IBM Cloud Docs
Implémentation et gestion de KMIP for VMware

Implémentation et gestion de KMIP for VMware

Planification

Le service KMIP™ for VMware n'est pas facturé. Pour passer en revue les plans de tarification the Key Protect et Hyper Protect Crypto Services, voir les page des catalogues Key Protect et Hyper Protect Crypto Services.

Si vous utilisez le chiffrement VMware vSAN™, prévoyez d'utiliser une clé racine dans Key Protect ou Hyper Protect Crypto Services, et deux clés standard pour chaque vSAN que vous chiffrez.

Si vous utilisez le chiffrement VMware vSphere®, prévoyez d'utiliser une clé racine, une clé standard par cluster vSphere et une clé standard par machine virtuelle (VM) chiffrée.

Key Protect et Hyper Protect Crypto Services sont disponibles uniquement dans des régions à zones multiples. Hyper Protect Crypto Services (HPCS) est disponible dans les régions à zones multiples sélectionnées uniquement. KMIP for VMware® est automatiquement déployé dans la même région que votre instance Key Protect ou HPCS. VMware vCenter Server® peut tolérer une latence élevée vers le service KMIP, de sorte que la distance n'est généralement pas une source d'inquiétude.

Connexion du serveur de gestion des clés

Pour activer le chiffrement vSphere ou le chiffrement vSAN à l'aide de KMIP for VMware, vous devez exécuter les tâches suivantes :

  1. Activez les noeuds finaux de service dans votre compte.
  2. Créez une instance de gestionnaire de clés avec IBM Key Protect ou IBM Cloud Hyper Protect Crypto Services. Si vous utilisez Hyper Protect Crypto Services (HPCS), prenez soin d'initialiser votre instance de chiffrement pour que Hyper Protect Crypto Services puisse fournir des fonctions liées aux clés.
  3. Créez une clé racine de client dans votre instance de gestionnaire de clés.
  4. Si vous utilisez Key Protect, créez une clé d'API Identity and Access Management (IAM) pour un ID de service à utiliser avec KMIP for VMware. Accordez à cet ID de service l'accès Afficheur sur la plateforme et l'accès Ecriture sur le service pour votre instance Key Protect.
  5. Créez une instance KMIP for VMware depuis la console IBM Cloud for VMware Solutions.
  6. Si vous utilisez HPCS, créez une autorisation de service IAM pour votre instance KMIP for VMware sur votre instance HPCS. Accordez à votre instance KMIP for VMware l'accès Afficheur sur la plateforme et l'accès VMware KMIP Manager sur le service pour votre instance HPCS.
  7. Configurez votre instance KMIP for VMware pour qu'elle se connecte à votre instance Key Protect ou HPCS et sélectionnez la clé CRK à utiliser avec KMIP.
  8. Dans le serveur vCenter, créez un cluster de fournisseurs de clés.
    • Si vous utilisez Key Protect, configurez ce cluster avec deux serveurs, un pour chaque noeud final KMIP for VMware dans la région que vous avez choisie.
    • Si vous utilisez HPCS, configurez ce cluster pour qu'il se connecte au nom d'hôte et au port qui est affecté de manière unique à votre instance KMIP for VMware.
  9. Sélectionnez l'une des méthodes VMware pour générer ou installer un certificat client KMS dans vCenter Server.
  10. Exportez la version publique du certificat et configurez ce dernier en tant que certificat client autorisé dans votre instance KMIP for VMware. L'instance du gestionnaire de clés dispose d'un intervalle maximum de 5 minutes pour obtenir les certificats clients configurés. Par conséquent, si vous ne parvenez pas à établir la confiance KMS avec le serveur vCenter, attendez 5 minutes et réessayez.

Activation du chiffrement

Pour utiliser le cryptage vSAN, modifiez les paramètres généraux vSAN de votre cluster vCenter Server et cochez la case de cryptage.

Le diagnostic d'intégrité vSAN peut envoyer des avertissements périodiques indiquant l'impossibilité de se connecter au cluster KMS depuis un ou plusieurs de vos hôtes vSphere. Ces avertissements se produisent parce que le diagnostic d'intégrité vSAN dépasse le délai d'attente trop rapidement. Vous pouvez ignorer ces avertissements. Pour plus d'informations, voir vSAN Le contrôle de santé KMS échoue de manière intermittente avec une erreur de dépassement de délai de la poignée de main SSL.

Pour utiliser le chiffrement vSphere, éditez vos règles de stockage de machine virtuelle pour demander le chiffrement de disque.

Mises en garde importantes

Certaines machines virtuelles nécessitent une planification spéciale pour le chiffrement, en particulier si elles sont impliquées dans une éventuelle dépendance circulaire pour obtenir les clés nécessaires à leur fonctionnement. Tenez compte des informations suivantes :

  • vCenter Le serveur est impliqué dans la récupération des clés de cryptage. Cette VM ne doit pas être chiffrée en utilisant le chiffrement vSphere et ne doit pas se trouver sur un datastore vSAN chiffré.
  • Les contrôleurs Microsoft Windows® Active Directory de votre environnement sont utilisés pour la résolution du nom d'hôte afin de se connecter à la gestion des clés. Ne les chiffrez pas en utilisant le chiffrement vSphere et ne les placez pas sur un datastore vSAN chiffré, à moins que vous ne soyez prêt à fournir une autre résolution de nom d'hôte si vous devez redémarrer votre environnement.
  • VMware ne recommande pas de chiffrer les VMware VM NSX® à l'aide du chiffrement vSphere.

Rotation des clés

Effectuez une rotation de votre clé racine de client Key Protect ou Hyper Protect Crypto Services à l'aide de l'API ou de la console IBM Cloud.

  • Pour le chiffrement vSAN, faites pivoter vos VMware clés de chiffrement des clés et clés de chiffrement des données (en option) à partir des vSAN paramètres généraux de votre vCenter cluster de serveurs.
  • Pour le chiffrement vSphere, faites pivoter vos VMware clés de chiffrement des clés et clés de chiffrement des données (facultativement) en utilisant la commande Set-VMEncryptionKey PowerShell.

Révocation de clé

Vous pouvez révoquer toutes les clés utilisées par KMIP for VMware en supprimant la clé racine de client de votre choix dans votre gestionnaire de clés.

Lorsque les clés sont révoquées, toutes les données qui sont protégées par ces clés et par votre instance KMIP for VMware sont broyées de manière cryptographique avec cette méthode. VMware conserve certaines clés tant que l'hôte ESXi est sous tension ; vous devez donc redémarrer votre cluster vSphere afin de vous assurer que toutes les données chiffrées ne sont plus utilisées.

KMIP for VMware stocke des clés KEK encapsulées individuelles dans votre instance Key Protect ou HPCS en utilisant des noms qui sont associés aux ID de clé et connus de VMware. Vous pouvez supprimer ces clés individuelles afin de révoquer le chiffrement d'unités ou de disques individuels.

VMware ne supprime pas les clés de KMS lorsqu'une machine virtuelle comportant des disques chiffrés est retirée de l'inventaire. Ce processus permet le rétablissement de cette machine virtuelle depuis une sauvegarde ou en cas de restauration dans l'inventaire. Si vous voulez récupérer ces clés et invalider de manière cryptographique toutes les sauvegardes, vous devez supprimer les clés de votre instance de gestionnaire de clés après avoir supprimé vos machines virtuelles.