Activation du chiffrement des machines virtuelles avec vSphere Native Key Provider

Découvrez comment mettre en œuvre le chiffrement de vos machines virtuelles avec vSphere Native Key Provider

Dernière mise à jour le 07/09/2022

Objectif

Ce guide a pour objectif d'expliquer les détails de la mise en œuvre de vSphere Native Key Provider pour ensuite effectuer un chiffrement d'une machine virtuelle dans l'offre Hosted Private Cloud powered by VMware d'OVHcloud.

Découvrez comment mettre en œuvre le chiffrement de vos machines virtuelles à l'aide de vSphere Native Key Provider.

OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.

Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un prestataire spécialisé si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.

Prérequis

  • Avoir souscrit une offre Hosted Private Cloud powered by VMware.
  • Être connecté à votre espace client OVHcloud.
  • Avoir accès à l’interface de gestion vSphere.
  • Avoir la version de vSphere et des hôtes en version 7.0 Update 2 minimum.
  • A ce jour, la solution de réplication Zerto n'est pas compatible avec le chiffrement. Les VMs chiffrées ne pourront donc pas être répliquées.

Il est possible que votre cluster Hosted Private Cloud powered by VMware ne soit pas en version 7.0 Update 2. Dans ce cas, contactez le support pour faire évoluer votre infrastructure.

Les options de chiffrement vSAN Data-At-Rest Encryption et vSAN Data-In-Transit Encryption ne sont pas supportées par défaut sur les clusters vSAN. Si toutefois vous souhaitez mettre en place ces options, veuillez contacter votre Technical Account Manager.

Présentation

vSphere Native Key provider permet de chiffrer les machines virtuelles, d'activer un vTPM dans les machines virtuelles ou d'activer le chiffrement « data-at-rest » sur vSAN, sans avoir besoin d'un serveur KMS (Key Management Server) externe.

Il est possible d'exporter la clé vSphere Native Key provider et de la réimporter sur un autre cluster.

Dans le détail, lorsque l'on chiffre une machine virtuelle, le Vcenter génère une clé KDK (Key Derivation Key).
Cette clé est poussée aux ESXi et permet de générer une autre clé, la DEK (Data Encryption Key) qui servira à effectuer le chiffrement des fichiers composant la machine virtuelle et donc de ses données.
La clé DEK est chiffrée à l'aide de la KDK. Elle est stockée et chiffrée avec la machine virtuelle. Vous trouverez plus de détails sur le chiffrement VMware en consultant les documentations officielles dans la section « Aller plus loin » de ce guide.

En pratique

Autorisation d'un utilisateur à administrer le chiffrement sur un cluster Hosted Private Cloud powered by VMware

Connectez-vous à l'espace client OVHcloud, cliquez sur Hosted Private Cloud et choisissez votre cluster. Positionnez vous sur Utilisateurs et cliquez sur le bouton ....

00 add right from manager 01

Cliquez sur Modifier.

00 add right from manager 02

Activez la Gestion du chiffrement et cliquez sur Valider.

00 add right from manager 03

Attendez que la fenêtre de modification disparaisse.

00 add right from manager 04

Les droits de gestion du chiffrement ont été modifiés, comme on peut le constater dans la colonne Gestion du chiffrement.

00 add right from manager 05

Création d'une clé vSphere Native Key Provider

Nous allons créer la clé de chiffrement vSphere Native Key Provider. Cette clé pourra être utilisée pour chiffrer les fichiers d'une machine virtuelle. Si vous souhaitez ajouter un périphérique virtuel vTPM, il est obligatoire de chiffrer la VM.

Connectez-vous à l'interface vSphere. Au besoin, aidez-vous du guide « Se connecter à l'interface vSphere ».

Cliquez en haut à gauche sur la racine du cluster puis cliquez sur l'onglet Configurer et choisissez Fournisseurs de clés.

01 Create KEY 01

Cliquez sur le bouton Ajouter et choisissez dans le menu Ajouter un fournisseur de clés natif.

01 Create KEY 02

Saisissez un nom dans Nom.

Si votre offre Private Cloud est plus ancienne que Premier Hosted Private Cloud powered by VMware, décochez la case Utiliser le fournisseur de clés uniquement avec les hôtes ESXi protégés par TPM (recommandé).

Cliquez sur AJOUTER UN FOURNISSEUR DE CLÉS.

01 Create KEY 03

Cliquez sur le bouton SAUVEGARDE à gauche pour sauvegarder la clé en dehors du cluster.

01 Create KEY 04

Cochez la case à gauche pour protéger la sauvegarde par un mot de passe.

01 Create KEY 05

Saisissez le mot de passe et confirmez-le. Cochez ensuite la case J'ai enregistré le mot de passe dans un lieu sûr et cliquez sur SAUVEGARDER LE FOURNISSEUR DE CLÉS.

01 Create KEY 06

Il est maintenant possible d'utiliser la clé pour chiffrer des machines virtuelles.

01 Create KEY 07

Chiffrement d'une machine virtuelle

Nous allons chiffrer une machine virtuelle ainsi que ses données.

L'opération de chiffrement d'une machine virtuelle ne peut se faire que lorsque celle-ci est éteinte.

Faites un clic droit sur la machine virtuelle puis, dans le menu Stratégies de VM, choisissez Modifier les stratégies de stockage VM.

02 encrypt VM 01

Dans le menu déroulant Stratégies de stockage de VM, choisissez VM Encryption Policy et cliquez sur OK.

02 encrypt VM 02

Dans les propriétés de la machine virtuelle, cliquez sur l'onglet Résumé. Vous verrez apparaitre un cadenas suivi du texte Chiffré avec un fournisseur de clés natif qui indique que la machine virtuelle est chiffrée.

02 encrypt VM 03

Migration d'une solution existante de chiffrement vers vSphere Native Key provider

Certains clients OVHcloud utilisent une solution de chiffrement avec des clés KMS externes. Il est possible de migrer le chiffrement vers vSphere Native Key Provider.

Suivez les instructions ci-dessous pour migrer une machine virtuelle chiffrée avec une clé générée par un KMS externe nommée cluster vers une clé vSphere Native Key Provider portant le nom MY-NKP.

Depuis la console vSphere de votre cluster, cliquez en haut à gauche sur la racine du cluster.
Allez en haut dans l'onglet Configurer.
Cliquez sur Fournisseurs de clés dans la barre verticale, positionnez-vous sur la clé vSphere Native Key provider et cliquez sur DÉFINIR COMME VALEUR PAR DÉFAUT.

03 migrate-from-kms-to-vnkp 01

Confirmez votre choix en cliquant sur DÉFINIR COMME VALEUR PAR DÉFAUT.

03 migrate-from-kms-to-vnkp 02

La clé vSphere Native Key Provider est alors définie par défaut.

03 migrate-from-kms-to-vnkp 03

Cliquez sur la machine virtuelle et allez dans l'onglet Résumé. Cette machine virtuelle utilise le fournisseur de clés standard. Nous allons changer le chiffrement de cette machine virtuelle.

03 migrate-from-kms-to-vnkp 04

Dans le client vSphere, faites un clic droit sur la machine virtuelle qui doit être à nouveau chiffrée. Dans l'entrée VM Policies du menu, choisissez Chiffrer à nouveau.

L'opération liée au nouveau chiffrement peut se faire avec la machine virtuelle allumée, car uniquement la clé DEK est chiffrée à nouveau.

03 migrate-from-kms-to-vnkp 05

Le nouveau chiffrement s'effectue en quelques millisecondes car l'opération effectuée n'est qu'un renouvellement du chiffrement de la clé DEK. Cette clé est maintenant chiffrée à l'aide de la nouvelle clé vSphere Native Key Provider.

03 migrate-from-kms-to-vnkp 06

Cliquez sur la machine virtuelle sur laquelle le chiffrement a été modifié et allez dans l'onglet Résumé. Vous pouvez constater que le chiffrement utilise un fournisseur de clés natif à coté du cadenas.

03 migrate-from-kms-to-vnkp 07

Aller plus loin

Présentation VMware de vSphere Native Key Provider

Documentation VMware du processus de chiffrement sur vSphere

Documentation VMware concernant vSphere Native Key Provider

Échangez avec notre communauté d’utilisateurs sur https://community.ovh.com/.


Cette documentation vous a-t-elle été utile ?

N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.

Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !

Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .

Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..


Ces guides pourraient également vous intéresser...

OVHcloud Community

Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.

Echanger sur OVHcloud Community

Conformément à la Directive 2006/112/CE modifiée, à partir du 01/01/2015, les prix TTC sont susceptibles de varier selon le pays de résidence du client
(par défaut les prix TTC affichés incluent la TVA française en vigueur).