Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

À propos du module vTPM (Virtual Trusted Platform Module)

Un module vTPM (Virtual Trusted Platform Module) est une représentation logicielle d'une puce TPM (Trusted Platform Module) 2.0 physique. Avec la fonctionnalité vTPM, vous pouvez ajouter un cryptoprocesseur virtuel TPM 2.0 à une machine virtuelle. Google Cloud VMware Engine est compatible avec les modules vTPM.

Vous pouvez utiliser le fournisseur de clés par défaut, Cloud Key Management Service ou un KMS externe pour créer des modules vTPM. Nous vous recommandons de configurer le fournisseur de clés comme fournisseur de clés par défaut dans vCenter avant de créer un module vTPM.

Ajouter des modules vTPM à des VM

Vous pouvez ajouter des modules vTPM à des VM en ajoutant l'appareil virtuel "Trusted Platform Module" à la VM. Pour en savoir plus, consultez la section Questions et réponses sur le module vTPM (Virtual TPM) vSphere.

Chiffrement des modules vTPM et des VM pour les VM de charge de travail

Les VM de charge de travail utilisent une valeur initiale interne stockée dans le module vTPM (Virtual Trusted Platform Module) pour chiffrer les données de charge de travail. Lorsque vous ajoutez un module vTPM, le système chiffre les fichiers d'accueil de la VM par défaut, mais n'inclut pas les disques de machine virtuelle (VMDK). Pour chiffrer les VMDK, vous devez les chiffrer séparément.

Stockage des données et prérequis

Le système stocke les données vTPM dans le fichier NVRAM du répertoire d'accueil de la VM, ainsi que d'autres métadonnées de VM. Pour utiliser un module vTPM, vous devez répondre aux exigences suivantes :

Configurer un fournisseur de clés : vous devez configurer un fournisseur de clés, car la fonctionnalité vTPM nécessite le chiffrement des VM. Le chiffrement des VM protège les données vTPM dans le répertoire d'accueil de la VM.

Points clés à prendre en compte pour le renouvellement des clés des VM avec un module vTPM

Le renouvellement des clés d'une VM avec un appareil vTPM ne met à jour que la clé de chiffrement qui protège les données vTPM dans le répertoire d'accueil de la VM. Vous ne pouvez pas modifier la valeur initiale dans un module vTPM après l'instanciation.

Lorsque vous ajoutez un appareil vTPM à une VM, l'appareil génère une valeur initiale interne. Les applications exécutées sur le système d'exploitation invité peuvent utiliser cette valeur initiale pour générer des secrets ou des clés de chiffrement afin de protéger les données d'application.
Par ailleurs, l'activation d'un module vTPM sur une VM nécessite le chiffrement des fichiers de VM à l'aide d'un fournisseur de clés externe. Le chiffrement des VMDK est facultatif et désactivé par défaut.
La clé de chiffrement du fournisseur de clés externe chiffre les fichiers de VM (et les VMDK, si vous avez activé le chiffrement). Cette clé est distincte de la valeur initiale stockée dans l'appareil vTPM ou des clés que les applications génèrent à l'aide de cette valeur initiale.
Vous devez configurer le fournisseur de clés externe comme fournisseur de clés par défaut dans vCenter.
Le rechiffrement d'une VM avec un appareil vTPM rechiffre les fichiers de VM (et les VMDK, si vous avez activé le chiffrement) à l'aide d'une nouvelle clé de chiffrement du fournisseur de clés externe. Cette opération n'affecte pas la valeur initiale ni les secrets stockés dans l'appareil vTPM.

Exigence pour les machines virtuelles chiffrées

Vous pouvez gérer les clés de chiffrement pour les VM à l'aide du fournisseur par défaut Google-owned and managed key ou de Cloud Key Management Service.

Si vous activez le chiffrement des VM (ou le module vTPM) pour des VM de votre cloud privé et que vous utilisez un service de gestion des clés pour gérer les clés de chiffrement, vous devez rechiffrer (renouvellement superficiel des clés) chaque VM après avoir fait pivoter votre clé de service de gestion des clés.

Un renouvellement superficiel des clés ne remplace que la clé de chiffrement de clé (KEK) et ne modifie pas la clé de chiffrement des données (DEK) des VM. En règle générale, vous déclenchez un renouvellement superficiel des clés à l'aide de l'action Rechiffrer dans le client vSphere.

Au cours de cette opération, le système réencapsule (rechiffre) la DEK existante à l'aide d'une nouvelle KEK. Ce processus est rapide, car il n'écrit pas de données réelles sur le disque. Au lieu de cela, il ne met à jour que le petit bundle de clés contenant la DEK chiffrée. Pour en savoir plus, consultez la documentation VMware suivante :

Risques liés au non-renouvellement des clés des VM chiffrées

Si vous ne renouvelez pas les clés des VM chiffrées avant de supprimer la version de clé KMS pivotée (ancienne), les problèmes suivants peuvent se produire :

Échec des vMotion : les hôtes ESXi ne peuvent pas déchiffrer les DEK de VM lors d'une vMotion si vous redémarrez les hôtes de destination ou si vous les ajoutez au cluster après la rotation des clés KMS, mais avant d'effectuer le renouvellement des clés de la VM.
Échecs de mise sous tension : si un hôte redémarre ou efface son cache de clés local, il ne peut pas récupérer les clés du KMS. Si vous avez supprimé les clés requises du KMS, l'hôte ne peut pas déchiffrer la DEK, ce qui empêche la mise sous tension des VM chiffrées.

Étapes à suivre pour effectuer une opération de renouvellement des clés sur des VM de charge de travail

Dans le client vSphere, faites un clic droit sur la VM.
Sélectionnez VM Policies > Re-encrypt (Stratégies de VM > Rechiffrer).
Confirmez la demande de rechiffrement dans la boîte de dialogue qui s'affiche.
Attendez que la tâche soit terminée.
Vérifiez le renouvellement des clés en migrant la VM vers un hôte que vous avez redémarré ou ajouté au cluster après la rotation des clés KMS.