Per migliorare la sicurezza in un ambiente virtuale, VMware vSphere 6.5 include una funzione per effettuare l'encryption delle virtual machine proteggendo i dischi virtuali VMDK, i file .VMX e di swap rendendo i dati salvati illeggibili.
Solo la virtual machine che gestisce i dischi VMDK possiede la chiave utilizzata per effettuare l'encryption. Se si tenta di accedere ad un VMDK criptato da una VM non autorizzata, si ottengono solo dei dati illeggibili.
Nessun hardware aggiuntivo è richiesto per criptare e decriptare una virtual machine e il processore utilizzato deve supportare il set di istruzioni AES-NI, abilitato nel BIOS, per migliare le prestazioni poichè la criptazione è un processo intensivo di CPU.
Blog serie
vSphere VM encryption: installazione KMS Server - pt.1
vSphere VM encryption: setup del vCenter Server - pt.2
vSphere VM encryption: criptare le virtual machine - pt.3
Componenti richiesti
Per criptare le virtual machine, il vCenter Server deve essere connesso ad un Key Management Server (KMS) per ottenere le chiavi necessarie per criptare e decriptare le VM utilizzando il protocollo KMIP. KMS effettua uno scambio di certificati per stabilire una connessione con il vCenter Server.
Due componenti sono richiesti per effettuare la criptazione delle virtual machine:
- KMS Server - utilizzato per generare e salvare le chiavi passate al vCenter Server. Le istanze KMS aggiunte allo stesso cluster KMS configurate nel vCenter Server devono provenire dallo stesso vendor (per esempio HyTrust, CloudLink o IBM). E' possibile utilizzare vendor differenti in ambienti differenti per la creazione di un cluster KMS cluster per ogni KMS specificando il cluster di default (per default il primo cluster aggiunto).
- vCenter Server - stabilisce la connessione con il Server KMS per ottenere le chiavi da assegnare agli host ESXi conservando solo la lista degli ID delle chiavi (nessuna chiave è salvata nel vCenter Server).
Installare un Server KMS
In questo esempio sarà utilizzato il Server KMS di HyTrust. Scaricare il Server KMS Server come file .OVA dal sito web HyTrust.
Aprire il vSphere Web Client, effettuare un click con il tasto destro del mouse sul cluster o resource pool dove installare il Server KMS e selezionare la voce Deploy OVF Template.
Cliccare su Browse e selezionare il file scaricato, quindi cliccare su Next.
Digitare il Name e specificare la locazione di installazione. Cliccare Next.
Selezionare la risorsa in cui installare la virtual machine e cliccare Next.
Nella pagina Review Details un messaggio di avviso informa che sarà aggiunta una Extra configuration. Cliccare su Next.
Lasciare Recommended come valore nel campo Configuration e cliccare su Next.
Specificare il formato disco e il datastore da utlizzare. Cliccare su Next per continuare.
Specificare la rete da utilizzare selezionando il valore corretto dal menu a tendina Destination Network. Cliccare Next.
Inserire i parametri di rete richiesti e cliccare su Next.
Cliccare Finish per procedere con l'installazione.
Quando il processo di installazione è stato completato, effettuare un click con il tasto destro sulla virtual machine e selezionare Power > Power on. Quando la virtual machine è operativa, accedere alla console dal vCenter Server.
Configurare il Server KMS
Dalla console della virtual machine, inserire una nuova password e cliccare su OK.
Cliccare No poichè questo è il primo cluster KeyControl.
L'installazione è stata completata. Per finalizzare il setup, è necessario accedere alla webGUI all'indirizzo specificato. Cliccare OK.
La schermata del KMS Server system configuration viene visualizzata. Non sono richieste azioni aggiuntive dalla console quindi effettuare il Log Out.
Accedere al browser preferito e digitare l'indirizzo https://IP_address_KMS quindi inserire le credenziali di default. Cliccare su Sign-in.
Username: secroot
Password: secroot
Accettare l'EULA cliccando sul bottone I agree.
Inserire una nuova password per l'account secroot e cliccare su Update Password.
Opzionalmente è possibile configurare i parametri dell'e-mail per ricevere gli alert o disabilitare le notifiche tramite e-mail.
Viene visualizzata la dashboard principale. Cliccare sulla voce KMIP dal menu principale.
Il KMIP deve essere abilitato. Dal menu a tendina State selezionare la voce ENABLED e cliccare su Apply.
Selezionare ora la sezione Users e cliccare su Action. Selezionare la voce Create User.
Specificare lo Username e la Cert Expiration quindi cliccare su Create. Non inserire nessuna password per i certificati. Dovuto ad una limitazione di vSphere, non è possibile caricare certificati criptati.
L'utente è stato correttamente creato.
Selezionare l'utente appena creato e cliccare su Action > Download Certificate.
Il certificato in formato .ZIP viene scaricato nel computer locale e contiene un file del certificato/chiave dell'utente chiamato username.pem (VCSA.pem nell'esempio) e un file del certificato del server chiamato cacert.pem.
La configurazione del Server KMS è ora completa e il certificato è stato correttamente creato. La parte 2 illustrerà la configurazione necessaria da effettuare nel vCenter Server.
