In vSphere 7.0 Update 2 e versioni successive, è possibile utilizzare vSphere Native Key Provider integrato per abilitare le tecnologie di crittografia, ad esempio TPM virtuali (vTPM).
vSphere Native Key Provider è incluso in tutte le versioni di vSphere e non richiede un server di chiavi esterno, denominato anche Key Management Server (KMS) nel settore. È inoltre possibile utilizzare vSphere Native Key Provider per la crittografia della macchina virtuale vSphere, ma in questo caso è necessario acquistare VMware vSphere® Enterprise Plus Edition™.
Che cos'è vSphere Native Key Provider
Con un provider di chiavi standard o un provider di chiavi attendibile, è necessario configurare un server di chiavi esterno. Nella configurazione di un provider di chiavi standard, vCenter Server recupera le chiavi dal server di chiavi esterno e le distribuisce agli host ESXi. Nella configurazione di un provider di chiavi attendibile (vSphere Trust Authority), gli host ESXi attendibili recuperano direttamente le chiavi.
Con vSphere Native Key Provider, non è più necessario utilizzare un server di chiavi esterno. vCenter Server genera una chiave primaria, denominata Key Derivation Key (KDK) e ne esegue il push in tutti gli host ESXi presenti nel cluster. Gli host ESXi generano quindi le chiavi di crittografia dei dati (anche quando non sono connessi a vCenter Server) per abilitare funzionalità di sicurezza come vTPM. La funzionalità vTPM è inclusa in tutte le edizioni vSphere. Per utilizzare vSphere Native Key Provider per la crittografia della macchina virtuale vSphere, è necessario aver acquistato vSphere Enterprise Plus Edition. vSphere Native Key Provider può coesistere con l'infrastruttura di un server di chiavi esistente.
vSphere Native Key Provider:
- Consente l'uso di vTPM, della crittografia della macchina virtuale vSphere e dei dati inattivi vSAN, quando non è necessario o non si desidera un server di chiavi esterno.
- Funziona solo con i prodotti VMware Infrastructure.
- Non fornisce interoperabilità esterna, supporto di KMIP, moduli di sicurezza hardware o altre funzionalità che un server di chiavi esterno tradizionale di terze parti può offrire per l'interoperabilità o la conformità normativa. Se l'organizzazione richiede questa funzionalità per i prodotti e i componenti non VMware, installare un server di chiavi di terze parti tradizionale.
- Consente di soddisfare le esigenze delle organizzazioni che non possono o non desiderano utilizzare un server di chiavi esterno.
- Migliora le procedure di sanificazione dei dati e di riutilizzo del sistema consentendo l'uso anticipato delle tecnologie di crittografia sui supporti che è difficile sanificare, ad esempio flash e SSD.
- Fornisce un percorso di transizione tra i provider di chiavi. vSphere Native Key Provider è compatibile con il provider di chiavi standard VMware e il provider di chiavi attendibile vSphere Trust Authority.
- Funziona con più sistemi vCenter Server utilizzando una configurazione della modalità collegata avanzata o una configurazione di vCenter Server ad alta disponibilità.
- Può essere utilizzato per abilitare vTPM in tutte le versioni di vSphere e crittografare le macchine virtuali con l'acquisto di vSphere Enterprise Plus Edition che include la crittografia della macchina virtuale vSphere. La crittografia della macchina virtuale vSphere funziona con vSphere Native Key Provider come con i provider di chiavi standard e attendibile di VMware.
- Può essere utilizzato per abilitare la crittografia dei dati inattivi vSAN con l'uso di una licenza di vSAN appropriata.
- Può utilizzare un Trusted Platform Module (TPM) 2.0 per aumentare la sicurezza quando ne è installato uno in un host ESXi. È inoltre possibile configurare vSphere Native Key Provider in modo che sia disponibile solo per gli host in cui è installato un TPM 2.0. Se si utilizza un TPM, deve essere TPM 2.0. vSphere Native Key Provider non supporta TPM 1.2.
Come per tutte le soluzioni di sicurezza, tenere presenti la progettazione del sistema, le considerazioni sull'implementazione e i compromessi correlati all'utilizzo di Native Key Provider. Ad esempio, la persistenza della chiave di ESXi evita che la dipendenza da un server di chiavi sia sempre disponibile. Tuttavia, poiché la persistenza della chiave archivia le informazioni crittografiche di Native Key Provider negli host in cluster, si è ancora a rischio se utenti malintenzionati rubano gli host ESXi stessi. Poiché gli ambienti sono diversi, valutare e implementare i controlli di sicurezza in base alle esigenze normative e di sicurezza, ai requisiti operativi e alla tolleranza al rischio dell'organizzazione.
Per ulteriori informazioni su vSphere Native Key Provider, vedere https://core.vmware.com/native-key-provider.
Requisiti di vSphere Native Key Provider
Per utilizzare vSphere Native Key Provider, è necessario:
- Verificare che sia nel sistema vCenter Server sia negli host ESXi sia in esecuzione vSphere 7.0 Update 2 o versione successiva.
- Configurare gli host ESXi in un cluster.
- Anche se non è necessario, è consigliabile utilizzare host ESXi il più identici possibile, inclusi i TPM. La gestione del cluster e l'abilitazione delle funzionalità sono molto più semplici quando gli host del cluster sono identici.
- Configurare il backup e il ripristino basati su file di vCenter Server e archiviare i backup in modo sicuro, perché contengono la chiave KDK (Key Derivation Key). Vedere l'argomento relativo al backup e al ripristino di vCenter Server nella documentazione Installazione e configurazione di vCenter Server.
Per eseguire la crittografia della macchina virtuale vSphere o la crittografia di vSAN tramite vSphere Native Key Provider, è necessario acquistare l'edizione di tali prodotti contenente la licenza appropriata.
vSphere Native Key Provider e la modalità collegata avanzata
È possibile configurare un unico vSphere Native Key Provider che sia condivisibile tra sistemi vCenter Server configurati con la modalità collegata avanzata. I passaggi generali da eseguire in questo scenario sono:
- Creazione di vSphere Native Key Provider in uno dei sistemi vCenter Server
- Backup di Native Key Provider nel vCenter Server in cui è stato creato
- Esportazione di Native Key Provider
- Ripristino di Native Key Provider negli altri sistemi vCenter Server nella configurazione con modalità collegata avanzata (vedere Ripristino di un vSphere Native Key Provider mediante vSphere Client)
Privilegi di vSphere Native Key Provider
Come per i provider di chiavi standard e attendibile, vSphere Native Key Provider utilizza i privilegi Cryptographer.*privilegi . Inoltre, vSphere Native Key Provider utilizza il privilegio Cryptographer.ReadKeyServersInfo, specifico dei vSphere Native Key Provider, per elencare i vSphere Native Key Provider. Vedere Privilegi delle operazioni crittografiche.
Allarmi di vSphere Native Key Provider
È necessario eseguire il backup di vSphere Native Key Provider. Quando non si esegue il backup di vSphere Native Key Provider, vCenter Server genera un allarme. Quando si esegue il backup del vSphere Native Key Provider per cui è stato generato un allarme, vCenter Server reimposta l'allarme. Per impostazione predefinita, vCenter Server verifica la presenza di backup di vSphere Native Key Provider una volta al giorno. È possibile cambiare l'intervallo di verifica modificando l'opzione vpxd.KMS.backupCheckInterval.
Controllo della correzione periodica di vSphere Native Key Provider
vCenter Server verifica periodicamente che la configurazione di vSphere Native Key Provider in vCenter Server corrisponda a quella negli host ESXi. Quando lo stato di un host cambia, ad esempio quando si aggiunge un host nel cluster, la configurazione del provider di chiavi nel cluster è diversa dalla configurazione nell'host. Se la configurazione (keyID) è diversa nell'host, vCenter Server aggiorna automaticamente la configurazione dell'host. Non è necessario intervenire manualmente.
Per impostazione predefinita, vCenter Server verifica la configurazione ogni cinque minuti. È possibile modificare l'intervallo utilizzando l'opzione vpxd.KMS.remediationInterval.
Utilizzo di vSphere Native Key Provider con un sito di Disaster Recovery
È possibile utilizzare vSphere Native Key Provider con un sito di ripristino di emergenza di backup. Importando il backup di vSphere Native Key Provider dal vCenter Server primario al backup vCenter Server al sito di Ripristino di emergenza consente a tale cluster di decrittografare ed eseguire le macchine virtuali crittografate.
È consigliabile testare sempre la soluzione di DR. Mai presumere che la soluzione funzioni senza provare a eseguire un ripristino. Assicurarsi che sia disponibile una copia del backup di vSphere Native Key Provider anche per il sito di DR.
Funzionalità non supportate in vSphere Native Key Provider
Al momento, vSphere Native Key Provider non supporta:
- Crittografia First Class Disk (FCD)
Migrazione delle macchine virtuali mediante vSphere Native Key Provider in sistemi vCenter Server non collegati
I passaggi generali per eseguire la migrazione di una macchina virtuale, crittografata o abilitata con un vTPM tramite vSphere Native Key Provider, da un sistema vCenter Server non collegato a un altro, includono:
- Ripristino di vSphere Native Key Provider nel sistema a cui eseguire la migrazione vCenter Server.
- Migrazione della macchina virtuale tramite vMotion.