PowerProtect: Protección con cifrado de máquina virtual (VM) de VMware vSphere

Información preliminar

El cifrado de datos en reposo es una medida de seguridad crítica diseñada para proteger la información confidencial almacenada en discos u otros medios de almacenamiento. La implementación del cifrado de datos en reposo se realiza con el cifrado de VM de VMware vSphere, una característica que proporciona cifrado para la VM, los archivos asociados, los discos virtuales y las instantáneas. El proceso de cifrado se produce en el nivel del hipervisor, lo que garantiza que todos los datos dentro de una VM estén cifrados. El cifrado de VM se basa en proveedores de claves para almacenar y administrar de manera segura las claves de cifrado. Esta separación de claves del hipervisor mejora la seguridad. Entre los proveedores de claves disponibles, se suelen utilizar el proveedor de claves nativo de VMware y el proveedor de claves estándar.

Configuración de PowerProtect

No hay ajustes de configuración específicos para habilitar o deshabilitar el cifrado de VM y los ajustes se toman del entorno de VMware vSphere. Los detalles que se presentan a continuación proporcionan orientación sobre los proveedores de claves que se pueden utilizar, cómo habilitar o deshabilitar el cifrado y cómo comprobar la configuración de cifrado. Esta información se proporciona solo para fines de orientación y información general. Se recomienda consultar la documentación de VMware de la versión específica antes de intentar realizar cualquier cambio.

Proveedor de claves nativo

1. Visión general:

 VMware vSphere Native Key Provider es una solución integrada de administración de claves para cifrar discos de máquinas virtuales y entidades de almacenamiento.

2. Características:

• Integración durante la implementación con entornos VMware vSphere
• Disponible en vSphere 7.0 actualización 2 y versiones posteriores
• Configuración rápida: No se requiere ningún servidor de claves externo.

 3. Pasos para agregar un proveedor de claves nativo:

1. Inicie sesión en VMware vSphere, navegue por Inventory, seleccione el vCenter Server y haga clic en "Configure," y bajo "Security," Haga clic en "Key Providers."
2. Haga clic en Agregar y seleccione "Add Native Key Provider," Complete la información necesaria y haga clic en "ADD KEY PROVIDER."
3. Marca la casilla "Use key provider only with TPM protected ESXi hosts (Recommended)" si hay un módulo de plataforma segura (TPM) 2.0 disponible y configurado en el host.
4. A continuación, seleccione la clave agregada y haga clic en "Back-UP."
5. Marca la casilla "Protect Native Key Provider data with password (Recommended)" y haga clic en el botón "Back UP KEY PROVIDER" para crear la contraseña.
6. Introduzca una contraseña, compruebe que el "password is saved in a secure place," y haga clic en Back Up Key Provider.
7. El resultado es un archivo p12, que se guarda automáticamente en el directorio de descargas.

Proveedor de claves estándar

1. Visión general:

El proveedor de claves estándar es una opción versátil que permite la integración con soluciones de administración de claves externas.

2. Características:

• Integración externa: Admite la integración con soluciones de administración de claves de otros fabricantes
• Requisito de VMware: Disponible en VMware vSphere 6.5 y versiones posteriores
• Personalización: Permite la personalización de políticas de administración de claves en función de las necesidades organizacionales

3. Pasos para agregar un proveedor de claves estándar (mediante el certificado de KMS y la clave privada):

Para agregar un proveedor de claves a vCenter Server y establecer una relación de confianza entre vCenter Server y KMS, siga estos pasos:

1. Conéctese a vSphere Client, seleccione vCenter Server y haga clic en "Configure," y bajo "Security," Haga clic en "Key Providers."
2. Haga clic en "Add Standard Key Provider" e ingrese la información del proveedor clave (nombre y detalles de KMS).
3. Haga clic en "ADD KEY PROVIDER," A continuación, haga clic en "TRUST" para establecer la confianza entre el vCenter Server y KMS.
4. Configure el KMS para que confíe en vCenter Server.
5. Seleccione el proveedor de claves agregado y, a continuación, seleccione el KMS para establecer la confianza; Seleccionar "Make KMS trust vCenter" De la "ESTABLISH TRUST" y siga los pasos para cargar el certificado KMS y la clave privada.
6. Una vez finalizada la carga, haga clic en "ESTABLISH TRUST." En la interfaz de usuario de, se muestra que KMS está conectado a vCenter Server.

Prueba de los resultados del cifrado de VM de VMware® vSphere® con PowerProtect

Se realizaron pruebas para garantizar el estado operativo de PowerProtect después de habilitar el cifrado de VM en VMware vSphere. Ambos proveedores clave se utilizaron durante el proceso de prueba. El estado inicial de la VM era sin cifrar y se realizaron los siguientes pasos para cifrarla. Luego, se verificó la funcionalidad de PowerProtect.

Caso de prueba 1: Verificación del estado operativo de PowerProtect después de habilitar el cifrado de VM con el proveedor

de claves nativoDetalles del entorno:

• PowerProtect independiente
• Versión de VMware vSphere Client: 7.0.3.00500
• Hipervisor: VMware ESXi, 7.0.3, 21930508
• TPM no está disponible en el host ESXi.

El host debe estar dentro del clúster. Agregue el proveedor de claves nativo siguiendo los pasos descritos en "Pasos para agregar un proveedor de claves nativo". Se garantizaron los privilegios criptográficos adecuados y la compatibilidad de la versión del host antes de continuar con el cifrado Configure la clave agregada como predeterminada. A continuación, la máquina virtual existente se cifró mediante la edición de las políticas de máquina virtual. Después de encender la VM, confirmó el estado operativo de PowerProtect mediante la adición de orígenes de recursos, políticas de protección y trabajos en ejecución.

Caso de prueba 2: Verificación del estado operativo de PowerProtect después de habilitar el cifrado de VM con el proveedor de llaves estándar

Detalles del entorno:

• Versión de VMware vSphere Client: 7.0.3.00500
• PowerProtect independiente
• Tipo de servidor KMS: Keysecure
• Clase de clave de KMS: ppdmdal
• Cumple con el protocolo de interoperabilidad de administración de claves (KMIP) 1.1

Se agregó el proveedor de claves estándar siguiendo los pasos descritos en la sección "Pasos para agregar un proveedor de claves estándar". Asegúrese de que los privilegios criptográficos adecuados estén disponibles en vCenter antes de continuar con el cifrado. El KMS se configuró correctamente en vCenter y se agregó la clave predeterminada. La VM se cifró con la clave predeterminada y, a continuación, se verificó el estado operativo de PowerProtect.

Las pruebas de rendimiento se realizaron en la VM cifrada con el proveedor de claves nativo. 
Las pruebas se realizaron en una cantidad y un tipo de activos diferentes. A continuación, se registraron la duración y el rendimiento de PowerProtect con y sin cifrado. Se observó que no hay un impacto importante en el rendimiento (con y sin cifrado)
Los resultados indican que PowerProtect sigue funcionando después del cifrado, lo que demuestra la integración del cifrado en el entorno VMware. 

Limitación y recordatorios

Administración eficiente de claves de cifrado

• La administración eficiente de las claves de cifrado es crucial para la seguridad general de su entorno. Implemente procedimientos sólidos de respaldo y recuperación para mitigar el riesgo de pérdida accidental de claves de cifrado, lo que podría provocar la pérdida de datos.

Configuración y accesibilidad del servidor KMIP

• Garantice la configuración y la accesibilidad adecuadas del servidor del protocolo de interoperabilidad de administración de claves (KMIP) desde la infraestructura de VMware. Esto es esencial para el buen funcionamiento de los procesos de cifrado y para mantener la integridad de la administración de claves.

Posibles impactos en el rendimiento de las VM

• Tenga en cuenta los posibles impactos en el rendimiento de la máquina virtual (VM) durante el proceso de cifrado. Es aconsejable evaluar y comprender la posible utilización de recursos y las implicaciones de rendimiento para garantizar un funcionamiento equilibrado y óptimo.