Traga Suas Próprias Chaves para Criptografia de VMs no VMware Cloud on AWS

Atualizado: 02/05/2026

Temos o prazer de anunciar que o VMware Cloud on AWS agora oferece suporte a Bring Your Own Keys (BYOK) para criptografia de VM como parte do novo lançamento da versão 1.26! Essa capacidade permite que você integre seu próprio Key Management System (KMS) compatível com KMIP diretamente ao VMware Cloud on AWS, concedendo-lhe total propriedade e controle das chaves de criptografia que protegem suas workloads. Este recurso já está disponível para todos os SDDCs executando a versão 1.26 e superior.

O que é BYOK para criptografia de VM?

BYOK para criptografia de VM permite que você use seu próprio Key Management System externo, compatível com KMIP, para gerenciar as chaves de criptografia de suas máquinas virtuais rodando no VMware Cloud on AWS. Isso significa que você detém e gerencia as chaves que protegem suas workloads. Essa abordagem oferece uma clara separação de responsabilidades: suas chaves gerenciadas pelo cliente protegem os dados de suas workloads, enquanto o control plane do VMware Cloud on AWS permanece seguro separadamente pelo AWS KMS, gerenciado pela Broadcom.

Alguns benefícios importantes incluem:

• Data Sovereignty: Mantenha controle total sobre suas chaves de criptografia para atender a requisitos de conformidade regionais e regulatórios.
• Compliance-Ready: Projetado para se alinhar aos padrões europeus de soberania de dados, incluindo a certificação Nível 2 da Agência Nacional de Cibersegurança Italiana.
• Workload Security: Criptografe VMs usando um provedor de chaves gerenciado pelo cliente que se integra perfeitamente ao VMware Cloud on AWS.
• Key Lifecycle Control: Gerencie a rotação de chaves, eventos de ciclo de vida e recuperação — tudo nos seus termos.

Como funciona?

BYOK para criptografia de VM conecta seu KMS externo compatível com KMIP ao VMware Cloud on AWS através do vSphere VM Encryption (VMcrypt). Seu vCenter Server se comunica com seu KMS externo via protocolo KMIP para solicitar chaves de criptografia quando necessário. Essas chaves são usadas para criptografar discos de máquinas virtuais usando VMcrypt. Seu KMS gera, armazena e gerencia todas as chaves de criptografia — dando a você controle total sobre o ciclo de vida das chaves. Para informações detalhadas sobre o fluxo do processo de criptografia, consulte Como a Criptografia de Máquina Virtual do vSphere Protege Seu Ambiente.

O control plane do VMware Cloud on AWS opera separadamente e permanece criptografado usando AWS KMS, gerenciado pela Broadcom. Essa separação ajuda a garantir que a criptografia de sua workload permaneça independente e sob seu controle total. Por favor, revise a documentação técnica do VMware Cloud on AWS para mais informações e detalhes. Disponível com SDDC versão 1.26 e superior.

Começando em Quatro Passos

1. Prepare Seu KMS (Key Management System) Implante um KMS de alta disponibilidade, compatível com KMIP. Ele deve ser implantado com pelo menos 99,9% de disponibilidade.
2. Configure a Conectividade Configure o roteamento do seu SDDC para o KMS. Garanta caminhos de rede redundantes para resiliência. Recomendado: Use AWS Direct Connect para conectar o VMware Transit Connect Gateway ao seu KMS. Abra a porta 5696 para comunicação vCenter–KMS.
3. Registre e Confie em Seu Key Provider Adicione o KMS no vCenter e estabeleça confiança. Para etapas detalhadas e screenshots, consulte Adicionar Provedor de Chaves Padrão usando o vCenter Client. A imagem acima mostra que o Standard Key Provider foi adicionado e conectado com sucesso.
4. Criptografe Suas Workloads Use o vCenter para criptografar VMs durante a criação ou aplique a criptografia a VMs existentes. Para instruções passo a passo, consulte:
   • Criar uma Máquina Virtual Criptografada
   • Criptografar uma Máquina Virtual ou Disco Virtual Existente A imagem acima é uma representação de uma VM confirmando sua chave criptografada.

Principais Recursos e Capacidades

Operações de Criptografia

• Shallow Recrypt: Substitui apenas a Key Encryption Key (KEK) e pode ser realizada enquanto as VMs estão ligadas (exceto aquelas com controladores IDE). Funciona com snapshots existentes.

• Deep Recrypt: Substitui tanto a Disk Encryption Key (DEK) quanto a KEK. Requer que as VMs estejam desligadas e não suporta snapshots. A imagem acima mostra como recriptografar uma VM existente. Saiba mais sobre Shallow e Deep Recrypt.

• Suporte a Clonagem: Full clones herdam o estado de criptografia e podem ser recriptografados. Linked clones herdam a criptografia, mas não podem ser recriptografados com chaves diferentes. Instant clones são suportados em todos os key providers com chaves de criptografia imutáveis. Para mais informações, consulte Clonar uma Máquina Virtual Criptografada.

Migração e Recuperação de Desastres

• HCX Bulk Migration: Agora suporta migração de VM criptografada quando o mesmo Key Provider está configurado nos vCenter servers de origem e destino. O SDDC do VMware Cloud on AWS deve ser 1.26 ou posterior, e o SDDC on-prem deve ser vSphere 80u2 ou posterior.
• VLR Backup and Recovery: Suporta VMs criptografadas quando o mesmo Key Provider está disponível no vCenter server de recuperação. O SDDC do VMware Cloud on AWS deve ser 1.26 ou posterior, e o SDDC on-prem deve ser vSphere 80u2 ou posterior.

Considerações Importantes

Ao implementar BYOK para criptografia de VM, tenha em mente estes fatores críticos:

• A disponibilidade do KMS é essencial: Se o seu KMS ficar indisponível, as VMs em execução continuarão a operar normalmente, mas você não poderá ligar VMs criptografadas, criar novas VMs criptografadas ou realizar certas operações de manutenção até que a conectividade seja restaurada. Projete sua infraestrutura KMS com alta disponibilidade e implemente monitoramento e alertas para garantir a operação contínua.
• Responsabilidade pelo gerenciamento de chaves: Chaves de criptografia perdidas ou corrompidas tornam as workloads irrecuperáveis. Implemente procedimentos seguros de backup para seu KMS, documente os processos de recuperação e teste suas capacidades de recuperação de chaves regularmente.
• Impacto no desempenho: A criptografia aumenta o overhead da CPU e pode desabilitar a deduplicação de storage. Planeje a capacidade adequadamente.
• Criptografia dupla: Workloads usando criptografia vSAN terão proteção dupla quando o VMcrypt estiver habilitado.

Perguntas Frequentes

P: Quem pode criptografar ou descriptografar VMs? R: Usuários com a role de Cloud Admin e os privilégios criptográficos necessários.

P: O que acontece se meu KMS estiver indisponível? R: As VMs em execução continuam, mas novas operações de criptografia ou manutenção são pausadas até que a conectividade seja restaurada.

P: Posso exportar VMs criptografadas? R: Não. A exportação OVF de VMs criptografadas não é atualmente suportada.

P: As VMs serão criptografadas duplamente? R: Sim. As workloads usam criptografia vSAN por padrão. A aplicação do VMcrypt adiciona uma segunda camada de criptografia com overhead adicional da CPU.

Saiba Mais

• AWS Direct Connect com VMware Cloud on AWS
• Entendendo a Criptografia de Datastore vSAN vs. Criptografia VMcrypt
• Interoperabilidade da Criptografia de Máquina Virtual
• Ressalvas da Criptografia de Máquina Virtual
• Visão Geral das Operações de Criptografia
• Fluxo do Processo de Criptografia
• Pré-requisitos e Privilégios para Tarefas de Criptografia
• Melhores Práticas de Criptografia de Máquina Virtual

Recursos:

• Siga as notas de lançamento do VMware Cloud on AWS para atualizações contínuas.
• Leia nossos últimos blogs do VMware Cloud on AWS.
• Descubra mais no Blog do VMware Cloud Foundation (VCF).
• Assine para receber as últimas postagens em seu e-mail. Digite seu e-mail… Assinar