Seguire le procedure consigliate per la crittografia delle macchine virtuali per evitare problemi in un secondo momento, ad esempio quando si genera un bundle vm-support.
Procedure consigliate per iniziare a utilizzare la crittografia delle macchine virtuali
Per evitare problemi quando si utilizza la crittografia della macchina virtuale, seguire queste procedure consigliate generali.
- Non crittografare macchine virtuali dell'appliance vCenter Server.
- Se l'host ESXi non riesce, recuperare il bundle di supporto non appena possibile. La chiave dell'host deve essere disponibile per la generazione di un bundle di supporto che utilizza una password o per la decrittografia di un dump principale. Se l'host viene riavviato, è possibile che la chiave dell'host venga modificata. In tal caso, non è più possibile generare un bundle di supporto con una password o decrittografare i dump principali nel bundle di supporto con la chiave dell'host.
- Gestire attentamente i nomi dei provider di chiavi. Se il nome del provider di chiavi per un server di chiavi già in uso viene modificato, una macchina virtuale crittografata con le chiavi di tale server di chiavi passa allo stato bloccato durante l'accensione o la registrazione. In tal caso, rimuovere il server di chiavi da vCenter Server e aggiungerlo con il nome del provider di chiavi utilizzato inizialmente.
- Non modificare i file VMX e i file del descrittore VMDK. Questi file contengono il bundle di crittografia. È possibile che le modifiche apportate rendano la macchina virtuale non ripristinabile e che il problema di ripristino non possa essere risolto.
- Il processo di crittografia della macchina virtuale di vSphere crittografa i dati sull'host prima di scriverli nello storage. L'efficacia delle funzionalità di storage back-end, come la deduplicazione, la compressione, la replica e così via, potrebbe essere compromessa dalla crittografia delle macchine virtuali.
- L'utilizzo di più livelli di crittografia, ad esempio Crittografia della macchina virtuale vSphere e la crittografia in-guest (BitLocker, dm-crypt e così via), potrebbe influire sulle prestazioni complessive della macchina virtuale, poiché i processi di crittografia utilizzano risorse di CPU e memoria aggiuntive. .
- Assicurarsi che le copie replicate delle macchine virtuali crittografate con Crittografia della macchina virtuale vSphere abbiano accesso alle chiavi di crittografia nel sito di ripristino. Per i provider di chiavi standard, questa operazione viene gestita come parte della progettazione del sistema di gestione delle chiavi, all'esterno di vSphere. Per vSphere Native Key Provider, assicurarsi che esista una copia di backup della chiave del provider di chiavi native e che sia protetta contro la perdita. Per ulteriori informazioni, vedere Backup di un vSphere Native Key Provider.
- La crittografia fa un uso intensivo della CPU. AES-NI migliora significativamente le prestazioni della crittografia. Abilitare AES-NI nel BIOS.
Procedure consigliate per i dump principali crittografati
Applicare le seguenti procedure consigliate per evitare problemi quando si desidera esaminare un dump principale per diagnosticare un problema.
- Stabilire un criterio relativo ai dump principali. I dump principali sono crittografati perché possono contenere informazioni sensibili come le chiavi. Se si decrittografa un dump principale, considerarlo come un insieme di informazioni sensibili. I dump principali ESXi potrebbero contenere chiavi per l'host ESXi e per le macchine virtuali che contiene. È consigliabile modificare la chiave dell'host e crittografare nuovamente le macchine virtuali crittografate dopo aver decrittografato un dump principale. È possibile eseguire entrambe le attività tramite vSphere API.
Per i dettagli, consultare Crittografia delle macchine virtuali vSphere e dump principale.
- Utilizzare sempre una password quando si raccoglie un bundle vm-support. È possibile specificare la password quando si genera il bundle di supporto da vSphere Client oppure utilizzando il comando vm-support.
La password crittografa nuovamente i dump principali che utilizzano chiavi interne in modo che utilizzino chiavi basate sulla password. In un secondo momento, è possibile utilizzare la password per decrittografare tutti i dump principali crittografati che potrebbero essere inclusi nel bundle di supporto. I dump principali e i registri non crittografati non vengono coinvolti dall'utilizzo dell'opzione relativa alla password.
- La password specificata durante la creazione del bundle vm-support non viene conservata nei componenti di vSphere. È quindi necessario tenere traccia delle password per i bundle di supporto.
- Prima di modificare la chiave dell'host, generare un bundle vm-support con una password. In un secondo momento, è possibile utilizzare la password per accedere a tutti i dump principali che potrebbero essere stati crittografati con la vecchia chiave dell'host.
Procedure consigliate per la gestione del ciclo di vita delle chiavi
- È necessario creare criteri che garantiscano la disponibilità del server di chiavi.
Se il server di chiavi non è disponibile, non è possibile eseguire le operazioni della macchina virtuale che impongono a vCenter Server di richiedere la chiave al server di chiavi. Ciò significa che le macchine virtuali in esecuzione continuano a funzionare ed è possibile accendere, spegnere e riconfigurare tali macchine virtuali. Tuttavia, non è possibile trasferire la macchina virtuale in un host che non disponga delle informazioni sulla chiave.
La maggior parte delle soluzioni per server di chiavi includono funzionalità per l'alta disponibilità. È possibile utilizzare vSphere Client o l'API per specificare un provider di chiavi e i server di chiavi associati.
Nota: A partire dalla versione 7.0 Update 2, le macchine virtuali crittografate e i TPM virtuali possono continuare a funzionare anche quando il server di chiavi è temporaneamente offline o non disponibile. Gli host ESXi possono fare persistere le chiavi di crittografia per continuare le operazioni di crittografia e vTPM. Vedere Persistenza della chiave di vSphere negli host ESXi. - È necessario tenere traccia delle chiavi ed eseguire le correzioni se le chiavi per le macchine virtuali esistenti non hanno stato attivo.
Lo standard KMIP definisce i seguenti stati per le chiavi.
- Pre-attivo
- Attivo
- Disabilitato
- Compromesso
- Eliminato
- Compromesso eliminato
La crittografia della macchina virtuale vSphere utilizza solo chiavi attive per la crittografia. Se lo stato di una chiave è Pre-attivo, la crittografia della macchina virtuale vSphere la attiva. Se lo stato della chiave è Disabilitato, Compromesso Eliminato o Compromesso eliminato, non è possibile crittografare una macchina virtuale o un disco con tale chiave.
Per le chiavi con gli altri stati, le macchine virtuali che utilizzano tali chiavi continuano a funzionare. La corretta esecuzione di un'operazione di clonazione o migrazione dipende dal fatto che la loro chiave si trovi già nell'host.- Se la chiave si trova nell'host di destinazione, l'operazione riesce anche se la chiave non è attiva nel server di chiavi.
- Se le chiavi della macchina virtuale e del disco virtuale necessarie non si trovano nell'host di destinazione, vCenter Server deve recuperarle dal server di chiavi. Se lo stato della chiave è Disabilitato, Compromesso, Eliminato o Compromesso eliminato, vCenter Server visualizza un errore e l'operazione non riesce.
Un'operazione di clonazione o migrazione viene eseguita correttamente se la chiave è già nell'host. L'operazione non riesce se vCenter Server deve estrarre le chiavi dal server di chiavi.
Se una chiave non è attiva, eseguire un'operazione di ridefinizione della chiave utilizzando l'API. Vedere la Guida alla programmazione di vSphere Web Services SDK.
- Sviluppare criteri di rotazione delle chiavi in modo che le chiavi vengano ritirate e sottoposte a rollover dopo un intervallo di tempo specifico.
- Provider di chiavi attendibile: modificare la chiave primaria di un provider di chiavi attendibile.
- vSphere Native Key Provider: modificare il valore di
key_id
di un vSphere Native Key Provider.
Procedure consigliate per il backup e il ripristino
- Non tutte le architetture di backup sono supportate. Vedere Interoperabilità della crittografia delle macchine virtuali.
- Configurare i criteri per le operazioni di ripristino. Poiché il backup viene sempre eseguito con testo non crittografato, pianificare la crittografia delle macchine virtuali subito dopo il completamento del ripristino. È possibile specificare che la macchina virtuale è crittografata come parte dell'operazione di ripristino. Se possibile, crittografare la macchina virtuale come parte del processo di ripristino per evitare l'esposizione di informazioni sensibili. Per modificare il criterio di crittografia per tutti i dischi associati alla macchina virtuale, modificare il criterio di storage per il disco.
- Poiché i file della Home della macchina virtuale sono crittografati, assicurarsi che le chiavi di crittografia siano disponibili al momento di un ripristino.
Procedure consigliate per le prestazioni della crittografia
- Le prestazioni della crittografia dipendono dalla CPU e dalla velocità di storage.
- La crittografia di una macchina virtuale esistente richiede più tempo rispetto a quella di una macchina virtuale durante la sua creazione. Se possibile, crittografare una macchina virtuale quando viene creata.
Procedure consigliate per il criterio di storage campione
Per informazioni dettagliate sulla personalizzazione dei criteri di storage, vedere la documentazione Storage di vSphere.
Procedure consigliate per la rimozione delle chiavi di crittografia
Per assicurarsi che le chiavi di crittografia vengano rimosse da un cluster, dopo aver eliminato una macchina virtuale crittografata, averne annullato la registrazione o averla spostata in un altro vCenter Server, riavviare gli host ESXi nel cluster.