vSphere VM encryption: criptare le virtual machine - pt.3

18/09/2018 Nessun commento Reading Time: 2 minutes

virtual-machines-encryption-01

Una volta che il Server KMS è stato configurato e correttamente aggiunto al vCenter Server, il sistema è in grado di criptare le virtual machine.

L'accesso al disco virtuale criptato richiede la chiave corretta posseduta solo dalla virtual machine che gestisce il disco virtuale. Una virtual machine non autorizzata che tenta di accedere ad un VMDK criptato senza la chiave corretta riceverà solo dati senza senso.

 

Blog serie

vSphere VM encryption: installazione KMS Server - pt.1
vSphere VM encryption: setup del vCenter Server - pt.2
vSphere VM encryption: criptare le virtual machine - pt.3

 

Come utilizzare la criptazione

Prima di procedere con la criptazione delle virtual machine, alcune raccomandazioni dovrebbero essere tentute presenti per evitare potenziali problemi.

  • Le virtual machine della Platform Services Controller e del vCenter Server non devono essere criptate.
  • Il bundle di supporto utilizzato per decriptare un core dump è generato utilizzando la chiave dell'host ESXi. Se l'host viene riavviato, la chiave dell'host può cambiare e il bundle di supporto potrebbe non essere generato con la password o in grado di decriptare i core dump nel bundle di supporto con la chiave dell'host. Per questo motivo se l'host va in crash bisogna recuperare il bundle di supporto il prima possibile.
  • Poichè i file .VMX e i file descrittori .VMDK contengono il bundle di supporto, non editare questi file per evitare di rendere la virtual machine irrecuperabile.

 

Criptare una virtual machine

Il processo di criptazione e decriptazione delle virtual machine è controllato dalle storage policy. La virtual machine deve essere spenta prima di procedere con la criptazione.

Dal vSphere Web Client effettuare un click con il tasto destro del mouse sulla virtual machine da criptare e selezionare VM Policies > Edit VM Storage Policies.

virtual-machines-encryption-02

Dal menu a tendina VM storage policy, selezionare l'opzione VM Encryption Policy per criptare la virtual machine.

virtual-machines-encryption-03

Cliccare su Apply to all e successivamente su OK per procedere con l'operazione di criptazione.

virtual-machines-encryption-04

Quando il processo di criptazione è stato completato, posizionarsi nella sezione Summary della virtual machine. L'icona indica che la virtual machine selezionata è criptata e nel widget VM Hardware, un nuovo campo Encryption specifica quali componenti sono criptati.

virtual-machines-encryption-05

 

Criptare il cluster vSAN

Se si utilizza vSAN come datastore nella propria infrastruttura, è possibile abilitare la criptazione anche per il cluster vSAN.

Dal vSphere Web Client, selezionare il cluster vSAN e posizionarsi nella sezione Configure. Selezionare General sotto la voce vSAN e cliccare sul bottone Edit nell'area vSAN is Turned ON.

virtual-machines-encryption-06

Abilitare l'Encryption e selezionare il cluster KMS da utilizzare. Cliccare su OK per applicare la criptazione al proprio cluster vSAN.

virtual-machines-encryption-07

Poichè la criptazione influenza le performance delle virtual machine, dovrebbe essere applicata solo alle virtual machine che richiedono un alto livello di sicurezza.

signature

Related Posts

About The Author

Paolo Valsecchi

System Engineer, VCP-DCV, vExpert, VMCE, Veeam Vanguard, PernixPro. Esperienza lavorativa focalizzata su VMware vSphere, Microsoft Active Directory e soluzioni di backup/DR.