In base al provider di chiavi utilizzato, un server chiavi esterno, il sistema vCenter Server e gli host di ESXi contribuiscono potenzialmente alla soluzione di crittografia.
I seguenti componenti includono Crittografia della macchina virtuale vSphere:
- Un server chiavi esterno, denominato anche KMS (non necessario per vSphere Native Key Provider)
- vCenter Server
- ESXi host
Ruolo di un server chiave in Crittografia della macchina virtuale vSphere
Il server chiavi è un server di gestione Key Management Interoperability Protocol (KMIP) associato a un provider di chiavi. Un provider di chiavi standard e un provider di chiavi attendibile richiedono un server chiavi. vSphere Native Key Provider non richiede un server chiavi. La seguente tabella descrive le differenze tra il provider di chiavi e l'interazione con il server chiavi.
Provider di chiavi | Interazione con il server chiavi |
---|---|
Provider di chiavi standard | Un provider di chiavi standard utilizza vCenter Server per richiedere chiavi da un server chiavi. Il server chiavi genera e archivia le chiavi e le trasmette a vCenter Server per la distribuzione agli host ESXi. |
Provider di chiavi attendibile | Un provider di chiavi attendibile utilizza un Servizio del provider di chiavi che consente agli host ESXi attendibili di recuperare direttamente le chiavi. Vedere Che cos'è il servizio del provider di chiavi vSphere Trust Authority?. |
vSphere Native Key Provider | vSphere Native Key Provider non richiede un server chiavi. vCenter Server genera una chiave primaria ed esegue il push agli host ESXi. Gli host ESXi generano quindi chiavi di crittografia dei dati (anche quando non sono connessi a vCenter Server). Vedere Panoramica di vSphere Native Key Provider. |
È possibile utilizzare il vSphere Client o il vSphere API per aggiungere istanze del provider di chiavi al sistema vCenter Server. Se si utilizzano diverse istanze del provider di chiavi, tutte le istanze devono appartenere allo stesso fornitore e devono replicare le chiavi.
Se l'ambiente utilizza fornitori di server chiavi differenti in ambienti diversi, è possibile aggiungere un provider di chiavi per ciascun server chiavi e specificare un provider di chiavi predefinito. Il primo provider di chiavi aggiunto diventa il provider di chiavi predefinito. È possibile specificare in modo esplicito il valore predefinito in un secondo momento.
In qualità di client KMIP, vCenter Server utilizza il protocollo Key Management Interoperability Protocol (KMIP) per semplificare l'utilizzo del server chiavi preferito.
Ruolo di vCenter Server nella Crittografia della macchina virtuale vSphere
La seguente tabella descrive il ruolo di vCenter Server nel processo di crittografia.
Provider di chiavi | Ruolo di vCenter Server | Come vengono controllati i privilegi |
---|---|---|
Provider di chiavi standard | Solo vCenter Server dispone delle credenziali per accedere al server chiavi. Gli host ESXi non dispongono di tali credenziali. vCenter Server ottiene le chiavi dal server chiavi ed esegue il push agli host ESXi. vCenter Server non archivia le chiavi del server chiavi, ma conserva un elenco di ID delle chiavi. | vCenter Server verifica i privilegi degli utenti che eseguono operazioni crittografiche. |
Provider di chiavi attendibile | vSphere Trust Authority rimuove la necessità per vCenter Server di richiedere le chiavi dal server chiavi e rende l'accesso alle chiavi di crittografia condizionale allo stato di attestazione di un cluster del carico di lavoro. È necessario utilizzare sistemi vCenter Server separati per il cluster attendibile e il cluster Trust Authority. | vCenter Server verifica i privilegi degli utenti che eseguono operazioni crittografiche. Solo gli utenti che sono membri del gruppo SSO TrustedAdmins possono eseguire operazioni amministrative. |
vSphere Native Key Provider | Il vCenter Server genera le chiavi. | vCenter Server verifica i privilegi degli utenti che eseguono operazioni crittografiche. |
È possibile utilizzare il vSphere Client per assegnare privilegi di operazione crittografica o per assegnare lil ruolo personalizzato Amministratore senza crittografia ai gruppi di utenti. Vedere Prerequisiti e privilegi necessari per le attività di crittografia della macchina virtuale.
vCenter Server aggiunge gli eventi di crittografia all'elenco di eventi che è possibile visualizzare ed esportare dalla Console dell'evento di vSphere Client. Ogni evento include l'utente, l'ora, l'ID chiave e l'operazione crittografica.
Le chiavi provenienti dal server chiavi vengono utilizzate come chiavi di crittografia principale (KEK).
Ruolo degli host ESXi nella Crittografia della macchina virtuale vSphere
Gli host ESXi sono responsabili di diversi aspetti del workflow di crittografia.
Provider di chiavi | Aspetti dell'host ESXi |
---|---|
Provider di chiavi standard |
|
Provider di chiavi attendibile | Gli host di ESXi eseguono i servizi di vSphere Trust Authority, a seconda che siano Host attendibili o Host Trust Authority. Gli host di ESXi attendibili eseguono macchine virtuali del carico di lavoro che è possibile crittografare utilizzando i provider di chiavi pubblicati dagli Host Trust Authority. Vedere Infrastruttura attendibile di vSphere Trust Authority. |
vSphere Native Key Provider | Gli host di ESXi recuperano le chiavi direttamente dal vSphere Native Key Provider. |
Le chiavi generate dall'host ESXi sono denominate chiavi interne in questo documento. Esse fungono in genere da chiavi di crittografia dei dati (DEK).