Attivare Virtual Machine Encryption (VM Encryption)

Come utilizzare la funzionalità di crittografia delle macchine virtuali

Ultimo aggiornamento: 18/11/2020

Obiettivo

Per abilitare la funzionalità di crittografia delle macchine virtuali sul servizio Managed Bare Metal di OVHcloud è possibile adottare una strategia di storage che utilizzi un Key Management Server (KMS) esterno.

Questa guida ti mostra come attivare la crittografia delle macchine virtuali con VM Encryption.

Prerequisiti

  • Disporre di una soluzione Managed Bare Metal
  • Disporre di un KMS esterno compatibile con KMIP 1.1 e presente nella matrice di compatibilità VMware
  • Avere accesso all’interfaccia di gestione vSphere
  • Disporre di macchine virtuali con almeno una versione hardware 13

Procedura

Recupera il thumbprint del certificato dal Key Management Server (KMS)

In base al KMS utilizzato, è possibile accedere al server tramite browser cliccando su View Certificate > Thumbprint.

Fingerprint del certificato

Fingerprint del certificato

Estrai il valore della riga SHA1 Fingerprint.

Ecco un altro metodo con OpenSSL:

openssl s_client -connect 192.0.2.1:5696 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin

In questo caso, è il valore a destra del simbolo uguale:

> SHA1 Fingerprint=7B:D9:46:BE:0C:1E:B0:27:CE:33:B5:2E:22:0F:00:84:F9:18:C6:61

Registra il KMS

Dallo Spazio Cliente

Accedi allo Spazio Cliente e, nella sezione Bare Metal Cloud, clicca su Managed Bare Metal nella colonna a sinistra e seleziona il servizio in questione.

Nella pagina principale, clicca sulla scheda Sicurezza.

Spazio Cliente OVHcloud

Nella parte inferiore della pagina è disponibile la sezione Virtual Machine Encryption Key Management Servers. Clicca sul pulsante Aggiungi un nuovo server KMS.

Server KMS

Nella nuova finestra, inserisci le informazioni richieste:

  • indirizzo IP del KMS
  • SSL Thumbprint del KMS precedentemente recuperato
  • seleziona la casella in cui dichiari di aver preso visione e compreso la documentazione e le azioni da effettuare. Clicca su Continua per confermare l’operazione.

Server KMS

Una barra di progressione mostrerà lo stato di avanzamento del processo.

Con l’API OVHcloud

Le funzionalità di crittografia possono essere attivate anche tramite l’API OVHcloud.

Per recuperare il “serviceName” utilizza questa chiamata API:

Per verificare che la cifratura non sia ancora attiva, esegui questa chiamata API:

>     "state": "disabled"

A questo punto registra il KMS:

Per effettuare questa operazione, assicurati di avere a disposizione le seguenti informazioni:

  • “serviceName” precedentemente recuperato
  • indirizzo IP del KMS
  • SSL Thumbprint del KMS precedentemente recuperato

Aggiungi il KMS sul vCenter

A proposito di questa sezione

Il vCenter Server crea un cluster KMS al momento dell’aggiunta della prima istanza KMS.

  • Quando aggiungi il KMS, viene suggerito di impostare questo cluster come predefinito. È comunque possibile modificarlo successivamente
  • Una volta che il vCenter ha creato il primo cluster, è possibile aggiungervi nuove istanze dello stesso fornitore
  • Per configurare il cluster è sufficiente disporre di un’istanza KMS
  • Se l’ambiente utilizzato gestisce le soluzioni KMS di diversi fornitori, è possibile aggiungere più cluster KMS
  • Se l’ambiente utilizzato include più cluster KMS e il cluster predefinito viene cancellato, è necessario definirne un altro. Consulta la sezione “Definire un cluster KMS predefinito”

Procedura

Per prima cosa accedi al Managed Bare Metal con il client Web vSphere, esplora la lista dell’inventario e seleziona il vCenter in questione. Clicca su “Manage” > “Key Management Servers”. Clicca su Add KMS, inserisci le informazioni nella configurazione guidata e clicca su OK. Clicca su Trust per convalidare il certificato.

Procedura di aggiunta KMS

Scegli le seguenti opzioni:

Nome Descrizione
KMS cluster Seleziona “Create new cluster” per ottenerne uno nuovo. Se esiste già un cluster, è possibile selezionarlo.
Cluster name Nome del cluster KMS. Questa informazione potrebbe essere necessaria per connettersi al KMS in caso di irraggiungibilità del cluster. È molto importante che il nome del cluster sia univoco e rappresentativo di questo elemento.
Server alias Alias per il KMS. Questa informazione potrebbe essere necessaria per connettersi al KMS in caso di irraggiungibilità del cluster.
Server address Indirizzo IP o FQDN del KMS.
Server port Porta su cui il server vCenter si connette al KMS. La porta KMIP standard è la 5696, ma può variare se il KMS di un altro fornitore è configurato su una porta specifica.
Proxy address Lascia vuoto questo campo.
Proxy port Lascia vuoto questo campo.
User name Alcuni fornitori di KMS permettono agli utenti di isolare le chiavi di crittografia usate dai diversi utilizzatori o gruppi, definendo un nome utente e una password. Inserisci questa informazione esclusivamente se il KMS supporta questa funzionalità e intendi utilizzarla.
Password Alcuni fornitori di KMS permettono agli utenti di isolare le chiavi di crittografia usate dai diversi utilizzatori o gruppi, definendo un nome utente e una password. Inserisci questa informazione esclusivamente se il KMS supporta questa funzionalità e intendi utilizzarla.

Importazione del certificato KMS

La maggior parte dei fornitori di KMS hanno bisogno di un certificato per stabilire una connessione sicura con il vCenter.

Accedi al vCenter in cui hai aggiunto il KMS e selezionalo. Nella sezione “All options”, clicca su “Establish a trust relationship with KMS”.

Assicurati che il certificato non sia criptato con una password quando effettui il download dal KMS. Ad esempio, durante la registrazione di un utente, creane uno senza password e scarica il certificato per il KMS.

Importazione certificato KMS

Verifica la configurazione del KMS

In Connection Status, verifica che lo stato del KMS risulti in modalità “Normal”.

Verifica lo stato della connessione

Modifica la politica dello storage di VM Encryption Storage

Crea una macchina virtuale. Una volta completata l’operazione, clicca con il tasto destro sulla VM e seleziona VM Policies > Edit VM Storage Policies.

VM Encryption Storage

Seleziona i file della macchina virtuale e dei dischi da cifrare.

VM Encryption Storage

Assicurati che le operazioni vengano eseguite senza errori.

Se il KMS non è configurato correttamente e si verificano malfunzionamenti con lo scambio di chiavi tra vCenter e KMS, l’operazione restituirà un errore di tipo “RuntimeFault” con il messaggio “Cannot generate key”.

vMotion cifrato

Relativamente a vMotion, la cifratura funziona al livello della macchina virtuale. Per la sincronizzazione vengono utilizzate chiavi di crittografia da 256 bit.

La cifratura del traffico vMotion funziona al livello del kernel della macchina virtuale con l’algoritmo AES-GCM (Advanced Encryption Standard-Galois Counter Mode) largamente utilizzato.

Modifica la macchina virtuale e clicca su VM Options.

A questo punto è necessario selezionare le opzioni nel caso in cui vMotion debba essere cifrato. Per questa operazione esistono tre politiche:

Stato Descrizione
Disabled Off
Opportunistic Cifratura solo se supportata dall’host sorgente e l’host ESXi di destinazione. In caso contrario vMotion non verrà cifrato
Required Verrà utilizzata la crittografia

vMotion cifrato

Il trasferimento di macchine tra gli host avviene tramite lo scambio di chiavi univoche generate e fornite dal server vCenter invece che dal KMS.

Verifica della configurazione

Verifica della configurazione

Verifica della configurazione

Verifica della configurazione

Per saperne di più

Contatta la nostra Community di utenti all’indirizzo https://community.ovh.com/en/.


Questa documentazione ti è stata utile?

Prima di inviare la valutazione, proponici dei suggerimenti per migliorare la documentazione.

Immagini, contenuti, struttura... Spiegaci perché, così possiamo migliorarla insieme!

Le richieste di assistenza non sono gestite con questo form. Se ti serve supporto, utilizza il form "Crea un ticket" .

Grazie per averci inviato il tuo feedback.


Potrebbero interessarti anche...

OVHcloud Community

Accedi al tuo spazio nella Community Fai domande, cerca informazioni, pubblica contenuti e interagisci con gli altri membri della Community OVHcloud

Discuss with the OVHcloud community

Conformemente alla Direttiva 2006/112/CE e successive modifiche, a partire dal 01/01/2015 i prezzi IVA inclusa possono variare in base al Paese di residenza del cliente
(i prezzi IVA inclusa pubblicati includono di default l'aliquota IVA attualmente in vigore in Italia).