PowerProtect: Ochrana pomocí šifrování virtuálního počítače VMware vSphere

Pozadí

Šifrování neaktivních dat je důležité bezpečnostní opatření určené k ochraně citlivých informací uložených na disku nebo jiném paměťovém médiu. Šifrování dat v klidu se implementuje pomocí funkce VMware vSphere VM Encryption, která zajišťuje šifrování virtuálního počítače, přidružených souborů, virtuálních disků a snapshotů. Proces šifrování probíhá na úrovni hypervisoru a zajišťuje, že všechna data v rámci virtuálního počítače jsou šifrovaná. Šifrování virtuálních počítačů spoléhá na poskytovatele klíčů k bezpečnému ukládání a správě šifrovacích klíčů. Toto oddělení klíčů od hypervisoru zvyšuje zabezpečení. Z dostupných poskytovatelů klíčů se běžně používají VMware Native Key Provider a Standard Key Provider.

Konfigurace PowerProtect

Neexistují žádná konkrétní nastavení konfigurace, která by umožňovala povolit nebo zakázat šifrování virtuálních počítačů, a nastavení jsou převzata z prostředí VMware vSphere. Níže uvedené podrobnosti obsahují pokyny k poskytovatelům klíčů, které lze použít, jak povolit nebo zakázat šifrování a jak zkontrolovat nastavení šifrování. Tyto informace jsou poskytovány pouze jako obecné informace a vodítko. Před provedením jakýchkoli změn doporučujeme nahlédnout do dokumentace VMware pro konkrétní verzi.

Nativní poskytovatel klíčů

1. Přehled:

 VMware vSphere Native Key Provider je integrované řešení správy klíčů pro šifrování disků virtuálních počítačů a entit úložiště.

2. Funkce:

• Integrace během implementace s prostředími VMware vSphere
• K dispozici v systému vSphere 7.0 Update 2 a novějším
• Rychlé nastavení: Není vyžadován žádný externí server klíčů.

 3. Postup přidání poskytovatele nativních klíčů:

1. Přihlaste se do systému VMware vSphere, přejděte do inventáře, vyberte server vCenter a klikněte na možnost "Configure," a pod "Security," Klepněte "Key Providers."
2. Klikněte na možnost Přidat, vyberte možnost "Add Native Key Provider," Vyplňte požadované informace a klikněte na tlačítko "ADD KEY PROVIDER."
3. Zaškrtněte políčko "Use key provider only with TPM protected ESXi hosts (Recommended)" jestli je na hostiteli dostupný a nakonfigurovaný modul TPM (Trusted Platform Module) 2.0, server Trusted Platform Module (TPM) 2.0, server Trusted Platform Module 2.0
4. Poté vyberte přidaný klíč a klikněte na "Back-UP."
5. Zaškrtněte políčko "Protect Native Key Provider data with password (Recommended)" a klikněte na ikonu "Back UP KEY PROVIDER" tlačítko pro vytvoření hesla.
6. Zadejte heslo a zkontrolujte, zda je "password is saved in a secure place," a klikněte na možnost Back Up Key Provider.
7. Výsledkem je soubor p12, který se automaticky uloží do adresáře downloads.

Standardní zprostředkovatel klíčů

1. Přehled:

Standardní poskytovatel klíčů je univerzální možnost, která umožňuje integraci s externími řešeními pro správu klíčů.

2. Funkce:

• Externí integrace: Podporuje integraci s řešeními správy klíčů třetích stran
• Požadavky VMware: K dispozici v systému VMware vSphere 6.5 a novějším
• Přizpůsobení: Umožňuje přizpůsobení zásad správy klíčů na základě potřeb organizace.

3. Postup přidání standardního zprostředkovatele klíčů (pomocí certifikátu Služby správy klíčů a privátního klíče):

Chcete-li přidat poskytovatele klíčů do nástroje vCenter Server a vytvořit vztah důvěryhodnosti mezi serverem vCenter a službou KMS, postupujte následovně:

1. Připojte se ke klientovi vSphere, vyberte server vCenter a klikněte na možnost "Configure," a pod "Security," Klepněte "Key Providers."
2. Klikněte na tlačítko "Add Standard Key Provider" a zadejte informace o poskytovateli klíčů (název a podrobnosti o serveru KMS).
3. Klikněte na tlačítko "ADD KEY PROVIDER," a poté na možnost "TRUST" k vytvoření důvěry mezi serverem vCenter a KMS.
4. Nastavte server KMS tak, aby důvěřoval nástroji vCenter Server.
5. Vyberte přidaného zprostředkovatele klíčů a pak vyberte KMS pro navázání důvěryhodnosti. Vyberte "Make KMS trust vCenter" Z nabídky "ESTABLISH TRUST" a postupujte podle pokynů k nahrání certifikátu KMS a soukromého klíče.
6. Po dokončení nahrávání klikněte na tlačítko "ESTABLISH TRUST." Uživatelské rozhraní zobrazuje, že Služba správy klíčů je připojena k serveru vCenter.

Testování výsledků VMware® vSphere® VM Encryption pomocí PowerProtect

Testování za účelem zajištění provozního stavu systému PowerProtect po povolení šifrování virtuálních počítačů v systému VMware vSphere. Během testovacího procesu byli použiti oba klíčoví poskytovatelé. Počáteční stav virtuálního počítače byl nezašifrovaný a k jeho zašifrování byly provedeny následující kroky. Poté byla ověřena funkčnost PowerProtect.

Testovací případ 1: Ověření provozního stavu PowerProtect po povolení VM Encryption pomocí nativního poskytovatele

klíčůPodrobnosti o prostředí:

• Samostatný PowerProtect
• Verze klienta VMware vSphere: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• Čip TPM není k dispozici na hostiteli ESXi.

Hostitel by měl být v clusteru. Přidejte poskytovatele nativního klíče podle kroků uvedených v části "Postup přidání poskytovatele nativního klíče". Před pokračováním v šifrování je třeba zajistit správná kryptografická oprávnění a kompatibilitu hostitelské verze. Nastavte přidaný klíč jako výchozí. Existující virtuální počítač se pak zašifroval úpravou zásad virtuálních počítačů. Po zapnutí virtuálního počítače byl potvrzen provozní stav PowerProtect přidáním zdrojů prostředků, zásad ochrany a spuštěných úloh.

Testovací případ 2: Ověření provozního stavu PowerProtect po povolení nástroje VM Encryption pomocí standardního poskytovatele klíčů

Podrobnosti o prostředí:

• Verze klienta VMware vSphere: 7.0.3.00500
• Samostatný PowerProtect
• Typ serveru KMS: Keysecure
• Třída klíčů KMS: ppdmdal
• Soulad s protokolem KMIP (Key Management Interoperability Protocol) 1.1

Byl přidán standardní poskytovatel klíčů podle kroků uvedených v části "Postup přidání standardního poskytovatele klíčů". Před pokračováním v šifrování se ujistěte, že máte v nástroji vCenter dostupná správná kryptografická oprávnění. Služba správy klíčů byla úspěšně nastavena v nástroji vCenter a byl přidán výchozí klíč. Virtuální počítač byl zašifrován pomocí výchozího klíče a poté ověřen provozní stav softwaru PowerProtect.

Testování výkonu bylo provedeno na virtuálním počítači zašifrovaném pomocí poskytovatele nativního klíče. 
Testování bylo provedeno na jiném počtu a typu aktiv. Poté se zaznamená doba trvání a propustnost pro PowerProtect se šifrováním a bez šifrování Zjištěno, že nedošlo k žádnému významnému dopadu na výkon (se šifrováním i bez něj)
Výsledky ukazují, že PowerProtect funguje i po šifrování, což dokládá integraci šifrování do prostředí VMware. 

Omezení a upomínky

Efektivní správa šifrovacích klíčů

• Efektivní správa šifrovacích klíčů je zásadní pro celkové zabezpečení vašeho prostředí. Implementujte robustní postupy zálohování a obnovení, které zmírní riziko náhodné ztráty šifrovacích klíčů, což může potenciálně vést ke ztrátě dat.

Konfigurace serveru KMIP a dostupnost

• Zajistěte správnou konfiguraci a dostupnost serveru KMIP (Key Management Interoperability Protocol) z infrastruktury VMware. To je nezbytné pro hladké fungování šifrovacích procesů a zachování integrity správy klíčů.

Potenciální dopady na výkon virtuálních počítačů

• Mějte na paměti potenciální dopady na výkon virtuálního počítače během procesu šifrování. Aby byl zajištěn vyvážený a optimální provoz, je vhodné posoudit a pochopit potenciální využití zdrojů a dopad na výkon.