PowerProtect: Skydd med VMware vSphere-kryptering av virtuell maskin (VM)

Bakgrund

Kryptering av data vid vila är en kritisk säkerhetsåtgärd som utformats för att skydda känslig information som lagras på disk eller andra lagringsmedier. Implementeringen av kryptering av vilande data sker med VMware vSphere VM-kryptering, en funktion som tillhandahåller kryptering för den virtuella datorn, associerade filer, virtuella diskar och snapshots. Krypteringsprocessen sker på hypervisornivå, vilket säkerställer att alla data på en virtuell dator krypteras. VM-kryptering förlitar sig på en nyckelprovidrar för att lagra och hantera krypteringsnycklar på ett säkert sätt. Den här separationen av tangenter från hypervisor förbättrar säkerheten. Bland de tillgängliga nyckelleverantörerna används ofta VMware Native Key Provider och Standard Key Provider.

PowerProtect-konfiguration

Det finns inga specifika konfigurationsinställningar för att aktivera eller inaktivera VM-kryptering och inställningarna hämtas från VMware vSphere-miljön. Informationen nedan ger vägledning om de nyckelproviders som kan användas, hur du aktiverar eller inaktiverar kryptering och hur du söker efter krypteringsinställningar. Denna information tillhandahålls endast som allmän information och vägledning. Vi rekommenderar att du läser VMware-dokumentationen för den specifika versionen innan du försöker göra några ändringar.

Inbyggd nyckelprovider

1. Översikt:

 VMware vSphere Native Key Provider är en integrerad nyckelhanteringslösning för kryptering av virtuella maskindiskar och lagringsenheter.

2. Egenskaper:

• Integrering under implementeringen med VMware vSphere-miljöer
• Tillgängligt i vSphere 7.0 Update 2 och senare
• Snabbinställning: Ingen extern nyckelserver krävs.

 3. Steg för att lägga till inbyggd nyckelprovider:

1. Logga in på VMware vSphere, bläddra i Inventory, välj vCenter-servern och klicka på "Configure," och inom ramen för "Security," Klicka "Key Providers."
2. Klicka på Lägg till, välj "Add Native Key Provider," Fyll i den information som krävs och klicka på "ADD KEY PROVIDER."
3. Markera rutan "Use key provider only with TPM protected ESXi hosts (Recommended)" om en TPM (Trusted Platform Module) 2.0 är tillgänglig och konfigurerad på värden.
4. Välj sedan den tillagda nyckeln och klicka på "Back-UP."
5. Markera rutan "Protect Native Key Provider data with password (Recommended)" och klicka på "Back UP KEY PROVIDER" knappen för att skapa lösenordet.
6. Ange ett lösenord, kontrollera att "password is saved in a secure place," och klicka på Säkerhetskopiera nyckelprovider.
7. Resultatet är en p12-fil som sparas automatiskt i nedladdningskatalogen.

Standardnyckelprovider

1. Översikt:

Standard Key Provider är ett mångsidigt alternativ som möjliggör integrering med externa nyckelhanteringslösningar.

2. Egenskaper:

• Extern integration: Stöd för integrering med nyckelhanteringslösningar från tredje part
• VMware-krav: Tillgängligt i VMware vSphere 6.5 och senare
• Anpassning: Gör det möjligt att anpassa viktiga hanteringspolicyer baserat på organisationens behov

3. Steg för att lägga till standardnyckelprovider (med KMS-certifikat och privat nyckel):

Följ dessa steg om du vill lägga till en nyckelprovider i vCenter-servern och upprätta en förtroenderelation mellan vCenter-servern och KMS:

1. Anslut till vSphere Client, välj vCenter-servern, klicka på "Configure," och inom ramen för "Security," Klicka "Key Providers."
2. Klicka på "Add Standard Key Provider" och ange information om nyckelprovider (namn och KMS-information).
3. Klicka på "ADD KEY PROVIDER," och sedan på "TRUST" för att upprätta förtroende mellan vCenter-servern och KMS.
4. Konfigurera KMS så att det litar på vCenter Server.
5. Välj den tillagda nyckelprovidern och välj sedan KMS för att upprätta förtroende. Välj "Make KMS trust vCenter" från "ESTABLISH TRUST" och följ stegen för att ladda upp KMS-certifikatet och den privata nyckeln.
6. När du är klar med uppladdningen klickar du på "ESTABLISH TRUST." Användargränssnittet visar att KMS är anslutet till vCenter-servern.

Testa VMware® vSphere® VM-krypteringsresultat med PowerProtect

Utförde tester för att säkerställa driftstatus för PowerProtect efter aktivering av VM-kryptering i VMware vSphere. Båda nyckelleverantörerna användes under testprocessen. Det ursprungliga tillståndet för den virtuella datorn var okrypterat och följande steg vidtogs för att kryptera den. Sedan verifierades PowerProtect-funktionaliteten.

Testfall 1: Verifiera PowerProtect driftstatus efter aktivering av VM-kryptering med inbyggd nyckelprovider

Miljöinformation:

• Fristående PowerProtect
• VMware vSphere Client-version: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM är inte tillgängligt på ESXi-värden.

Värden ska finnas i klustret. Lägg till den inbyggda nyckelprovidern genom att följa stegen som beskrivs i "Steg för att lägga till en intern nyckelprovider". Säkerställde korrekt kryptografisk behörighet och kompatibilitet för värdversionen innan du fortsätter med krypteringen Ange den tillagda nyckeln som standard. Den befintliga virtuella datorn krypterades sedan genom att redigera VM-principer. När du har startat VM:en bekräftar du driftstatusen för PowerProtect genom att lägga till tillgångskällor, skyddspolicyer och jobb som körs.

Testfall 2: Verifiera PowerProtect driftstatus efter aktivering av VM-kryptering med Standard Key Provider

Miljöinformation:

• VMware vSphere Client-version: 7.0.3.00500
• Fristående PowerProtect
• KMS-servertyp: Keysecure
• KMS-nyckelklass: ppdmdal
• Key Management Interoperability Protocol (KMIP) 1.1-kompatibel

Lade till standardnyckelprovidern genom att följa stegen som beskrivs i avsnittet "Steg för att lägga till standardnyckelprovider". Säkerställer att rätt kryptografiska privilegier finns tillgängliga i vCenter innan du fortsätter med kryptering. KMS har konfigurerats på vCenter och standardnyckeln har lagts till. Den virtuella datorn krypterades med standardnyckeln och sedan verifierades PowerProtect-driftstatus.

Prestandatestet utfördes på den virtuella datorn som krypterades med den interna nyckelprovidern. 
Testerna utfördes på ett annat antal och en annan typ av tillgångar. Registrerade sedan varaktighet och genomströmning för PowerProtect med och utan kryptering Observerade att det inte finns någon större inverkan på prestanda (med och utan kryptering)
Resultaten indikerar att PowerProtect fortsätter att fungera efter kryptering, vilket visar integreringen av kryptering i VMware-miljön. 

Begränsning och påminnelser

Effektiv hantering av krypteringsnycklar

• Effektiv hantering av krypteringsnycklar är avgörande för den övergripande säkerheten i din miljö. Implementera robusta säkerhetskopierings- och återställningsprocedurer för att minska risken för oavsiktlig förlust av krypteringsnycklar, vilket potentiellt kan leda till dataförlust.

KMIP-serverkonfiguration och tillgänglighet

• Säkerställ korrekt konfiguration och tillgänglighet för KMIP-servern (Key Management Interoperability Protocol) från VMware-infrastrukturen. Detta är viktigt för att krypteringsprocesser ska fungera smidigt och för att upprätthålla integriteten i nyckelhanteringen.

Potentiell inverkan på VM-prestanda

• Tänk på potentiell påverkan på prestanda för virtuella datorer (VM) under krypteringsprocessen. Det är tillrådligt att bedöma och förstå de potentiella konsekvenserna av resursanvändning och prestanda för att säkerställa en balanserad och optimal drift.