Conception de KMIP for VMware
KMIP™ pour VMware® fournit un service de gestion des clés compatible avec VMware vSAN™ encryption et VMware vSphere® encryption, en utilisant IBM Key Protect ou IBM Cloud Hyper Protect Crypto Services pour assurer le stockage de la clé racine et de la clé de données. Key Protect et Hyper Protect Crypto Services sont les services de gestion des clés de cette solution.
Options de chiffrement de stockage
KMIP for VMware est compatible avec le chiffrement VMware vSAN et le chiffrement vSphere. Ces deux solutions sont implémentées dans la couche d'hyperviseur mais elles fournissent des fonctions légèrement différentes. Evaluez leurs fonctions en fonction de vos exigences.
Chiffrement VMware vSAN
Le chiffrement VMware vSAN s'applique uniquement aux magasins de données vSAN. Avec cette solution, VMware vCenter et vos VMware ESXi™ hosts se connectent à un serveur de gestion des clés tel que KMIP for VMware pour obtenir des clés de chiffrement. Ces clés sont utilisées pour protéger les unités de disque individuelles utilisées pour votre magasin de données vSAN, y compris les disques de cache et de capacité. Le chiffrement vSAN est implémenté d'une manière qui préserve les avantages du dédoublonnage et de la compression vSAN, si vous choisissez cette option lorsque vous commandez une nouvelle instance ou ajoutez un cluster.
Comme le chiffrement vSAN opère au niveau du magasin de données, son principal objectif est d'éviter l'exposition des données en cas de perte des unités de disque physique. En outre, le chiffrement vSAN est entièrement compatible avec toutes les technologies de sauvegarde et de réplication des machines virtuelles (VM), telles que vSphere replication, cross-vCenter vMotion, VMware HCX™, Zerto et Veeam®.
Remarques sur le chiffrement VMware vSAN
- Pour les versions vSphere antérieures à 7.0u1a, le chiffrement vSAN ne peut pas chiffrer les communications de la réplication vSAN d'hôte à hôte au sein de votre cluster. A compter de vSphere 7.0u1a, si vous le souhaitez, vous pouvez activer le chiffrement de données en transit pour chaque cluster vSAN.
- Le chiffrement vSAN ne s'applique pas aux autres solutions de stockage comme le stockage par fichier et par blocs IBM Cloud Endurance.
- Le chiffrement vSAN requiert la licence vSAN Enterprise.
- Le diagnostic d'intégrité vSAN peut envoyer des avertissements périodiques indiquant l'impossibilité de se connecter au cluster de service de gestion de clés (KMS) depuis un ou plusieurs de vos hôtes vSphere. Ces avertissements se produisent parce que le diagnostic d'intégrité vSAN dépasse le délai d'attente trop rapidement. Vous pouvez ignorer ces avertissements. Pour plus d'informations, voir vSAN KMS health check intermittently fails with SSL handshake timeout error.
Chiffrement vSphere
Le chiffrement vSphere s'applique à tous les types de stockage VMware, y compris le stockage vSAN et le fichier IBM Cloud Endurance et le stockage par blocs.
Avec cette solution, vCenter Server et vos hôtes ESXi se connectent à un serveur de gestion principal comme KMIP for VMware pour l'obtention des clés de chiffrement. Ces clés permettent de protéger les disques de machine virtuelle individuels, conformément à vos règles de stockage de machine virtuelle.
Le chiffrement vSphere opère au niveau du disque de machine virtuelle. Il permet donc d'éviter l'exposition des données en cas de perte des unités de disque physique ou des disques de machine virtuelle. Certaines technologies de sauvegarde et de réplication ne peuvent pas sauvegarder ou répliquer de manière efficace car les données fournies sont chiffrées.
Le chiffrement vSphere n'est pas compatible avec VMware HCX ou Zerto. Le chiffrement vSphere est compatible avec intervCenter vMotion lorsque vous utilisez vSphere 7.0 ou une version ultérieure. Le chiffrement vSphere est compatible avec la réplication vSphere lorsque vous utilisez vSphere 6.7u1 ou une version ultérieure. Avec une configuration correcte, Veeam Backup and Replication est compatible avec le chiffrement vSphere.
Autres considérations
Lorsqu'un type de chiffrement quel qu'il soit est activé dans votre cluster vSphere, VMware crée une clé supplémentaire pour chiffrer vos clichés de processus core ESXi. Ces clichés peuvent contenir des données sensibles, notamment des données d'identification de gestion des clés, des clés de chiffrement ou des données déchiffrées. Pour plus d'informations, consultez vSphere Chiffrement de la mémoire virtuelle et vidages de la mémoire centrale.
Lorsque KMIP for VMware est utilisé avec le chiffrement vSAN ou le chiffrement vSphere, il existe plusieurs couches de protection par clé.
Si vous envisagez d'effectuer une rotation des clés, passez en revue les informations suivantes sur les niveaux de rotation possibles :
- Niveau 1 : votre clé racine client (CRK) protège toutes les clés VMware. La rotation de ces clés peut être effectuée dans l'instance IBM Key Protect ou Hyper Protect Crypto Services qui est associée à votre instance KMIP for VMware. Lorsque ces clés font l'objet d'une rotation dans l'instance IBM Key Protect, KMIP for VMware traite la nouvelle clé CRK automatiquement et aucune opération n'est nécessaire dans VMware ou vCenter Server.
- Niveau 2 : KMIP for VMware utilise votre clé racine client pour protéger les clés qu'il génère et distribue à VMware. VMware considère qu'il s'agit de clés de chiffrement de clé (KEK). La rotation des clés KEK est relativement rapide. VMware
contacte KMIP pour obtenir une nouvelle clé, prend toutes les clés DEK chiffrées par la clé d'origine et les encapsule dans cette nouvelle clé, puis stocke les clés DEK chiffrées mises à jour.
- Si vous utilisez le chiffrement vSphere, vous pouvez effectuer une rotation des clés KEK à l'aide de la commande PowerShell Set-VMEncryptionKey.
- Si vous utilisez le chiffrement vSAN, vous pouvez effectuer une rotation des clés KEK en utilisant l'interface utilisateur vSAN.
- Niveau 3 : VMware utilise ces clés KEK afin de protéger les clés réellement utilisées pour chiffrer les unités de disque et les disques de machine virtuelle. Vous pouvez effectuer une rotation de ces clés à l'aide d'appels VMware et d'une
recomposition de clé "profonde". Cette opération chiffre de nouveau toutes vos données chiffrées, elle peut donc durer un certain temps.
- Si vous utilisez le chiffrement vSphere, vous pouvez effectuer une recomposition de clé "profonde" à l'aide de la commande PowerShell Set-VMEncryptionKey.
- Si vous utilisez le chiffrement vSAN, vous pouvez effectuer une recomposition de clé profonde dans l'interface utilisateur vSAN.
KMIP for VMware
Le chiffrement VMware vSAN et le chiffrement vSphere sont compatibles avec de nombreux serveurs de gestion de clés. KMIP for VMware fournit un service de gestion de clés géré par IBM qui utilise IBM Key Protect ou Hyper Protect Crypto Services pour vous donner le contrôle total sur vos clés. D'autres services IBM Cloud tels que Cloud Object Storage s'intègrent également à Key Protect et à Hyper Protect Crypto Services, ce qui fait d'eux votre point de contrôle central pour la gestion de clés dans IBM Cloud.
Clés au sein de clés
Les systèmes de gestion de clés utilisent couramment une technique connue sous le nom de chiffrement d'enveloppe pour l'encapsulation ou la protection des clés à l'aide d'autres clés. Ces clés sont appelées Clés racine ou Clés de chiffrement de clé (KEKs). Pour accéder à une clé, vous devez déchiffrer ou désencapsuler la clé à l'aide de sa clé racine correspondante. La destruction de la clé racine est un moyen efficace d'invalider toutes les clés qu'elle a protégées. Il n'est pas nécessaire de stocker ces clés à proximité de la clé racine. Le contrôle d'accès à la clé racine est important.
IBM Cloud Key Protect et Hyper Protect Crypto Services fournissent ce service en utilisant une clé racine de client. Key Protect stocke les clés racine de client exclusivement sur du matériel IBM Cloud CloudHSM d'où elles ne peuvent pas être extraites. Hyper Protect Crypto Services stocke les clés dans des modules HSM IBM zSeries. Ces clés racine de client sont ensuite utilisées pour encapsuler d'autres clés de chiffrement telles que celles générées par KMIP for VMware pour votre instance VMware.
VMware implémente ce même concept pour ses clés. KMIP for VMware fournit une clé à VMware sur demande. A son tour, VMware utilise cette clé en tant que clé KEK pour encapsuler ou chiffrer les clés finales qui sont utilisées pour chiffrer vos unités de disque vSAN ou vos disques de machine virtuelle. Ces clés finales sont appelées clés de chiffrement de données (DEK).
En fin de compte, vous obtenez la chaîne de chiffrement suivante :
- La clé racine du client (CRK) est stockée en permanence dans IBM Key Protect ou Hyper Protect Crypto Services.
- La clé de chiffrement (KEK) est générée par KMIP pour VMware et fournie au serveur vCenter et aux hôtes ESXi de votre instance.
- La clé de chiffrement des données (DEK) est générée par VMware et stockée à côté du disque vSAN ou du disque VM.
KMIP for VMware stocke la forme encapsulée des clés KEK dans IBM Key Protect ou Hyper Protect Crypto Services. Les clés KEK sont protégées de manière cryptographique par la clé CRK et il n'est pas nécessaire de les stocker dans un module HSM. Toutefois, étant donné qu'elles sont stockées dans le service de gestion des clés, elles sont visibles et vous pouvez les supprimer si vous devez révoquer des clés individuelles.
Authentification et autorisation
Votre solution de chiffrement de stockage comporte trois composants : votre cluster VMware, votre instance KMIP for VMware et votre instance Key Protect ou Hyper Protect Crypto Services.
VMware vCenter et ESXi s'authentifient auprès de votre instance KMIP for VMware à l'aide de certificats que vous installez ou générez dans VMware vCenter lors de la création d'une connexion KMS (serveur de gestion des clés). Vous installez le certificat public dans KMIP for VMware pour identifier les clients vCenter autorisés à se connecter. Chaque client est autorisé sur toutes les clés stockées dans cette instance KMIP for VMware.
Votre instance KMIP for VMware est autorisée sur votre instance Key Protect ou Hyper Protect Crypto Services à l'aide d'IBM Cloud Identity and Access Management (IAM).
Lorsque KMIP for VMware est associé à une instance Key Protect, cette autorisation est effectuée à l'aide d'un ID de service qui a accès à l'instance. Cet ID de service doit avoir au minimum un droit Afficheur sur la plateforme et un droit Gestionnaire sur le service dans votre instance de gestionnaire de clés. KMIP for VMware utilise la clé racine de client de votre choix dans l'instance de gestionnaire de clés. Il stocke également toutes les clés KEK générées pour le compte de VMware, au format encapsulé, dans cette instance de gestionnaire de clés.
Lorsque KMIP for VMware est associé à une instance Hyper Protect Crypto Services (HPCS), il utilise une autorisation de service que vous accordez dans l'autorisation IAM de votre compte. Vous devez accorder à l'instance KMIP for VMware à la fois le rôle Afficheur sur la plateforme et le rôle VMware KMIP Manager sur le service pour votre instance HPCS.
Architecture et topologie
Dans tous les cas, votre serveur VMware vCenter accède à KMIP for VMware via le réseau privé IBM Cloud. Pour permettre l'accès à KMIP for VMware sur le réseau privé, votre compte d'infrastructure IBM Cloud doit être activé pour la fonction VRF (Virtual Routing and Forwarding). De plus, les routes du noeud final de service de réseau IBM Cloud doivent être ajoutées aux routes VRF de votre compte. Pour plus d'informations, voir Activation des noeuds finaux de service.
L'architecture et la topologie varient selon que KMIP for VMware utilise Key Protect ou Hyper Protect Crypto Services pour la gestion des clés.
KMIP for VMware et Key Protect
Lorsque votre instance KMIP for VMware est connectée à Key Protect, votre serveur VMware vCenter Server® se connecte à un service KMIP multilocataire déployé sur deux noeuds finaux de réseau privé dans la même instance IBM Cloud MZR que votre instance Key Protect. Les deux noeuds finaux sont répartis dans des zones de disponibilité distinctes pour assurer la haute disponibilité, et vous devez configurer les deux noeuds finaux en tant que cluster de fournisseur de clés dans votre configuration vCenter. Pour plus d'informations sur les noeuds finaux dans chaque zone MZR et les signatures de certificat de serveur KMIP, voir Commande d'instances KMIP for VMware.
KMIP for VMware se connecte également à IBM Cloud Key Protect à l'aide du réseau privé IBM Cloud au lieu de l'Internet public et il bénéficie d'une protection renforcée via le chiffrement et l'authentification TLS.
Lorsqu'il est intégré à IBM Cloud Key Protect, KMIP for VMware vérifie régulièrement que votre ID de service dispose des droits suffisants pour votre instance Key Protect et la clé racine client.
KMIP for VMware et Hyper Protect Crypto Services
Lorsque vous utilisez IBM Cloud Hyper Protect Crypto Services (HPCS), votre serveur vCenter est connecté à un service KMIP à locataire unique qui est hébergé dans HPCS à l'aide de IBM Secure Service Containers fonctionnant sur IBM LinuxONE serveurs, et vos clés sont stockées dans un IBM Z HSM. Le noeud final KMIP est exposé à l'aide d'un nom DNS unique et d'un port. Si vous disposez de plusieurs unités de chiffrement HPCS, ce nom DNS fait l'objet d'un équilibrage de charge pour séparer les zones de disponibilité.