| title | excerpt | updated |
|---|---|---|
Ativação da encriptação das máquinas virtuais (VM Encryption) |
Saiba como ativar a encriptação das suas máquinas virtuais |
2020-11-18 |
Este guia explica como proceder à ativação do VM Encryption no serviço Managed Bare Metal da OVHcloud, através de uma estratégia de armazenamento com recurso a um KMS (Key Management Server) externo.
Saiba como ativar a encriptação das suas máquinas virtuais com o VM Encryption.
- Dispor do serviço Managed Bare Metal{.external}.
- Dispor de um KMS externo compatível com KMIP{.external} 1.1 e presente na matriz de compatibilidade{.external} VMware.
- Aceder à interface de gestão vSphere.
- Dispor de máquinas virtuais com uma versão hardware 13 (mínimo).
Em função do KMS, pode ligar-se ao servidor através do seu browser. De seguida, clique em View Certificate{.action} e em Thumbprint{.action}.
{.thumbnail}
{.thumbnail}
Então extraia o valor da linha SHA1 Fingerprint.
Apresentamos abaixo outro método com OpenSSL:
openssl s_client -connect 192.0.2.1:5696 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdinAqui, trata-se do valor à direita do sinal de igual:
> SHA1 Fingerprint=7B:D9:46:BE:0C:1E:B0:27:CE:33:B5:2E:22:0F:00:84:F9:18:C6:61Na Área de Cliente, aceda à secção Bare Metal Cloud. Clique em Managed Bare Metal{.action} na barra de serviços à esquerda e selecione o serviço Managed Bare Metal correspondente.
Na página principal do serviço, clique em Segurança{.action}.
{.thumbnail}
Mais abaixo na página, encontrará a secção «Virtual Machine Encryption Key Management Servers». Clique no botão Adicionar um novo servidor KMS{.action}.
{.thumbnail}
Na nova janela que se abrir, introduza as seguintes informações:
- o endereço IP do KMS;
- o SSLThumbprint do KMS obtido anteriormente.
Clique na caixa para validar esta documentação e, então, em Avançar{.action}.
{.thumbnail}
Uma janela vai exibir a progressão da tarefa.
As funções de encriptação podem ser ativadas por meio da API OVHcloud.
De modo a obter o seu «serviceName», utilize o comando seguinte:
[!api]
@api {v1} /dedicatedCloud GET /dedicatedCloud
Para verificar se a encriptação ainda não foi ativada, utilize este comando:
[!api]
@api {v1} /dedicatedCloud GET /dedicatedCloud/{serviceName}/vmEncryption
> "state": "disabled"A seguir, efetue o registo do KMS:
[!api]
@api {v1} /dedicatedCloud POST /dedicatedCloud/{serviceName}/kms
A fim de realizar esta operação, precisará das seguintes informações:
- o «serviceName» obtido anteriormente;
- o endereço IP do KMS;
- o SSLThumbprint do KMS obtido anteriormente.
O vCenter Server cria um cluster KMS quando é adicionada a primeira instância KMS.
- Quando adicionar o KMS, será convidado a definir este cluster como predefinido. No entanto, poderá modificá-lo mais tarde.
- Depois de o vCenter ter criado o primeiro cluster, poderá adicionar novas instâncias KMS do mesmo fornecedor.
- Poderá configurar o cluster com uma única instância KMS.
- Se o seu ambiente é compatível com as soluções KMS de diferentes fornecedores, poderá adicionar vários clusters KMS.
- Se o seu ambiente contém vários clusters KMS e o cluster predefinido for eliminado, terá de definir outro. Ver «Definir o cluster KMS predefinido».
Comece por se ligar à sua Managed Bare Metal através do vSphere Web Client. Percorra a lista de inventário e selecione o vCenter em causa. Clique em «Gerir» e em «Key Management Servers». Clique em Adicionar KMS{.action}, especifique os dados KMS no assistente que se abrir e clique em OK{.action}.
Valide o certificado clicando em Confiar{.action}.
{.thumbnail}
Escolha as opções seguintes:
| Nome da opção | Descrição |
|---|---|
| «KMS cluster» | Selecione «Criar novo cluster» para obter um novo. Se já existir um cluster, poderá escolhê-lo. |
| «Cluster name» | Nome do cluster KMS. Poderá precisar deste nome para se ligar ao KMS caso o vCenter se encontre indisponível. O nome do cluster é muito importante por ser único e conter uma nota a esse respeito. |
| «Server alias» | Alias do KMS. Poderá precisar deste alias para se ligar ao KMS caso o vCenter se encontre indisponível. |
| «Server address» | Endereço IP ou FQDN do KMS. |
| «Server port» | Porta pela qual o servidor vCenter se liga ao KMS. A porta KMIP padrão é 5696. Pode ser diferente se o KMS de outro fornecedor estiver configurado numa porta específica. |
| «Proxy address» | Deixar este campo vazio. |
| «Proxy port» | Deixar este campo vazio. |
| «User name» | Certos fornecedores de KMS permitem que os utilizadores isolem as chaves de encriptação utilizadas por diferentes utilizadores ou grupos. Para isso, especificam um nome de utilizador e uma palavra-passe. Só especifique um nome de utilizador se o seu KMS suportar esta funcionalidade e se pretender utilizá-la futuramente. |
| «Password» | Certos fornecedores de KMS permitem que os utilizadores isolem as chaves de encriptação utilizadas por diferentes utilizadores ou grupos. Para isso, especificam um nome de utilizador e uma palavra-passe. Só especifique uma palavra-passe se o seu KMS suportar esta funcionalidade e se pretender utilizá-la futuramente. |
A maioria dos fornecedores de KMS precisam de um certificado para estabelecer uma ligação segura{.external} com o vCenter.
A partir do vCenter onde adicionou o servidor KMS, selecione este último. Em «Todas as opções», clique em Estabelecer uma relação de confiança com o KMS{.action}.
Warning
Assegure-se de que o certificado não está encriptado com uma palavra-passe quando o descarregar a partir do KMS. Por exemplo: se criar um utilizador, crie-o sem palavra-passe e descarregue o certificado para o utilizador KMS.
{.thumbnail}
Verifique se o «Connection Status» correspondente ao KMS se encontra no modo «Normal».
{.thumbnail}
Crie uma máquina virtual. A seguir, faça clique com o botão direito sobre ela. Clique em VM Policies{.action} e em Edit VM Storage Policies{.action}.
{.thumbnail}
Selecione os ficheiros da máquina virtual e os outros discos rígidos a serem encriptados.
{.thumbnail}
Certifique-se de que as tarefas foram realizadas sem erros.
[!primary]
Se o KMS não estiver configurado corretamente e houver falhas na troca de chaves entre o vCenter e o KMS, ocorrerá um erro «RuntimeFault» na tarefa e surgirá a mensagem «Cannot generate key».
No que diz respeito ao vMotion, a encriptação ocorre ao nível da máquina virtual. São utilizadas chaves de encriptação de 256 bits para a sincronização.
A encriptação do tráfego vMotion ocorre ao nível do núcleo da máquina virtual, com o algoritmo amplamente utilizado AES-GCM (Advanced Encryption Standard-Galois Counter Mode).
De seguida, modifique a máquina virtual e clique em VM Options{.action}.
Deve selecionar as opções caso o vMotion tenha de ser encriptado. Há três políticas para um vMotion encriptado:
| Estado | Descrição |
|---|---|
| Disabled | Desativado. |
| Opportunistic | Só há encriptação se for compatível com o host-fonte e o host-alvo ESXi. Caso contrário, o vMotion não será encriptado. |
| Required | Será utilizada a encriptação. |
{.thumbnail}
A deslocação das máquinas entre os hosts é efetuada por meio da troca de chaves únicas, que são geradas e servidas pelo servidor vCenter, em vez do KMS.
{.thumbnail}
{.thumbnail}
{.thumbnail}
Fale com a nossa comunidade de utilizadores em https://community.ovh.com/en/.