La protección de los datos almacenados es solo un elemento de seguridad; también necesita cifrar las conexiones de red. Para la parte de la infraestructura, toda la comunicación entre vCenter y los hosts suele estar cifrada. Sin embargo, algún otro tráfico de red de infraestructura generalmente no está protegido; por ejemplo, tráfico iSCSI o NFS (y también vMotion, hasta vSphere 6.5).
A partir de vSphere 6.5, vSphere vMotion siempre usa cifrado al migrar máquinas virtuales cifradas. Para las máquinas virtuales que no están cifradas, puede seleccionar una de las opciones cifradas de vSphere vMotion.
vSphere vMotion cifrado protege la confidencialidad, la integridad y la autenticidad de los datos que se transfieren con vSphere vMotion. vSphere vMotion cifrado admite todas las variantes de vSphere vMotion para máquinas virtuales no cifradas, incluida la migración entre sistemas vCenter Server. La migración entre sistemas vCenter Server no es compatible con máquinas virtuales cifradas.
Para discos encriptados, los datos se transmiten encriptados. Para los discos que no están cifrados, no se admite el cifrado de Storage vMotion. Para las máquinas virtuales cifradas, la migración con vSphere vMotion siempre usa vSphere vMotion cifrado. No puede desactivar vSphere vMotion cifrado para máquinas virtuales cifradas.
Para las máquinas virtuales que no están cifradas, puede configurar vSphere vMotion cifrado en uno de los siguientes estados. El valor predeterminado es Oportunista .
| Opción | Descripción |
|---|---|
| Deshabilitado | No utilice vSphere vMotion cifrado. |
| Oportunista | Utilice vSphere vMotion cifrado si los hosts de origen y destino lo admiten. Solo las versiones 6.5 y posteriores de ESXi usan vSphere vMotion cifrado. |
| Obligatorio | Permitir solo vSphere vMotion cifrado. Si el host de origen o de destino no admite vSphere vMotion cifrado, no se permite la migración con vSphere vMotion. |
Cuando cifra una máquina virtual, la máquina virtual mantiene un registro de la configuración cifrada actual de vSphere vMotion. Si luego deshabilita el cifrado para la máquina virtual, la configuración de vMotion cifrada permanece en Obligatorio hasta que cambie la configuración explícitamente. Puede cambiar la configuración mediante Editar configuración.
Prácticas recomendadas de cifrado de máquinas virtuales
Siga las prácticas recomendadas de cifrado de máquinas virtuales para evitar problemas más adelante, por ejemplo, cuando genere un paquete de soporte de vm.
Mejores prácticas generales
Siga estas mejores prácticas generales para evitar problemas.
- No cifre ninguna máquina virtual de vCenter Server Appliance.
- Si su host ESXi falla, recupere el paquete de soporte lo antes posible. La clave de host debe estar disponible si desea generar un paquete de soporte que use una contraseña o si desea descifrar el volcado del núcleo. Si se reinicia el host, es posible que la clave del host cambie y ya no pueda generar un paquete de soporte con una contraseña o descifrar volcados del núcleo en el paquete de soporte con la clave del host.
- Administre cuidadosamente los nombres de los clústeres de KMS. Si el nombre del clúster de KMS cambia para un KMS que ya está en uso, cualquier máquina virtual cifrada con claves de ese KMS ingresa en un estado no válido durante el encendido o el registro. En ese caso, elimine el KMS de vCenter Server y agréguelo con el nombre del clúster que utilizó inicialmente.
- No edite archivos VMX ni archivos descriptores VMDK. Estos archivos contienen el paquete de cifrado. Es posible que sus cambios hagan que la máquina virtual sea irrecuperable y que el problema de recuperación no se pueda solucionar.
- El proceso de cifrado cifra los datos en el host antes de que se escriban en el almacenamiento. Es posible que las funciones de almacenamiento de back-end, como la deduplicación y la compresión, no sean efectivas para las máquinas virtuales cifradas. Considere las ventajas y desventajas de almacenamiento al usar el cifrado de máquina virtual de vSphere.
- El cifrado consume mucha CPU. AES-NI mejora significativamente el rendimiento del cifrado. Habilite AES-NI en su BIOS.
Conclusión
La función de cifrado de vMotion no es simplemente un cifrado de todo el canal de red para el tráfico de vMotion. No hay certificados para administrar.
El cifrado ocurre en un nivel por VM; cuando se migra la máquina virtual, vCenter genera una clave de 256 bits de un solo uso generada aleatoriamente (no utiliza el KMS). Además, también se genera un nonce de 64 bits (un número arbitrario que se usa solo una vez en una operación criptográfica). La clave de cifrado y el nonce se empaquetan en la especificación de migración enviada a ambos hosts. En ese momento, todos los datos de VM vMotion se cifran tanto con la clave como con el nonce, lo que garantiza que las comunicaciones no se puedan utilizar para reproducir los datos.