PowerProtect: Schutz mit VMware vSphere-Verschlüsselung der virtuellen Maschine (VM)

Hintergrund

Die Data-at-Rest-Verschlüsselung ist eine wichtige Sicherheitsmaßnahme zum Schutz vertraulicher Informationen, die auf Festplatten oder anderen Speichermedien gespeichert sind. Die Implementierung der Data-at-Rest-Verschlüsselung erfolgt mit VMware vSphere VM-Verschlüsselung, einer Funktion, die Verschlüsselung für die VM, zugehörige Dateien, virtuelle Laufwerke und Snapshots bereitstellt. Der Verschlüsselungsprozess erfolgt auf Hypervisor-Ebene und stellt sicher, dass alle Daten in einer VM verschlüsselt werden. Die VM-Verschlüsselung stützt sich auf einen Schlüsselanbieter, um Verschlüsselungsschlüssel sicher zu speichern und zu verwalten. Diese Trennung der Schlüssel vom Hypervisor erhöht die Sicherheit. Unter den verfügbaren Schlüsselanbietern werden häufig VMware Native Key Provider und Standard Key Provider verwendet.

PowerProtect-Konfiguration

Es gibt keine spezifischen Konfigurationseinstellungen zum Aktivieren oder Deaktivieren der VM-Verschlüsselung und die Einstellungen werden aus der VMware vSphere-Umgebung übernommen. Im Folgenden finden Sie Informationen zu den Schlüsselanbietern, die verwendet werden können, zum Aktivieren oder Deaktivieren der Verschlüsselung und zur Überprüfung der Verschlüsselungseinstellungen. Diese Informationen dienen nur der allgemeinen Information und Orientierung. Es wird empfohlen, die VMware-Dokumentation für die jeweilige Version zu lesen, bevor Änderungen vorgenommen werden.

Nativer Schlüsselanbieter

1. Überblick:

 VMware vSphere Native Key Provider ist eine integrierte Key-Managementlösung für die Verschlüsselung von VM-Festplatten und Storage-Entitäten.

2. Funktionen:

• Integration während der Implementierung in VMware vSphere-Umgebungen
• Verfügbar in vSphere 7.0 Update 2 und höher
• Schnelle Einrichtung: Es ist kein externer Schlüsselserver erforderlich.

 3. Schritte zum Hinzufügen eines Native Key Provider:

1. Melden Sie sich bei VMware vSphere an, durchsuchen Sie Inventory, wählen Sie den vCenter Server aus und klicken Sie auf "Configure," und unter "Security," klicken "Key Providers."
2. Klicken Sie auf Hinzufügen und wählen Sie "Add Native Key Provider," Füllen Sie die erforderlichen Informationen aus und klicken Sie auf "ADD KEY PROVIDER."
3. Aktivieren Sie das Kontrollkästchen. "Use key provider only with TPM protected ESXi hosts (Recommended)" wenn ein Trusted Platform Module (TPM) 2.0 auf dem Host verfügbar und konfiguriert ist.
4. Wählen Sie dann den hinzugefügten Schlüssel aus und klicken Sie auf "Back-UP."
5. Aktivieren Sie das Kontrollkästchen. "Protect Native Key Provider data with password (Recommended)" und klicken Sie auf das Symbol "Back UP KEY PROVIDER" , um das Passwort zu erstellen.
6. Geben Sie ein Kennwort ein und überprüfen Sie, ob das "password is saved in a secure place," und klicken Sie auf Back Up Key Provider.
7. Das Ergebnis ist eine p12-Datei, die automatisch im Download-Verzeichnis gespeichert wird.

Standardschlüsselanbieter

1. Überblick:

Der Standard Key Provider ist eine vielseitige Option, die die Integration in externe Key-Management-Lösungen ermöglicht.

2. Funktionen:

• Externe Integration: Unterstützt die Integration in Key-Management-Lösungen von Drittanbietern
• VMware-Anforderung: Verfügbar in VMware vSphere 6.5 und höher
• Anpassung: Ermöglicht die Anpassung von Key-Management-Policies basierend auf den Anforderungen des Unternehmens

3. Schritte zum Hinzufügen eines Standardschlüsselanbieters (mit KMS-Zertifikat und privatem Schlüssel):

Gehen Sie folgendermaßen vor, um dem vCenter Server einen Schlüsselanbieter hinzuzufügen und eine Vertrauensbeziehung zwischen dem vCenter Server und dem KMS herzustellen:

1. Stellen Sie eine Verbindung zum vSphere Client her, wählen Sie den vCenter Server aus und klicken Sie auf "Configure," und unter "Security," klicken "Key Providers."
2. Klicken Sie auf "Add Standard Key Provider" und geben Sie Informationen zum Schlüsselanbieter ein (Name und KMS-Details).
3. Klicken Sie auf "ADD KEY PROVIDER," Klicken Sie dann auf "TRUST" , um die Vertrauensstellung zwischen dem vCenter Server und KMS herzustellen.
4. Richten Sie den KMS so ein, dass er vCenter Server als vertrauenswürdig einstuft.
5. Wählen Sie den hinzugefügten Schlüsselanbieter aus, und wählen Sie dann den KMS aus, um eine Vertrauensstellung herzustellen. Auswählen "Make KMS trust vCenter" aus dem "ESTABLISH TRUST" und befolgen Sie die Schritte zum Hochladen des KMS-Zertifikats und des privaten Schlüssels.
6. Klicken Sie nach Abschluss des Uploads auf "ESTABLISH TRUST." Die Benutzeroberfläche zeigt an, dass KMS mit dem vCenter Server verbunden ist.

Testen der Ergebnisse von VMware® vSphere® VM Encryption mit PowerProtect

Durchführung von Tests zur Sicherstellung des Betriebsstatus von PowerProtect nach der Aktivierung der VM-Verschlüsselung in VMware vSphere Beide Schlüsselanbieter wurden während des Testprozesses verwendet. Der anfängliche Status der VM war unverschlüsselt und die folgenden Schritte wurden durchgeführt, um sie zu verschlüsseln. Anschließend wurde die Funktionalität von PowerProtect überprüft.

Testfall 1: Überprüfen des PowerProtect-Betriebsstatus nach Aktivieren der VM-Verschlüsselung mit Native Key Provider

Details zur Umgebung:

• Eigenständiges PowerProtect
• VMware vSphere Client-Version: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM ist auf dem ESXi-Host nicht verfügbar.

Der Host sollte sich innerhalb des Clusters befinden. Fügen Sie den Native Key Provider hinzu, indem Sie die Schritte befolgen, die unter "Schritte zum Hinzufügen eines Native Key Provider" beschrieben sind. Sicherstellung der richtigen kryptografischen Berechtigungen und Kompatibilität der Hostversion, bevor mit der Verschlüsselung fortgefahren wird Legen Sie den hinzugefügten Schlüssel als Standard fest. Die vorhandene VM wurde dann durch Bearbeiten von VM-Policies verschlüsselt. Bestätigen Sie nach dem Einschalten der VM den Betriebsstatus von PowerProtect durch Hinzufügen von Ressourcenquellen, Schutz-Policies und ausgeführten Jobs.

Testfall 2: Überprüfen des PowerProtect-Betriebsstatus nach Aktivierung der VM-Verschlüsselung mit dem Standardschlüsselanbieter

Details zur Umgebung:

• VMware vSphere Client-Version: 7.0.3.00500
• Eigenständiges PowerProtect
• KMS-Servertyp: Keysecure
• KMS-Schlüsselklasse: ppdmdal
• Key Management Interoperability Protocol (KMIP) 1.1-konform

Fügen Sie den Standardschlüsselanbieter hinzu, indem Sie die Schritte befolgen, die im Abschnitt "Schritte zum Hinzufügen eines Standardschlüsselanbieters" beschrieben sind. Stellen Sie sicher, dass die richtigen kryptografischen Berechtigungen in vCenter verfügbar sind, bevor Sie mit der Verschlüsselung fortfahren. Der KMS wurde erfolgreich auf vCenter eingerichtet und der Standardschlüssel wurde hinzugefügt. Die VM wurde mit dem Standardschlüssel verschlüsselt und dann der Betriebsstatus von PowerProtect überprüft.

Die Leistungstests wurden auf der VM durchgeführt, die mit dem Native Key Provider verschlüsselt wurde. 
Die Tests wurden mit einer anderen Anzahl und einem anderen Bestandstyp durchgeführt. Anschließend wurden Dauer und Durchsatz für PowerProtect mit und ohne Verschlüsselung aufgezeichnet. Es wurden keine größeren Leistungseinbußen festgestellt (mit und ohne Verschlüsselung)
Die Ergebnisse zeigen, dass PowerProtect nach der Verschlüsselung weiterhin ausgeführt wird, was die Integration der Verschlüsselung in die VMware-Umgebung zeigt. 

Einschränkungen und Erinnerungen

Effizientes Chiffrierschlüssel-Management

• Das effiziente Management von Verschlüsselungsschlüsseln ist für die allgemeine Sicherheit Ihrer Umgebung von entscheidender Bedeutung. Implementieren Sie robuste Backup- und Recovery-Verfahren, um das Risiko eines versehentlichen Verlusts von Verschlüsselungsschlüsseln zu minimieren, der möglicherweise zu Datenverlust führen kann.

KMIP-Serverkonfiguration und -zugriff

• Stellen Sie die ordnungsgemäße Konfiguration und Zugänglichkeit des KMIP-Servers (Key Management Interoperability Protocol) über Ihre VMware-Infrastruktur sicher. Dies ist für das reibungslose Funktionieren von Verschlüsselungsprozessen und die Aufrechterhaltung der Integrität des Key-Managements unerlässlich.

Mögliche Auswirkungen auf die VM-Performance

• Beachten Sie mögliche Auswirkungen auf die Leistung der virtuellen Maschine (VM) während des Verschlüsselungsvorgangs. Es ist ratsam, die potenziellen Auswirkungen auf die Ressourcenauslastung und die Performance zu bewerten und zu verstehen, um einen ausgewogenen und optimalen Betrieb zu gewährleisten.