Informazioni su Virtual Trusted Platform Module

Un Virtual Trusted Platform Module (vTPM) è una rappresentazione basata su software di un chip Trusted Platform Module (TPM) 2.0 fisico. Con la funzionalità vTPM, puoi aggiungere un criptoprocessore virtuale TPM 2.0 a una macchina virtuale. Google Cloud VMware Engine supporta i vTPM.

Puoi utilizzare il fornitore di chiavi predefinito, Cloud Key Management Service o un KMS esterno per creare vTPM. Google consiglia di configurare il fornitore di chiavi come fornitore di chiavi predefinito in vCenter prima di creare un vTPM.

Aggiunta di vTPM alle VM

Puoi aggiungere vTPM alle VM aggiungendo il dispositivo virtuale "Trusted Platform Module" alla VM. Per ulteriori informazioni, consulta Domande e risposte su vSphere Virtual TPM (vTPM).

vTPM e crittografia VM per le VM dei carichi di lavoro

Le VM dei workload utilizzano un seed interno archiviato all'interno del Trusted Platform Module (vTPM) virtuale per criptare i dati dei workload. Quando aggiungi un vTPM, il sistema cripta i file home della VM per impostazione predefinita, ma non include i dischi della macchina virtuale (VMDK). Per criptare i file VMDK, devi criptarli separatamente.

Archiviazione dei dati e prerequisiti

Il sistema archivia i dati vTPM nel file NVRAM nella home directory della VM, insieme ad altri metadati della VM. Per utilizzare vTPM, devi soddisfare il seguente requisito:

• Configura un fornitore di chiavi: devi configurare un fornitore di chiavi perché la funzionalità vTPM richiede la crittografia della VM. La crittografia della VM protegge i dati vTPM nella home directory della VM.

Considerazioni chiave per la riassegnazione delle chiavi delle VM con vTPM

La riassegnazione delle chiavi di una VM con un dispositivo vTPM aggiorna solo la chiave di crittografia che protegge i dati del vTPM nella home directory della VM. Non puoi modificare il seed all'interno di un vTPM dopo l'istanza.

• Quando aggiungi un dispositivo vTPM a una VM, il dispositivo genera un seed interno. Le applicazioni in esecuzione sul sistema operativo guest possono utilizzare questo seme per generare segreti o chiavi di crittografia per proteggere i dati delle applicazioni.
• Inoltre, l'abilitazione di vTPM su una VM richiede la crittografia dei file della VM che utilizza un provider di chiavi esterno. La crittografia VMDK è facoltativa e disabilitata per impostazione predefinita.
• La chiave di crittografia del fornitore di chiavi esterno cripta i file della VM (e i VMDK, se hai attivato la crittografia). Questa chiave è separata dal seme memorizzato nel dispositivo vTPM o dalle chiavi generate dalle applicazioni utilizzando questo seme.
• Devi configurare il fornitore di chiavi esterno come fornitore di chiavi predefinito in vCenter.
• La ricrittografia di una VM con un dispositivo vTPM ricrittografa i file della VM (e i VMDK, se hai attivato la crittografia) utilizzando una nuova chiave di crittografia del fornitore di chiavi esterno. Questa operazione non influisce sul seme o sui segreti memorizzati nel dispositivo vTPM.

Requisito per le macchine virtuali criptate

Puoi gestire le chiavi di crittografia per le VM utilizzando il providerGoogle-owned and managed key predefinito o Cloud Key Management Service.

Se abiliti la crittografia VM (o vTPM) per qualsiasi VM nel tuo cloud privato e utilizzi un KMS per gestire le chiavi di crittografia, devi crittografare nuovamente (sostituzione chiavi superficiale) ogni VM dopo aver eseguito la rotazione della chiave KMS.

Una sostituzione chiavi superficiale sostituisce solo la chiave di crittografia della chiave (KEK) e non modifica la chiave di crittografia dei dati (DEK) delle VM. In genere, si attiva una sostituzione chiavi superficiale utilizzando l'azione Ricripta in vSphere Client.

Durante questa operazione, il sistema esegue il wrapping (ricrittografa) della DEK esistente utilizzando una nuova KEK. Questo processo è rapido perché non riscrive i dati effettivi sul disco, ma aggiorna solo il piccolo bundle di chiavi che contiene la DEK criptata. Per ulteriori informazioni, consulta la seguente documentazione VMware:

• Generare nuove chiavi di crittografia
• Riassegnazione della crittografia della macchina virtuale

Rischi di mancata sostituzione delle chiavi delle VM criptate

Se non esegui la sostituzione delle chiavi delle VM criptate prima di eliminare la versione della chiave KMS ruotata (precedente), possono verificarsi i seguenti problemi:

• vMotion non riusciti: gli host ESXi non possono decriptare le DEK delle VM durante vMotion se riavvii gli host di destinazione o li aggiungi al cluster dopo la rotazione della chiave KMS, ma prima di eseguire la sostituzione chiavi della VM.
• Errori di accensione: se un host si riavvia o cancella la cache delle chiavi locali, non può recuperare le chiavi dal KMS. Se hai eliminato le chiavi richieste da KMS, l'host non può decriptare la DEK, il che impedisce l'accensione delle VM criptate.

Passaggi per eseguire un'operazione di sostituzione chiavi sulle VM dei carichi di lavoro

1. In vSphere Client, fai clic con il tasto destro del mouse sulla VM.
2. Seleziona Norme VM > Esegui di nuovo la crittografia.
3. Conferma la richiesta di ri-crittografia nella finestra di dialogo visualizzata.
4. Attendi il completamento dell'attività.
5. Verifica la sostituzione chiavi eseguendo la migrazione della VM a un host riavviato o aggiunto al cluster dopo la rotazione della chiave KMS.