Activar el cifrado de máquinas virtuales (VM Encryption)

Esta guía explica cómo activar el cifrado de sus máquinas virtuales.

Última actualización: 18/11/2020

Objetivo

El servicio Managed Bare Metal de OVHcloud permite gestionar el cifrado de las máquinas virtuales, utilizando una estrategia de almacenamiento por medio de un servicio de administración de claves (Key Management Server o KMS) externo.

Esta guía explica cómo activar el cifrado de sus máquinas virtuales con VM Encryption.

Requisitos

  • Tener contratado el servicio Managed Bare Metal.
  • Tener un servicio de administración de claves (KMS) externo compatible KMIP 1.1 dentro de la matriz de compatibilidad VMware.
  • Estar conectado a la interfaz de gestión vSphere.
  • Tener máquinas virtuales con una versión Hardware 13 (mínimo).

Procedimiento

Recuperar la huella del certificado del servicio de administración de claves (KMS)

En función de su KMS, podrá conectarse al servidor utilizando su navegador. Haga clic a continuación en View Certificate, y en Thumbprint

huella del certificado

huella del certificado

Obtenga el valor de la línea SHA1 Fingerprint.

Aquí tiene otro método con OpenSSL:

openssl s_client -connect 192.0.2.1:5696 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin

En este caso, es el valor que está a la derecha del símbolo de igual:

> SHA1 Fingerprint=7B:D9:46:BE:0C:1E:B0:27:CE:33:B5:2E:22:0F:00:84:F9:18:C6:61

Registrar su servicio de administración de claves (KMS)

Desde el área de cliente de OVHcloud

En su área de cliente, sitúese en el apartado Bare Metal Cloud En la barra de servicios de la izquierda, haga clic en Managed Bare Metal y seleccione el servicio Managed Bare Metal correspondiente.

Una vez en la página principal del servicio, haga clic en Seguridad.

Área de cliente de OVHcloud

Un poco más abajo de la página verá el apartado « Virtual Machine Encryption Key Management Servers ». Haga clic en el botón Añadir un nuevo servidor KMS.

server KMS

Aparecerá una ventana nueva donde debe introducir los siguientes datos:

  • Dirección IP del KMS;
  • El SSLThumbprint del servidor KMS obtenido anteriormente.

Active la casilla para declarar que ha leído la documentación, y haga clic en Siguiente.

server KMS

Aparecerá una ventana mostrando el progreso de la tarea.

Desde la API de OVHcloud

Las funciones de cifrado pueden activarse en la API de OVHcloud.

Para obtener su «serviceName», utilice la siguiente llamada a la API:

Para comprobar que el cifrado aun no está activado, utilice esta llamada a la API:

>     "state": "disabled"

Registre el KMS a continuación:

Para realizar esta operación, compruebe que dispone de la siguiente información:

  • el « serviceName » obtenido anteriormente;
  • La dirección IP del KMS;
  • El SSLThumbprint del servidor KMS obtenido anteriormente.

Añadir el servicio de gestión de claves (KMS) al vCenter

Acerca de esta sección

El Servidor vCenter crea un cluster KMS cuando se añade la primera instancia KMS.

  • Cuando añade el KMS, se le solicita que defina este cluster por defecto. Se puede modificar posteriormente.
  • Una vez que el vCenter ha creado el primer cluster, se pueden añadir nuevas instancias KMS del mismo proveedor.
  • Se puede configurar el cluster con, como mínimo, una sola instancia KMS.
  • Si su entorno utiliza soluciones KMS de diferentes proveedores, se pueden añadir varios cluster KMS.
  • Si su entorno tiene varios clusters KMS y se elimina el cluster por defecto, hay que definir como tal otro cluster. Vea «Definir el cluster KMS por defecto».

Procedimiento

Comience el proceso conectándose a su Managed Bare Metal con el cliente web vSphere. Consulte la lista de inventario y seleccione el vCenter correspondiente. Diríjase a «Gestionar», y después a «Key Management Servers». Haga clic en Añadir KMS, complete los datos KMS en el asistente que aparece en pantalla y haga clic en Ok. Acepte el certificado haciendo clic en Trust.

procedimiento añadir clave KMS

Elija las siguientes opciones:

Nombre de la opción Descripción
« KMS cluster » Seleccione «Crear nuevo cluster» para obtener uno nuevo. Si un cluster ya existe, puede seleccionarlo.
« Cluster name » Nombre del cluster KMS. Puede que necesite ese nombre para conectarse al KMS si su vCenter no está disponible. El nombre del cluster es muy importante para ser único y guardar una nota de ese mismo elemento.
« Server alias » Alias para el KMS. Puede que necesite este nombre para conectarse al KMS si su vCenter no está disponible.
« Server address » Dirección IP o FQDN del KMS.
« Server port » Puerto por el que el servidor vCenter se conecta con el KMS. El puerto estándar KMIP es 5696. Puede variar si el KMS de otro proveedor está configurado en un puerto específico.
« Proxy address » Deje este campo vacío.
« Proxy port » Deje este campo vacío.
« User name » Algunos proveedores de KMS permiten que los usuarios aíslen las claves de cifrado utilizadas por diferentes usuarios o grupos especificando un nombre de usuario y una contraseña. Especifique un nombre de usuario solo si su KMS dispone de esta funcionalidad y si tiene intención de utilizarla.
« Password » Algunos proveedores de KMS permiten que los usuarios aíslen las claves de cifrado utilizadas por diferentes usuarios o grupos especificando un nombre de usuario y una contraseña. Especifique una contraseña solo si su KMS dispone de esta funcionalidad y si tiene intención de utilizarla.

Importar el certificado KMS

La mayoría de proveedores de KMS necesitan un certificado para establecer una conexión segura con el vCenter.

Seleccione el servidor KMS en el vCenter en el que se ha añadido el mismo. En «Todas las opciones», haga clic en Establecer un enlace de confianza con KMS.

Compruebe que el certificado no está cifrado con una contraseña cuando lo descargue del KMS. Por ejemplo, si crea un usuario, hágalo sin contraseña y descargue el certificado para el usuario KMS.

importar certificado KMS

Compruebe que el KMS está configurado.

Compruebe que e l« Connection Status » correspondiente al KMS está en modo « Normal ».

verificar estado conexión

Modifique la política de almacenamiento de « VM Encryption Storage »

Cree una máquina virtual. Una vez creada, haga clic derecho sobre ella. Haga clic en VM Policies, y en Edit VM Storage Policies.

VM encryption storage

Seleccione los archivos de la máquina virtual y los demás discos duros que desea cifrar.

VM encryption storage

Compruebe que las tareas se han realizado sin cometer ningún fallo.

Si el KMS no está correctamente configurado, y si hay fallos con el intercambio de llaves entre el vCenter y KMS, habrá un error «RuntimeFault»en la tarea que tiene el mensaje de error « Cannot generate key ».

vMotion cifrado

En vMotion, el cifrado funciona a nivel de máquina virtual. Para la sincronización, se utilizan claves de cifrado de 256 bits.

El cifrado del tráfico vMotion funciona a nivel de núcleo de la máquina virtual con el algoritmo AES-GCM (Advanced Encryption Standard- Galois Counter Mode) ampliamente utilizado.

Modifique su máquina virtual y haga clic VM Options

Debe seleccionar las opciones si su vMotion se va a cifrar. Hay 3 políticas para el vMotion cifrado:

Estado Descripción
Disabled Apagado.
Opportunistic Cifrado solo si se encargan el host de origen y el host destino ESXi. En el caso contrario, vMotion no será cifrado.
Required Se utilizará el cifrado.

vMotion cifrado

El desplazamiento de las máquinas entre los hosts se realiza mediante el intercambio de llaves únicas, que vCenter genera y sirve , en vez de KMS.

Comprobación de la configuración

comprobación de la configuración

comprobación de la configuración

comprobación de la configuración

Más información

Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.


Did you find this guide useful?

Please feel free to give any suggestions in order to improve this documentation.

Whether your feedback is about images, content, or structure, please share it, so that we can improve it together.

Your support requests will not be processed via this form. To do this, please use the "Create a ticket" .

Thank you. Your feedback has been received.


These guides might also interest you...

OVHcloud Community

¡Acceda al espacio de la OVHcloud Community! Resuelva sus dudas, busque información, publique contenido e interactúe con otros miembros de la comunidad.

Discuss with the OVHcloud community