PowerProtect: Proteção com criptografia de máquina virtual (VM) do VMware vSphere

Informações gerais

A criptografia de dados em repouso é uma medida de segurança essencial projetada para proteger informações confidenciais armazenadas em disco ou outras mídias de armazenamento. A implementação da criptografia de dados em repouso é feita com a criptografia de VMs do VMware vSphere, um recurso que fornece criptografia para a VM, arquivos associados, discos virtuais e snapshots. O processo de criptografia ocorre no nível do hypervisor, garantindo que todos os dados de uma VM sejam criptografados. A criptografia de VM depende de provedores de chaves para armazenar e gerenciar chaves de criptografia com segurança. Essa separação de chaves do hypervisor aumenta a segurança. Entre os principais provedores disponíveis, o VMware Native Key Provider e o Standard Key Provider são comumente usados.

Configuração do PowerProtect

Não há definições de configuração específicas para habilitar ou desabilitar a criptografia de VM, e as configurações são obtidas do ambiente VMware vSphere. Os detalhes abaixo fornecem orientações sobre os principais provedores que podem ser usados, como ativar ou desativar a criptografia e como verificar as configurações de criptografia. Essas informações são fornecidas apenas para informações e orientações gerais. É recomendável consultar a documentação do VMware para a versão específica antes de tentar fazer qualquer alteração.

Provedor de chaves nativo

1. Visão geral:

 O VMware vSphere Native Key Provider é uma solução integrada de gerenciamento de chaves para criptografia de discos de máquina virtual e entidades de armazenamento.

2. Recursos:

• Integração durante a implementação com ambientes VMware vSphere
• Disponível no vSphere 7.0 Atualização 2 e posterior
• Configuração rápida: Não é necessário nenhum servidor de chaves externo.

 3. Etapas para adicionar o provedor de chaves nativo:

1. Faça log-in no VMware vSphere, navegue por Inventory, selecione o vCenter Server e clique em "Configure," e sob "Security," Clique "Key Providers."
2. Clique em Adicionar e selecione "Add Native Key Provider," Preencha as informações necessárias e clique em "ADD KEY PROVIDER."
3. Marque a caixa "Use key provider only with TPM protected ESXi hosts (Recommended)" se um Trusted Platform Module (TPM) 2.0 estiver disponível e configurado no host.
4. Em seguida, selecione a chave adicionada e clique em "Back-UP."
5. Marque a caixa "Protect Native Key Provider data with password (Recommended)" e clique no botão "Back UP KEY PROVIDER" para criar a senha.
6. Digite uma senha e verifique se o "password is saved in a secure place," e clique em Back Up Key Provider.
7. O resultado é um arquivo p12, salvo automaticamente no diretório de downloads.

Provedor de chaves padrão

1. Visão geral:

O Standard Key Provider é uma opção versátil que permite a integração com soluções de gerenciamento de chaves externas.

2. Recursos:

• Integração externa: Oferece suporte à integração com soluções de gerenciamento de chaves de terceiros
• Requisito da VMware: Disponível no VMware vSphere 6.5 e posterior
• Personalização: Permite a personalização de políticas de gerenciamento de chaves com base nas necessidades organizacionais

3. Etapas para adicionar o provedor de chave padrão (usando certificado KMS e chave privada):

Para adicionar um provedor de chaves ao vCenter Server e estabelecer uma relação de confiança entre o vCenter Server e o KMS, siga estas etapas:

1. Conecte-se ao vSphere Client, selecione o vCenter Server e clique em "Configure," e sob "Security," Clique "Key Providers."
2. Clique em "Add Standard Key Provider" e insira as informações do provedor de chaves (nome e detalhes do KMS).
3. Clique em "ADD KEY PROVIDER," e, em seguida, clique em "TRUST" para estabelecer confiança entre o vCenter Server e o KMS.
4. Configure o KMS para confiar no vCenter Server.
5. Selecione o provedor de chaves adicionado e, em seguida, selecione o KMS para estabelecer confiança; Selecione "Make KMS trust vCenter" do "ESTABLISH TRUST" e siga as etapas para carregar o certificado KMS e a chave privada.
6. Depois de concluir o carregamento, clique em "ESTABLISH TRUST." A interface do usuário exibe que o KMS está conectado ao servidor vCenter.

Testando os resultados do VMware® vSphere® VM Encryption com o PowerProtect

Testes realizados para garantir o status operacional do PowerProtect depois de habilitar a criptografia de VM no VMware vSphere. Ambos os fornecedores-chave foram usados durante o processo de teste. O estado inicial da VM era descriptografado e as etapas a seguir foram executadas para criptografá-la. Em seguida, a funcionalidade do PowerProtect foi verificada.

Caso de teste 1: Verificando o status operacional do PowerProtect depois de habilitar a criptografia de VM com o Native Key Provider

Detalhes do ambiente:

• PowerProtect independente
• Versão do VMware vSphere Client: 7.0.3.00500
• Hipervisor: VMware ESXi, 7.0.3, 21930508
• O TPM não está disponível no host do ESXi.

O host deve estar dentro do cluster. Adicione o Native Key Provider seguindo as etapas descritas em "Etapas para adicionar o Native Key Provider". Garantia de privilégios criptográficos adequados e compatibilidade da versão do host, antes de prosseguir com a criptografia Defina a chave adicionada como padrão. A VM existente foi então criptografada editando as políticas de VM. Depois de ligar a VM, confirmou o status operacional do PowerProtect adicionando origens de ativos, políticas de proteção e trabalhos em execução.

Caso de teste 2: Verificando o status operacional do PowerProtect após habilitar a criptografia de VM com o Standard Key Provider

Detalhes do ambiente:

• Versão do VMware vSphere Client: 7.0.3.00500
• PowerProtect independente
• Tipo de servidor KMS: Keysecure
• Classe de chave KMS: ppdmdal
• Compatível com KMIP (Key Management Interoperability Protocol, protocolo de interoperabilidade de gerenciamento de chaves) 1.1

Adição do Standard Key Provider seguindo as etapas descritas na seção "Etapas para adicionar Standard Key Provider". Garantia de que os privilégios criptográficos adequados estão disponíveis no vCenter antes de prosseguir com a criptografia. O KMS foi configurado com sucesso no vCenter e adicionou a chave padrão. A VM foi criptografada com a chave padrão e, em seguida, verificou o status operacional do PowerProtect.

Os testes de desempenho foram realizados na VM criptografada com o Native Key Provider. 
Os testes foram realizados em um número e tipo diferente de ativos. Em seguida, registrou a duração e o throughput do PowerProtect com e sem criptografia Observa-se que não há grande impacto no desempenho (com e sem criptografia)
Os resultados indicam que o PowerProtect continua operando após a criptografia, demonstrando a integração da criptografia ao ambiente VMware. 

Limitações e lembretes

Gerenciamento eficiente de chaves de criptografia

• O gerenciamento eficiente de chaves de criptografia é crucial para a segurança geral de seu ambiente. Implemente procedimentos robustos de backup e recuperação para reduzir o risco de perda acidental de chaves de criptografia, que pode resultar em perda de dados.

Acessibilidade e configuração do servidor KMIP

• Garanta a configuração e a acessibilidade adequadas do servidor KMIP (Key Management Interoperability Protocol) de sua infraestrutura VMware. Isso é essencial para o bom funcionamento dos processos de criptografia e para a manutenção da integridade do gerenciamento de chaves.

Possíveis impactos no desempenho da VM

• Esteja ciente dos possíveis impactos no desempenho da máquina virtual (VM) durante o processo de criptografia. É aconselhável avaliar e compreender a utilização potencial de recursos e as implicações de desempenho para garantir uma operação equilibrada e ótima.