Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Tentang Virtual Trusted Platform Module

Virtual Trusted Platform Module (vTPM) adalah representasi berbasis software dari chip Trusted Platform Module (TPM) 2.0 fisik. Dengan fitur vTPM, Anda dapat menambahkan kriptoprosesor virtual TPM 2.0 ke mesin virtual. Google Cloud VMware Engine mendukung vTPM.

Anda dapat menggunakan Penyedia Kunci Default, Cloud Key Management Service, atau KMS eksternal untuk membuat vTPM. Google merekomendasikan agar Anda mengonfigurasi penyedia kunci sebagai penyedia kunci default di vCenter sebelum membuat vTPM.

Menambahkan vTPM ke VM

Anda dapat menambahkan vTPM ke VM dengan menambahkan perangkat virtual "Trusted Platform Module" ke VM. Lihat vSphere Virtual TPM (vTPM) Questions & Answers untuk mengetahui informasi selengkapnya.

Enkripsi vTPM dan VM untuk VM workload

VM workload menggunakan seed internal yang disimpan dalam virtual Trusted Platform Module (vTPM) untuk mengenkripsi data workload. Saat Anda menambahkan vTPM, sistem mengenkripsi file beranda VM secara default, tetapi tidak menyertakan disk virtual machine (VMDK). Untuk mengenkripsi VMDK, Anda harus mengenkripsinya secara terpisah.

Penyimpanan data dan prasyarat

Sistem menyimpan data vTPM dalam file NVRAM di direktori beranda VM, bersama dengan metadata VM lainnya. Untuk menggunakan vTPM, Anda harus memenuhi persyaratan berikut:

Konfigurasi penyedia kunci: Anda harus mengonfigurasi penyedia kunci karena fungsi vTPM memerlukan enkripsi VM. Enkripsi VM melindungi data vTPM di direktori beranda VM.

Pertimbangan utama untuk mengganti kunci VM dengan vTPM

Mengubah kunci VM dengan perangkat vTPM hanya akan memperbarui kunci enkripsi yang melindungi data vTPM di direktori beranda VM. Anda tidak dapat mengubah seed dalam vTPM setelah instansiasi.

Saat Anda menambahkan perangkat vTPM ke VM, perangkat akan membuat seed internal. Aplikasi yang berjalan di sistem operasi tamu dapat menggunakan seed ini untuk membuat kunci enkripsi atau rahasia guna melindungi data aplikasi.
Selain itu, mengaktifkan vTPM di VM memerlukan enkripsi file VM yang menggunakan penyedia kunci eksternal. Enkripsi VMDK bersifat opsional dan dinonaktifkan secara default.
Kunci enkripsi dari penyedia kunci eksternal mengenkripsi file VM (dan VMDK, jika Anda mengaktifkan enkripsi). Kunci ini terpisah dari seed yang disimpan di perangkat vTPM atau kunci yang dibuat aplikasi dengan menggunakan seed tersebut.
Anda harus mengonfigurasi penyedia kunci eksternal sebagai penyedia kunci default di vCenter.
Mengenkripsi ulang VM dengan perangkat vTPM akan mengenkripsi ulang file VM (dan VMDK, jika Anda mengaktifkan enkripsi) dengan menggunakan kunci enkripsi baru dari penyedia kunci eksternal. Operasi ini tidak memengaruhi seed atau rahasia yang disimpan di perangkat vTPM.

Persyaratan untuk virtual machine terenkripsi

Anda dapat mengelola kunci enkripsi untuk VM menggunakan penyedia Google-owned and managed key default atau Cloud Key Management Service.

Jika Anda mengaktifkan Enkripsi VM (atau vTPM) untuk VM apa pun di cloud pribadi dan menggunakan KMS untuk mengelola kunci enkripsi, Anda harus mengenkripsi ulang (mengubah kunci dangkal) setiap VM setelah merotasi kunci KMS.

Penggantian kunci ringan hanya menggantikan kunci enkripsi kunci (KEK) dan tidak mengubah kunci enkripsi data (DEK) VM. Anda biasanya memicu pengubahan kunci dangkal dengan menggunakan tindakan Enkripsi ulang di vSphere Client.

Selama operasi ini, sistem akan membungkus ulang (mengenkripsi ulang) DEK yang ada menggunakan KEK baru. Proses ini cepat karena tidak menulis ulang data sebenarnya di disk; melainkan hanya memperbarui paket kunci kecil yang berisi DEK terenkripsi. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VMware berikut:

Risiko gagal mengganti kunci VM terenkripsi

Gagal mengganti kunci VM terenkripsi sebelum Anda menghapus versi kunci KMS yang dirotasi (lama) dapat menyebabkan masalah berikut:

vMotion Gagal: Host ESXi tidak dapat mendekripsi DEK VM selama vMotion jika Anda mem-reboot host tujuan atau menambahkannya ke cluster setelah rotasi kunci KMS, tetapi sebelum Anda melakukan pengubahan kunci VM.
Kegagalan saat diaktifkan: Jika host melakukan reboot atau menghapus cache kunci lokalnya, host tersebut tidak dapat memperoleh kembali kunci dari KMS. Jika Anda menghapus kunci yang diperlukan dari KMS, host tidak dapat mendekripsi DEK, yang mencegah VM terenkripsi diaktifkan.

Langkah-langkah untuk melakukan operasi penggantian kunci pada VM workload

Di vSphere Client, klik kanan VM.
Pilih VM Policies > Re-encrypt.
Konfirmasi permintaan enkripsi ulang di dialog yang muncul.
Tunggu hingga tugas selesai.
Verifikasi penggantian kunci dengan memigrasikan VM ke host yang Anda mulai ulang atau tambahkan ke cluster setelah rotasi kunci KMS.