSphere sont stockées sur les hôtes ESXi, le mécanisme de sauvegarde basé sur fichier de vCenter Server ne sauvegarde pas ces informations. Pour vous assurer que les informations de configuration de votre déploiement de Autorité d'approbation vSphere sont enregistrées, reportez-vous à Sauvegarde de la configuration de Autorité d'approbation vSphere.

Autorité d'approbation vSphere vCenter ServerComment s'intègre-t-il à ?

Vous configurez des instances de vCenter Server distinctes pour gérer le cluster d'autorité d'approbation et le cluster approuvé. Reportez-vous à la section Configuration de Autorité d'approbation vSphere.

Sur un cluster approuvé, vCenter Server gère les appels d'API de l'autorité d'approbation et les transmet aux hôtes ESXi. vCenter Server réplique les appels d'API sur tous les hôtes ESXi du cluster approuvé.

Après la configuration initiale de Autorité d'approbation vSphere , vous pouvez ajouter ou supprimer des hôtes ESXi d'un cluster d'autorité d'approbation ou d'un cluster approuvé. Reportez-vous à la section Ajout et suppression d'hôtes Autorité d'approbation vSphere.