PowerProtect: Beskyttelse med VMware vSphere virtuel maskinekryptering (VM)

Baggrund

Kryptering af inaktive data er en kritisk sikkerhedsforanstaltning, der er designet til at beskytte følsomme oplysninger, der er gemt på en disk eller et andet lagringsmedie. Implementeringen af data-at-rest-kryptering sker med VMware vSphere VM-kryptering, en funktion, der leverer kryptering til VM'en, tilknyttede filer, virtuelle diske og snapshots. Krypteringsprocessen foregår på hypervisorniveau, hvilket sikrer, at alle data i en VM er krypteret. VM-kryptering er afhængig af, at en nøgleudbyder sikkert gemmer og administrerer krypteringsnøgler. Denne adskillelse af nøgler fra hypervisoren øger sikkerheden. Blandt de tilgængelige nøgleudbydere er VMware Native Key Provider og Standard Key Provider almindeligt anvendt.

PowerProtect-konfiguration

Der er ingen specifikke konfigurationsindstillinger til aktivering eller deaktivering af VM-kryptering, og indstillingerne er hentet fra VMware vSphere-miljøet. Oplysningerne nedenfor giver vejledning om de nøgleudbydere, der kan bruges, hvordan du aktiverer eller deaktiverer kryptering, og hvordan du kontrollerer for krypteringsindstillinger. Disse oplysninger er kun til generel information og vejledning. Det anbefales at læse VMware-dokumentationen for den specifikke version, før der gøres forsøg på ændringer.

Indbygget nøgleudbyder

1. Oversigt:

 VMware vSphere Native Key Provider er en integreret administrationsløsning til kryptering af diske og storageenheder til virtuelle maskiner.

2. Funktioner

• Integration under implementering med VMware vSphere-miljøer
• Tilgængelig i vSphere 7.0 Update 2 og nyere
• Hurtig opsætning: Der kræves ingen ekstern nøgleserver.

 3. Trin til at tilføje indbygget nøgleudbyder:

1. Log på VMware vSphere, gennemse lager, vælg vCenter-serveren, og klik på "Configure," og under "Security," Klik "Key Providers."
2. Klik på Tilføj, vælg "Add Native Key Provider," Udfyld de nødvendige oplysninger, og klik på "ADD KEY PROVIDER."
3. Marker afkrydsningsfeltet "Use key provider only with TPM protected ESXi hosts (Recommended)" hvis et TPM 2.0 (Trusted Platform Module) er tilgængeligt og konfigureret på værten.
4. Vælg derefter den tilføjede nøgle, og klik på "Back-UP."
5. Marker afkrydsningsfeltet "Protect Native Key Provider data with password (Recommended)" , og klik på ikonet "Back UP KEY PROVIDER" for at oprette adgangskoden.
6. Indtast en adgangskode, kontrollér, at ikonet "password is saved in a secure place," , og klik på Sikkerhedskopier nøgleudbyder.
7. Resultatet er en p12-fil, der automatisk gemmes i downloadmappen.

Standardnøgleudbyder

1. Oversigt:

Standard Key Provider er en alsidig mulighed, der muliggør integration med eksterne nøglehåndteringsløsninger.

2. Funktioner

• Ekstern integration: Understøtter integration med administrationsløsninger fra tredjeparter
• VMware-krav: Tilgængelig i VMware vSphere 6.5 og nyere versioner
• Tilpasning: Giver mulighed for tilpasning af vigtige administrationspolitikker baseret på organisatoriske behov

3. Trin til at tilføje standardnøgleudbyder (ved hjælp af KMS-certifikat og privat nøgle):

Følg disse trin for at føje en nøgleudbyder til vCenter Server og etablere et tillidsforhold mellem vCenter-serveren og KMS:

1. Opret forbindelse til vSphere-klienten, vælg vCenter-serveren, klik på "Configure," og under "Security," Klik "Key Providers."
2. Klik på "Add Standard Key Provider" og indtaste oplysninger om nøgleudbyder (navn og KMS-oplysninger).
3. Klik på "ADD KEY PROVIDER," Klik derefter på "TRUST" for at skabe tillid mellem vCenter-serveren og KMS.
4. Konfigurer KMS til at have tillid til vCenter Server.
5. Vælg den tilføjede nøgleudbyder, og vælg derefter KMS for at skabe tillid. Vælg "Make KMS trust vCenter" fra "ESTABLISH TRUST" , og følg trinene for at uploade KMS-certifikatet og den private nøgle.
6. Når du er færdig med overførslen, skal du klikke på "ESTABLISH TRUST." Brugergrænsefladen viser, at KMS er forbundet til vCenter-serveren.

Test af resultaterne af VMware® vSphere® VM-kryptering med PowerProtect

Der er udført test for at sikre driftsstatus for PowerProtect efter aktivering af VM-kryptering i VMware vSphere. Begge nøgleudbydere blev brugt under testprocessen. VM'ens oprindelige tilstand var ukrypteret, og følgende trin blev udført for at kryptere den. Derefter blev PowerProtect-funktionaliteten kontrolleret.

Testcase 1: Verificering af driftsstatus for PowerProtect efter aktivering af VM-kryptering med indbygget nøgleudbyder

Miljømæssige oplysninger:

• Selvstændig PowerProtect
• VMware vSphere-klientversion: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM er ikke tilgængelig på ESXi-værten.

Værten skal være i klyngen. Tilføj den oprindelige nøgleudbyder ved at følge de trin, der er beskrevet i "Trin til at tilføje oprindelig nøgleudbyder". Sikrede korrekte kryptografiske rettigheder og kompatibilitet af værtsversionen, før du fortsætter med krypteringen Indstil den tilføjede nøgle som standard. Den eksisterende VM blev derefter krypteret ved at redigere VM-politikker. Efter opstart af VM'en bekræftes driftsstatus for PowerProtect ved at tilføje aktivkilder, beskyttelsespolitikker og kørende job.

Testcase 2: Verificering af driftsstatus for PowerProtect efter aktivering af VM-kryptering med Standard Key Provider

Miljømæssige oplysninger:

• VMware vSphere-klientversion: 7.0.3.00500
• Selvstændig PowerProtect
• KMS-servertype: Keysecure
• KMS nøgleklasse: ppdmdal
• KMIP (Key Management Interoperability Protocol) 1.1-kompatibel

Standardnøgleudbyderen er tilføjet ved at følge de trin, der er beskrevet i afsnittet "Trin til tilføjelse af standardnøgleudbyder". Sikrede, at de korrekte kryptografiske rettigheder er tilgængelige i vCenter, før du fortsætter med krypteringen. KMS blev konfigureret på vCenter og tilføjede standardnøglen. VM'en blev krypteret med standardnøglen og bekræftede derefter driftsstatus for PowerProtect.

Test af ydeevne blev udført på den VM, der er krypteret med Native Key Provider. 
Testen blev udført på et andet antal og en anden type aktiver. Derefter registreres varigheden og overførselshastigheden for PowerProtect med og uden kryptering Observeret, at der ikke er nogen større påvirkning af ydeevnen (Med og uden kryptering)
Resultaterne indikerer, at PowerProtect fortsætter med at fungere efter kryptering, hvilket viser integrationen af kryptering i VMware-miljøet. 

Begrænsninger og påmindelser

Effektiv administration af krypteringsnøgle

• Effektiv administration af krypteringsnøgler er afgørende for den overordnede sikkerhed i dit miljø. Implementer robuste sikkerhedskopierings- og gendannelsesprocedurer for at mindske risikoen for utilsigtet tab af krypteringsnøgler, hvilket potentielt kan resultere i tab af data.

Konfiguration af og tilgængelighed for KMIP-server

• Sørg for korrekt konfiguration og tilgængelighed af KMIP-serveren (Key Management Interoperability Protocol) fra din VMware-infrastruktur. Dette er afgørende for, at krypteringsprocesserne kan fungere gnidningsløst, og for at nøgleadministrationens integritet kan opretholdes.

Potentielle indvirkninger på VM-ydeevnen

• Vær opmærksom på potentielle indvirkninger på virtuelle maskiners (VM) ydeevne under krypteringsprocessen. Det tilrådes at vurdere og forstå den potentielle ressourceudnyttelse og ydeevneimplikationer for at sikre en afbalanceret og optimal drift.