PowerProtect : Protection avec chiffrement des machines virtuelles (VM) VMware vSphere

Summary: Cet article guide les lecteurs tout au long du processus de mise en œuvre du chiffrement des machines virtuelles (VM) VMware vSphere à l’aide du fournisseur de clés natif ou standard. L’accent est mis sur l’activation du chiffrement au repos pour PowerProtect. Le contenu couvre l’arrière-plan du chiffrement des données au repos, ainsi que des détails sur le fournisseur de clés natives et standard de VMware vSphere. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Informations

Le chiffrement des données au repos est une mesure de sécurité essentielle conçue pour protéger les données sensibles stockées sur le disque ou tout autre support de stockage. La mise en œuvre du chiffrement des données au repos s’effectue avec le chiffrement de machine virtuelle VMware vSphere, une fonctionnalité qui assure le chiffrement de la machine virtuelle, des fichiers associés, des disques virtuels et des snapshots. Le processus de chiffrement se produit au niveau de l’hyperviseur, ce qui garantit que toutes les données d’une machine virtuelle sont chiffrées. VM Encryption s’appuie sur un fournisseur de clés pour stocker et gérer les clés de chiffrement en toute sécurité. Cette séparation des clés de l’hyperviseur renforce la sécurité. Parmi les fournisseurs de clés disponibles, les fournisseurs de clés VMware Native Key Provider et Standard Key Provider sont les plus couramment utilisés.

PowerProtect Configuration

Il n’existe aucun paramètre de configuration spécifique permettant d’activer ou de désactiver le chiffrement des machines virtuelles et les paramètres proviennent de l’environnement VMware vSphere. Les détails ci-dessous fournissent des conseils sur les fournisseurs de clés qui peuvent être utilisés, sur la façon d’activer ou de désactiver le chiffrement et sur la façon de vérifier les paramètres de chiffrement. Ces informations sont fournies à titre d’information générale uniquement. Il est recommandé de consulter la documentation VMware correspondant à la version spécifique avant toute tentative de modification.

Fournisseur de clés natif

1. Vue d’ensemble :

 VMware vSphere Native Key Provider est une solution de gestion des clés intégrée pour le chiffrement des disques de machines virtuelles et des entités de stockage.

2. Caractéristiques :

  • Intégration lors de l’implémentation avec les environnements VMware vSphere
  • Disponible dans vSphere 7.0 Update 2 et versions supérieures
  • Installation rapide : Aucun serveur de clés externe n’est requis.

 3. Étapes à suivre pour ajouter un fournisseur de clés natif :

  1. Connectez-vous à VMware vSphere, parcourez Inventory, sélectionnez le vCenter Server, puis cliquez sur "Configure," et sous "Security," Cliquez sur "Key Providers."
  2. Cliquez sur Add, puis sélectionnez "Add Native Key Provider," Renseignez les informations requises, puis cliquez sur "ADD KEY PROVIDER."
  3. Cochez la case "Use key provider only with TPM protected ESXi hosts (Recommended)" si un module TPM (Trusted Platform Module) 2.0 est disponible et configuré sur l’hôte.
  4. Sélectionnez ensuite la clé ajoutée, puis cliquez sur "Back-UP."
  5. Cochez la case "Protect Native Key Provider data with password (Recommended)" et cliquez sur l’icône "Back UP KEY PROVIDER" pour créer le mot de passe.
  6. Saisissez un mot de passe, vérifiez que le "password is saved in a secure place," et cliquez sur Back Up Key Provider.
  7. Le résultat est un fichier p12, automatiquement enregistré dans le répertoire de téléchargements.

Fournisseur de clés standard

1. Vue d’ensemble :

Le fournisseur de clés standard est une option polyvalente permettant l’intégration avec des solutions de gestion des clés externes.

2. Caractéristiques :

  • Intégration externe : Prend en charge l’intégration avec des solutions tierces de gestion des clés
  • Exigence VMware : Disponible dans VMware vSphere 6.5 et versions ultérieures
  • Personnalisation: Permet la personnalisation des règles de gestion des clés en fonction des besoins organisationnels

3. Étapes pour ajouter un fournisseur de clés standard (à l’aide d’un certificat KMS et d’une clé privée) :

Pour ajouter un fournisseur de clés au vCenter Server et établir une relation de confiance entre le serveur vCenter et le KMS, procédez comme suit :

  1. Connectez-vous à vSphere Client, sélectionnez le vCenter Server, puis cliquez sur "Configure," et sous "Security," Cliquez sur "Key Providers."
  2. Cliquez "Add Standard Key Provider" et saisissez les informations sur le fournisseur de clés (nom et détails du serveur KMS).
  3. Cliquez "ADD KEY PROVIDER," Ensuite, cliquez sur "TRUST" pour établir une relation de confiance entre le serveur vCenter et KMS.
  4. Configurez le KMS pour qu’il approuve vCenter Server.
  5. Sélectionnez le fournisseur de clés ajouté, puis sélectionnez le serveur KMS pour établir une relation de confiance. Sélectionnez "Make KMS trust vCenter" à partir de l' "ESTABLISH TRUST" et suivez les étapes pour télécharger le certificat KMS et la clé privée.
  6. Une fois le téléchargement terminé, cliquez sur "ESTABLISH TRUST." L’interface utilisateur indique que KMS est connecté au vCenter Server.

 

Remarque : Il est recommandé de consulter la documentation VMware avant de tenter d’activer ou de désactiver le chiffrement de machine virtuelle. Plusieurs conditions préalables et étapes sont nécessaires, et celles-ci peuvent changer en fonction de la version utilisée.

Additional Information

Test des résultats de VMware® vSphere® VM Encryption avec PowerProtect

Réalisation de tests pour garantir l’état opérationnel de PowerProtect après activation du chiffrement des machines virtuelles dans VMware vSphere. Les deux principaux fournisseurs ont été utilisés pendant le processus de test. L’état initial de la machine virtuelle n’était pas chiffré et les étapes suivantes ont été effectuées pour la chiffrer. Ensuite, la fonctionnalité de PowerProtect a été vérifiée.


Cas de test 1 : Vérification de l’état opérationnel de PowerProtect après l’activation du chiffrement de machine virtuelle avec le fournisseur

de clés natifDétails de l’environnement :

  • PowerProtect autonome
  • Version de VMware vSphere Client : 7.0.3.00500
  • Hyperviseur: VMware ESXi, 7.0.3, 21930508
  • Le module TPM n’est pas disponible sur l’hôte ESXi.

L’hôte doit se trouver dans le cluster. Ajoutez le fournisseur de clés natif en suivant les étapes décrites dans la section « Étapes d’ajout d’un fournisseur de clés natif ». Assurez-vous que les privilèges cryptographiques et la compatibilité de la version de l’hôte sont appropriés avant de poursuivre le chiffrement. Définissez la clé ajoutée par défaut. La machine virtuelle existante a ensuite été chiffrée en modifiant les règles de machine virtuelle. Après la mise sous tension de la machine virtuelle, confirmation de l’état opérationnel de PowerProtect en ajoutant des sources de ressources, des politiques de protection et en exécutant des tâches.

Cas de test 2 : Vérification de l’état opérationnel de PowerProtect après activation du chiffrement de machine virtuelle avec un fournisseur de clés standard

Détails de l’environnement :

  • Version de VMware vSphere Client : 7.0.3.00500
  • PowerProtect autonome
  • KMS Server Type : Keysecure
  • Classe de clé KMS : ppdmdal
  • Conforme à la norme KMIP (Key Management Interoperability Protocol) 1.1

Ajoutez le fournisseur de clés standard en suivant les étapes décrites dans la section « Étapes d’ajout d’un fournisseur de clés standard ». Assurez-vous que les privilèges cryptographiques appropriés sont disponibles dans vCenter avant de poursuivre le chiffrement. Le KMS a été configuré avec succès sur vCenter et la clé par défaut a été ajoutée. La machine virtuelle a été chiffrée avec la clé par défaut, puis l’état opérationnel de PowerProtect a été vérifié.

Les tests de performances ont été menés sur la machine virtuelle chiffrée avec le fournisseur de clés natif. 
Les tests ont été effectués sur un nombre et un type de ressources différents. Enregistrement de la durée et du débit pour PowerProtect avec et sans chiffrement Il n’y a aucun impact majeur sur les performances (avec et sans chiffrement)
Les résultats indiquent que PowerProtect continue de fonctionner après le chiffrement, ce qui démontre l’intégration du chiffrement dans l’environnement VMware. 

Limitations et rappels

Gestion efficace des clés de chiffrement

  • Une gestion efficace des clés de chiffrement est cruciale pour la sécurité globale de votre environnement. Implémentez des procédures de sauvegarde et de restauration robustes pour limiter le risque de perte accidentelle des clés de chiffrement, pouvant entraîner une perte de données.

Configuration et accessibilité du serveur KMIP

  • Assurez-vous de la bonne configuration et de l’accessibilité du serveur KMIP (Key Management Interoperability Protocol) à partir de votre infrastructure VMware. Ceci est essentiel pour le bon fonctionnement des processus de chiffrement et le maintien de l’intégrité de la gestion des clés.

Impacts potentiels sur les performances des machines virtuelles

  • Soyez conscient des impacts potentiels sur les performances de la machine virtuelle (VM) pendant le processus de chiffrement. Il est conseillé d’évaluer et de comprendre les implications potentielles en termes d’utilisation des ressources et de performances afin d’assurer un fonctionnement équilibré et optimal.

Affected Products

PowerProtect Data Manager, PowerProtect Data Manager Essentials
Article Properties
Article Number: 000221879
Article Type: How To
Last Modified: 29 Jan 2026
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.