Dopo aver configurato un provider di chiavi, gli utenti con i privilegi necessari possono creare macchine virtuali e dischi crittografati. Tali utenti possono inoltre crittografare macchine virtuali esistenti e decrittografare macchine virtuali crittografate, nonché aggiungere Trusted Platform Module virtuali (vTPM) alle macchine virtuali.
In base al tipo di provider di chiavi, il flusso del processo può coinvolgere un server chiave, vCenter Server e l'host ESXi.
Flusso del processo di crittografia del provider di chiavi standard
- Quando l'utente esegue un'attività di crittografia, ad esempio la creazione di una macchina virtuale crittografata, vCenter Server richiede una nuova chiave dal server delle chiavi predefinito. Questa chiave viene utilizzata come KEK.
- vCenter Server archivia l'ID della chiave e passa la chiave all'host ESXi. Se l'host ESXi fa parte di un cluster, vCenter Server invia la chiave KEK a ciascun host del cluster.
La chiave stessa non viene archiviata nel sistema di vCenter Server. È noto solo l'ID della chiave.
- L'host ESXi genera chiavi interne (DEK) per la macchina virtuale e i relativi dischi. Mantiene le chiavi interne solo nella memoria e usa le chiavi KEK per crittografare le chiavi interne.
Le chiavi interne non crittografate non vengono mai archiviate sul disco. Vengono archiviati solo i dati crittografati. Poiché le KEK provengono dal server delle chiavi, l'host continua a utilizzare le stesse KEK.
- L'host ESXi crittografa la macchina virtuale con la chiave interna crittografata.
Tutti gli host che dispongono della KEK e che possono accedere al file della chiave crittografata possono eseguire operazioni sulla macchina virtuale o sul disco crittografato.
Flusso del processo di crittografia del provider di chiavi attendibili
Il flusso del processo di crittografia vSphere Trust Authority include i servizi vSphere Trust Authority, i provider di chiavi attendibili, vCenter Server e gli host ESXi.
La crittografia di una macchina virtuale con un provider di chiavi attendibile corrisponde all'esperienza utente di crittografia della macchina virtuale quando si utilizza un provider di chiavi standard. La crittografia della macchina virtuale in vSphere Trust Authority continua a fare affidamento sui criteri di storage della crittografia della macchina virtuale o sulla presenza di un dispositivo vTPM per decidere quando crittografare una macchina virtuale. Si utilizza ancora un provider di chiavi configurato predefinito (denominato cluster KMS in vSphere 6.5 e 6.7) durante la crittografia di una macchina virtuale da vSphere Client. Inoltre, è comunque possibile utilizzare le API in modo simile per specificare manualmente il provider di chiavi. I privilegi di crittografia esistenti aggiunti per vSphere 6.5 sono ancora pertinenti in vSphere 7.0 e versioni successive per vSphere Trust Authority.
Il processo di crittografia per il provider di chiavi attendibili presenta alcune importanti differenze rispetto al provider di chiavi standard:
-
Gli amministratori Trust Authority non specificano le informazioni direttamente quando configurano un server chiavi per un'istanza di vCenter Server e non stabiliscono l'attendibilità del server chiavi. Al contrario, vSphere Trust Authority pubblica i provider di chiavi attendibili che gli host attendibili possono utilizzare.
- vCenter Server non invia più le chiavi agli host ESXi e può gestire ciascun provider di chiavi attendibili come un'unica chiave di primo livello.
- Solo gli host attendibili possono richiedere operazioni di crittografia dagli host Trust Authority.
Flusso del processo di crittografia di vSphere Native Key Provider
vSphere Native Key Provider è incluso in vSphere 7.0 Update 2 e versioni successive. Quando si configura un vSphere Native Key Provider, vCenter Server invia una chiave primaria a tutti gli host ESXi nel cluster. Allo stesso modo, se si aggiorna o si elimina un vSphere Native Key Provider, la modifica viene inviata agli host del cluster. Il flusso del processo di crittografia è simile al funzionamento di un provider di chiavi attendibile. La differenza è che vSphere Native Key Provider genera le chiavi e ne esegue il wrapping con la chiave primaria, quindi le restituisce per eseguire la crittografia.
Attributi personalizzati per i server chiavi
Il protocollo KMIP (Key Management Interoperability Protocol) supporta l'aggiunta di attributi personalizzati destinati a scopi specifici del vendor. Gli attributi personalizzati consentono di identificare più specificamente le chiavi archiviate nel server chiavi. vCenter Server aggiunge i seguenti attributi personalizzati per le chiavi delle macchine virtuali e le chiavi host.
| Attributo personalizzato | Valore |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Versione di vCenter Server |
x-Component |
Macchina virtuale |
x-Name |
Nome della macchina virtuale (raccolto da ConfigInfo o ConfigSpec) |
x-Identifier |
InstanceUuid della macchina virtuale (raccolto da ConfigInfo o ConfigSpec) |
| Attributo personalizzato | Valore |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
Versione di vCenter Server |
x-Component |
Server ESXi |
x-Name |
Nome host |
x-Identifier |
UUID hardware dell'host |
vCenter Server aggiunge gli attributi x-Vendor, x-Product e x-Product_Version quando il server chiavi crea una chiave. Quando la chiave viene utilizzata per crittografare una macchina virtuale o un host, vCenter Server imposta gli attributi x-Component, x-Identifier e x-Name. È possibile visualizzare questi attributi personalizzati nell'interfaccia utente del server chiavi. Consultare il vendor del server chiavi.
La chiave host e la chiave della macchina virtuale hanno entrambe i sei attributi personalizzati. x-Vendor, x-Product e x-Product_Version potrebbero coincidere per entrambe le chiavi. Questi attributi vengono impostati quando la chiave viene generata. In base all'utilizzo della chiave, per una macchina virtuale o per un host, potrebbero essere presenti attributi x-Component, x-Identifier e x-Name.
Errori delle chiavi di crittografia
Quando si verifica un errore durante l'invio di chiavi dal server chiavi a un host ESXi, vCenter Server genera un messaggio nel registro eventi per i seguenti eventi:
- L'aggiunta di chiavi all'host ESXi non è riuscita a causa di problemi di connessione dell'host o di supporto dell'host.
- Il recupero delle chiavi dal server chiavi non è riuscito perché la chiave non è presente nel server chiavi.
- Il recupero delle chiavi dal server chiavi non è riuscito a causa della connessione del server chiavi.
Decrittografia di macchine virtuali crittografate
Se in un secondo momento si desidera decrittografare una macchina virtuale crittografata, è necessario modificarne il criterio di storage. È possibile modificare il criterio di storage per la macchina virtuale e tutti i dischi. Se si desidera decrittografare i singoli componenti, decrittografare innanzitutto i dischi selezionati, quindi decrittografare la macchina virtuale modificando il criterio di storage per la home della macchina virtuale. Per la decrittografia di ciascun componente, sono necessarie entrambe le chiavi. Vedere Decrittografia di una macchina virtuale o di un disco virtuale crittografati.
