PowerProtect: Protezione con crittografia delle macchine virtuali (VM) VMware vSphere

Summary: Questo articolo guida i lettori nel processo di implementazione della crittografia delle macchine virtuali (VM) VMware vSphere utilizzando il provider di chiavi native o il provider di chiavi standard. L'attenzione si concentra sull'abilitazione della crittografia dei dati inattivi per PowerProtect. Il contenuto copre il background della crittografia dei dati inattivi, i dettagli sul provider di chiavi native e sul provider di chiavi standard di VMware vSphere. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Informazioni preliminari

La crittografia dei dati inattivi è una misura di sicurezza critica progettata per proteggere le informazioni sensibili archiviate su disco o altri supporti di storage. L'implementazione della crittografia dei dati inattivi avviene con la crittografia delle VM VMware vSphere, una funzionalità che fornisce crittografia per la VM, i file associati, i dischi virtuali e le snapshot. Il processo di crittografia avviene a livello di hypervisor, garantendo che tutti i dati all'interno di una VM siano crittografati. VM Encryption si basa su provider di chiavi per archiviare e gestire in modo sicuro le chiavi di crittografia. Questa separazione delle chiavi dall hypervisor migliora la sicurezza. Tra i fornitori di chiavi disponibili, vengono comunemente utilizzati VMware Native Key Provider e Standard Key Provider.

Configurazione di PowerProtect

Non esistono impostazioni di configurazione specifiche per abilitare o disabilitare la crittografia delle VM e le impostazioni sono ricavate dall'ambiente VMware vSphere. I dettagli riportati di seguito forniscono indicazioni sui provider di chiavi che possono essere utilizzati, su come abilitare o disabilitare la crittografia e su come verificare le impostazioni di crittografia. Queste informazioni sono fornite solo a scopo indicativo e di carattere generale. Prima di tentare qualsiasi modifica, è consigliabile fare riferimento alla documentazione di VMware per la versione specifica.

Provider di chiavi native

1. Panoramica:

 VMware vSphere Native Key Provider è una soluzione di gestione delle chiavi integrata per la crittografia dei dischi delle macchine virtuali e delle entità di storage.

2. Funzioni:

  • Integrazione durante l'implementazione con ambienti VMware vSphere
  • Disponibile in vSphere 7.0 Update 2 e versioni successive
  • Configurazione rapida: Non è richiesto alcun server delle chiavi esterne.

 3. Procedura per aggiungere un provider di chiavi native:

  1. Accedere a VMware vSphere, sfogliare l'inventario, selezionare il vCenter Server e cliccare su "Configure," e sotto "Security," Fare clic su "Key Providers."
  2. Cliccare su Add, selezionare "Add Native Key Provider," Inserire le informazioni richieste e cliccare su "ADD KEY PROVIDER."
  3. Seleziona la casella "Use key provider only with TPM protected ESXi hosts (Recommended)" se sull host è disponibile e configurato un Trusted Platform Module (TPM) 2.0.
  4. Quindi selezionare la chiave aggiunta e fare clic su "Back-UP."
  5. Seleziona la casella "Protect Native Key Provider data with password (Recommended)" e cliccare sull'icona "Back UP KEY PROVIDER" pulsante per creare la password.
  6. Immettere una password, verificare che il "password is saved in a secure place," e cliccare su Back Up Key Provider.
  7. Il risultato è un file p12, salvato automaticamente nella directory downloads.

Provider di chiavi standard

1. Panoramica:

Il provider di chiavi standard è un'opzione versatile che consente l'integrazione con soluzioni di gestione delle chiavi esterne.

2. Funzioni:

  • Integrazione esterna: Supporta l'integrazione con soluzioni di gestione principali di terze parti
  • Requisito VMware: Disponibile in VMware vSphere 6.5 e versioni successive
  • Personalizzazione: Consente la personalizzazione delle policy di gestione delle chiavi in base alle esigenze dell'organizzazione

3. Procedura per aggiungere un provider di chiavi standard (utilizzando il certificato KMS e la chiave privata):

Per aggiungere un provider di chiavi al vCenter Server e stabilire una relazione di trust tra il vCenter Server e il KMS, attenersi alla seguente procedura:

  1. Connettersi a vSphere Client, selezionare il vCenter Server, cliccare su "Configure," e sotto "Security," Fare clic su "Key Providers."
  2. Cliccare su "Add Standard Key Provider" e inserire le informazioni sul fornitore delle chiavi (nome e dettagli del KMS).
  3. Cliccare su "ADD KEY PROVIDER," quindi su "TRUST" per stabilire l'affidabilità tra vCenter Server e KMS.
  4. Configurare il KMS in modo che consideri attendibile vCenter Server.
  5. Selezionare il provider di chiavi aggiunto, quindi selezionare il KMS per stabilire l'attendibilità. Selezionare "Make KMS trust vCenter" dal "ESTABLISH TRUST" e seguire la procedura per caricare il certificato KMS e la chiave privata.
  6. Al termine dell'upload, cliccare su "ESTABLISH TRUST." L'interfaccia utente indica che il servizio di gestione delle chiavi è connesso al vCenter Server.

 

Nota: Si consiglia di consultare la documentazione di VMware prima di tentare di abilitare o disabilitare la crittografia delle VM. Sono necessari diversi prerequisiti e passaggi, che possono cambiare a seconda della versione utilizzata.

Additional Information

Test dei risultati della crittografia delle VM VMware® vSphere® con PowerProtect

Test condotti per verificare lo stato operativo di PowerProtect dopo l'abilitazione della crittografia delle macchine virtuali in VMware vSphere. Durante il processo di test sono stati utilizzati entrambi i fornitori di chiavi. Lo stato iniziale della VM non era crittografato e sono state eseguite le seguenti operazioni per crittografarla. Quindi, è stata verificata la funzionalità di PowerProtect.


Caso di test 1: Verifica dello stato operativo di PowerProtect dopo l'abilitazione della crittografia delle VM con provider

di chiavi nativoDettagli dell'ambiente:

  • Standalone PowerProtect
  • Versione di VMware vSphere Client: 7.0.3.00500
  • Hypervisor: VMware ESXi, 7.0.3, 21930508
  • TPM non è disponibile sull'host ESXi.

L'host deve essere all'interno del cluster. Aggiungere il provider di chiavi native seguendo la procedura descritta in "Procedura per aggiungere un provider di chiavi native". Assicurarsi dei privilegi crittografici appropriati e della compatibilità della versione host, prima di procedere con la crittografia Impostare la chiave aggiunta come predefinita. La VM esistente è stata quindi crittografata modificando le policy delle VM. Dopo l'accensione della VM, ha confermato lo stato operativo di PowerProtect aggiungendo origini asset, policy di protezione e processi in esecuzione.

Caso di test 2: Verifica dello stato operativo di PowerProtect dopo l'abilitazione della crittografia delle VM con provider di chiavi standard

Dettagli dell'ambiente:

  • Versione di VMware vSphere Client: 7.0.3.00500
  • Standalone PowerProtect
  • Tipo di server KMS: Keysecure
  • Classe chiave KMS: ppdmdal
  • Conforme al protocollo KMIP (Key Management Interoperability Protocol) 1.1

È stato aggiunto il provider di chiavi standard seguendo la procedura descritta nella sezione "Procedura per aggiungere un provider di chiavi standard". Assicurarsi che i privilegi di crittografia appropriati siano disponibili in vCenter prima di procedere con la crittografia. Il KMS è stato configurato correttamente su vCenter e ha aggiunto la chiave predefinita. La VM è stata crittografata con la chiave predefinita e quindi ha verificato lo stato operativo di PowerProtect.

I test delle prestazioni sono stati condotti sulla VM crittografata con il provider di chiavi native. 
I test sono stati eseguiti su un numero e un tipo di asset diversi. Registrazione della durata e del throughput per PowerProtect con e senza crittografia Osservato che non vi è alcun impatto significativo sulle prestazioni (con e senza crittografia)
I risultati indicano che PowerProtect continua a funzionare dopo la crittografia, dimostrando l'integrazione della crittografia nell'ambiente VMware. 

Limitazioni e promemoria

Gestione efficiente delle chiavi di crittografia

  • La gestione efficiente delle chiavi di crittografia è fondamentale per la sicurezza complessiva dell'ambiente. Implementare solide procedure di backup e ripristino per ridurre il rischio di perdita accidentale delle chiavi di crittografia, che potrebbe potenzialmente causare la perdita di dati.

Configurazione e accessibilità del server KMIP

  • Garantire la corretta configurazione e accessibilità del server KMIP (Key Management Interoperability Protocol) dall'infrastruttura VMware. Ciò è essenziale per il corretto funzionamento dei processi di crittografia e per mantenere l'integrità della gestione delle chiavi.

Potenziali impatti sulle prestazioni delle VM

  • Tenere presente il potenziale impatto sulle prestazioni delle macchine virtuali (VM) durante il processo di crittografia. È consigliabile valutare e comprendere le potenziali implicazioni in termini di utilizzo delle risorse e prestazioni per garantire un funzionamento equilibrato e ottimale.

Affected Products

PowerProtect Data Manager, PowerProtect Data Manager Essentials
Article Properties
Article Number: 000221879
Article Type: How To
Last Modified: 29 Jan 2026
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.