Une présentation générale des fonctionnalités des fournisseurs de clés vSphere nécessite votre attention pour vous aider à planifier votre stratégie de chiffrement.

En général, il existe peu de différences entre les fournisseurs de clés dans les opérations quotidiennes de prise en charge des fonctionnalités ou des produits. Bien que les fournisseurs de clés se ressemblent et se comportent de manière similaire, vous pouvez avoir des exigences et des réglementations à prendre en compte lors du choix d'un fournisseur de clés, comme indiqué dans le tableau suivant.

Tableau 1. Considération relatives au fournisseur de clés
Fournisseur de clés Serveur de clés externe requis ? Configuration rapide ? Fonctionne uniquement avec vSphere ? Clés de chiffrement stockées en permanence sur l'hôte ? Renouvellement de clés lors du clonage ?
Fournisseur de clés standard Oui Non Non Non Oui
Fournisseur de clés approuvé Oui Non Non Non Oui
vSphere Native Key Provider Non Oui Oui Oui Oui
Note : Au démarrage de l'hôte, vSphere Native Key Provider écrit toujours la clé de chiffrement sur les hôtes ESXi du cluster. Si la sécurité physique du cluster vous préoccupe, envisagez d'utiliser un fournisseur de clés standard ou un fournisseur de clés approuvé, nécessitant tous deux que le serveur de clés soit disponible pour que les machines virtuelles chiffrées fonctionnent.

Fonctionnalités de chiffrement du fournisseur de clés

Les fonctionnalités de chiffrement suivantes sont supportées par chaque type de fournisseur de clés.

  • Renouvellement de clés à l'aide du même fournisseur de clés ou d'un autre fournisseur de clés
  • Rotation des clés
  • vTPM (Virtual Trusted Platform Module)
  • Chiffrement de disque
  • Chiffrement des machines virtuelles vSphere
  • Coexistence avec d'autres fournisseurs de clés
  • Mise à niveau vers un fournisseur de clés différent

Prise en charge des fonctionnalités de vSphere par le fournisseur de clés

Ce qui suit décrit la prise en charge par le fournisseur de clés de certaines fonctionnalités vSphere importantes.

  • Chiffrement vSphere vMotion : pris en charge par tous les types de fournisseurs de clés. Le même fournisseur de clés doit être disponible sur l’hôte de destination. Reportez-vous à la section Présentation de vSphere vMotion chiffré.
  • Sauvegarde et restauration basée sur des fichiers vCenter Server : le fournisseur de clés standard et vSphere Native Key Provider prennent en charge la sauvegarde et la restauration basées sur des fichiers vCenter Server. Étant donné que la plupart des informations de configuration de Autorité d'approbation vSphere sont stockées sur les hôtes ESXi, le mécanisme de sauvegarde basé sur des fichiers de vCenter Server ne sauvegarde pas ces informations. Pour vous assurer que les informations de configuration de votre déploiement de Autorité d'approbation vSphere sont enregistrées, reportez-vous à Sauvegarde de la configuration de Autorité d'approbation vSphere.

Prise en charge des fournisseurs de clés pour les produits VMware

Le tableau suivant compare la prise en charge par les fournisseurs de clés de certains produits VMware.

Tableau 2. Comparaison de la prise en charge des produits VMware
Fournisseur de clés Chiffrement des données vSAN au repos Site Recovery Manager vSphere Replication
Fournisseur de clés standard Oui Oui Oui
Fournisseur de clés approuvé Non Oui

Si la même configuration de services Autorité d'approbation vSphere est disponible côté récupération, SRM avec réplication basée sur la baie est pris en charge.

Non
vSphere Native Key Provider Oui Oui Oui
Note :

Le fournisseur de clés standard, le fournisseur de clés approuvé et vSphere Native Key Provider prennent en charge le chiffrement des machines virtuelles vSphere au-dessus de vSAN.

Matériel requis pour les fournisseurs de clés

Le tableau suivant compare certaines exigences matérielles minimales du fournisseur de clés.

Tableau 3. Comparaison du matériel requis pour les fournisseurs de clés
Fournisseur de clés TPM sur hôte ESXi
Fournisseur de clés standard Non requis
Fournisseur de clés approuvé Requis sur les hôtes approuvés (hôtes du cluster approuvé).

Note : Actuellement, les hôtes ESXi du cluster d'autorité d'approbation ne requièrent pas de TPM. Cependant, il convient d'envisager d'installer de nouveaux hôtes ESXi disposant de TPM.
vSphere Native Key Provider Non requis

La disponibilité de vSphere Native Key Provider peut éventuellement être limitée aux hôtes avec un TPM.

Dénomination du fournisseur de clés

vSphere utilise un nom de fournisseur de clés pour rechercher un identifiant de clé. Si deux fournisseurs de clés ont le même nom, vSphere suppose qu'ils sont équivalents et qu'ils ont accès aux mêmes clés. Chaque fournisseur de clés logique, quel que soit son type (fournisseur de clés standard, approuvé et natif), doit avoir un nom unique sur tous les systèmes vCenter Server.

Dans de rares cas, vous configurez le même fournisseur de clés sur plusieurs systèmes vCenter Server, de la manière suivante :

  • Migration de machines virtuelles chiffrées entre des systèmes vCenter Server
  • Configuration d'une instance de vCenter Server en tant que site de reprise