vSphere IaaS control planeSécurité

vSphere IaaS control plane exploite les fonctionnalités de sécurité vSphere et provisionne des clusters Tanzu Kubernetes Grid sécurisés par défaut.

vSphere IaaS control plane est un module complémentaire pour vSphere capable d'exploiter les fonctionnalités de sécurité intégrées dans vCenter Server et ESXi. Pour plus d'informations, reportez-vous à la documentation Sécurité vSphere.

L'instance de Superviseur chiffre tous les secrets stockés dans la base de données (etcd). Les secrets sont chiffrés à l'aide d'un fichier de clé de chiffrement local, qui est fourni au démarrage par le système vCenter Server. La clé de déchiffrement est stockée dans la mémoire (tempfs) sur les nœuds du Superviseur et sur le disque sous forme chiffrée dans la base de données du système vCenter Server. La clé est disponible en texte clair pour les utilisateurs racine de chaque système. Les secrets détenus dans la base de données de chaque cluster de charge de travail sont stockés en texte clair. Toutes les connexions etcd sont authentifiées avec des certificats générés lors de l'installation et alternés lors des mises à niveau. La rotation ou la mise à jour manuelle des certificats n'est actuellement pas possible. Le même modèle de chiffrement s'applique aux données de la base de données (etcd) qui est installée sur le plan de contrôle pour chaque cluster Tanzu Kubernetes Grid.

Dans Superviseur, vous pouvez exécuter des Espaces vSphere confidentiels sur des systèmes compatibles. Vous pouvez configurer des Espaces vSphere confidentiels en ajoutant la fonctionnalité SEV-ES (Secure Encrypted Virtualization-Encrypted State) comme amélioration de la sécurité. Pour plus d'informations, reportez-vous à la section Déployer un espace confidentiel vSphere dans Services et charges de travail du plan de contrôle IaaS vSphere.

Un cluster Tanzu Kubernetes Grid est sécurisé par défaut. Un PodSecurityPolicy (PSP) restrictif est disponible pour tout cluster Tanzu Kubernetes Grid. Si les développeurs doivent exécuter des espaces privilégiés ou des conteneurs racines, au moins un administrateur de cluster doit créer un RoleBinding qui accorde à l'utilisateur l'accès au PSP privilégié par défaut. Pour plus d'informations, consultez Utilisation du service TKG avec le plan de contrôle IaaS vSphere.

Un cluster Tanzu Kubernetes Grid n'a pas d'informations d'identification d'infrastructure. Les informations d'identification stockées dans un cluster Tanzu Kubernetes Grid sont suffisantes pour accéder à l'Espace de noms vSphere sur lequel le cluster Tanzu Kubernetes Grid est locataire. Par conséquent, il n'y a pas de réaffectation des privilèges pour les opérateurs ou les utilisateurs du cluster.

Le jeton d'authentification utilisé pour accéder à un cluster Tanzu Kubernetes Grid dispose d'une étendue ne lui permettant pas de donner accès aux clusters Superviseur ou Tanzu Kubernetes Grid. Cela empêche les opérateurs de cluster, ou les individus qui peuvent tenter de compromettre un cluster, d'utiliser leur accès de niveau racine pour capturer le jeton d'un administrateur vSphere lorsqu'ils se connectent à un cluster Tanzu Kubernetes Grid.