Introdução VMware – Key Management Server (KMS)

INTRODUÇÃO

Para melhorar a segurança em um ambiente virtual, a partir do VMware vSphere 6.5 uma série de novidades foram adicionadas como criptografia de VM, vMotion criptografado, suporte de inicialização segura para máquinas virtuais e garantia de hipervisor criptográfico.

Nosso foco é o recurso que oferece criptografia para máquinas virtuais que protege os discos virtuais, .vmx e os arquivos de troca VMDK, tornando os dados armazenados ilegíveis. Apenas a máquina virtual que gerencia os discos VMDK possui a chave usada para criptografar. Se você tentar acessar o VMDK criptografado a partir de uma VM não autorizada ou copiar o vmdk para hypervisor que não seja VMware, só obterá dados ilegíveis.

Pré-requisitos

Antes de usar o vSphere Virtual Machine Encryption para realizar operações de criptografia, você deve:

  • conectar o vCenter Server a um Key Management Server (KMS);
  • As etapas exatas dependem do processo que o fornecedor oferece suporte e das opções do fornecedor;
  • instalar o KMS em seu ambiente;
  • Nenhum hardware adicional é necessário para criptografar e descriptografar uma máquina virtual;
  • O processador usado deve oferecer suporte ao conjunto de instruções AES-NI, habilitado no BIOS;
  • Um vCenter Server;

O que é um KMS?

Conceito obtido da internet: “um servidor de gerenciamento de chaves que tem como processo, administrar ou gerenciar chaves criptográficas para um sistema criptográfico. Envolve a geração, criação, proteção, armazenamento, troca, substituição e uso das chaves e com outro tipo de sistema de segurança embutido em grandes sistemas criptográficos, possibilitando restrição seletiva para determinadas chaves.”

Você pode encontrar documentação contendo os softwares Key Management Server (KMS) suportados pela VMware. Você vai encontrar detalhes de cada produto e é extremamente recomendado usar este documento como redirecionamento para os produtos.

kms.PNG

Melhores práticas para criptografar VMs

  • Não é recomendado criptografar máquinas virtuais do vCenter Server Appliance (VCSA) No caso de um host ESXi cair ou travar;
  • Não edite manualmente os arquivos de criptografia da máquina virtual , pois isso pode tornar uma máquina virtual irrecuperável;
  • A desduplicação e a compactação podem não ser eficazes para máquinas virtuais criptografadas, pois os dados são criptografados no host antes que os dados sejam gravados no armazenamento;
  • As instâncias do KMS adicionadas ao mesmo cluster KMS configurado no vCenter Server devem ser do mesmo fornecedor (por exemplo, HyTrust, CloudLink e IBM);
  • Crie um cluster de KMS;
  • Tenha backups de todas as suas VMs do vCenter e chaves privadas;

10 coisas a saber sobre o gerenciamento de certificados do vSphere

Recomendo também a leitura do artigo do blog oficial da VMware. É um assunto delicado que requer um planejamento bastante apurado e uma experiência solida em TI. Então não deixe de ler o artigo AQUI.

Conclusão

Antes de começar com tarefas de criptografia de máquina virtual, você deve configurar o cluster do KMS (Key Management Server). Essa tarefa inclui adicionar o KMS e estabelecer confiança com o KMS. Quando você adiciona um cluster, você é solicitado a torná-lo o padrão. Você pode alterar explicitamente o cluster padrão. Chaves de provisões do vCenter Server do cluster padrão. O KMS deve suportar o padrão 1.1 do Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP). Veja as Matrizes de Compatibilidade do vSphere para detalhes. Você pode encontrar informações sobre os fornecedores de KMS certificados pelo VMware no Guia de compatibilidade do VMware em Plataforma e computação. Esta documentação é atualizada com freqüência.

“A vida é ou uma aventura audaciosa, ou não é nada. A segurança é geralmente uma superstição. Ela não existe na natureza.”

Helen Keller

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.