PowerProtect: Suojaus VMware vSphere -virtuaalikoneen (VM) salauksella

Tausta

Tallennetun tiedon salaus on kriittinen suojaustoimenpide, joka on suunniteltu suojaamaan levylle tai muuhun tallennusvälineeseen tallennettuja arkaluonteisia tietoja. Ei-aktiivisessa käytössä olevat tiedot -salaus toteutetaan VMware vSphere VM -salauksella, joka mahdollistaa virtuaalikoneen, siihen liittyvien tiedostojen, virtuaalilevyjen ja tilannevedosten salauksen. Salausprosessi tapahtuu hypervisor-tasolla, jolloin varmistetaan, että kaikki virtuaalikoneen tiedot salataan. VM Encryption luottaa avainpalveluihin salausavainten turvallisessa tallennuksessa ja hallinnassa. Tämä avainten erottaminen hypervisorista parantaa turvallisuutta. Keskeisistä saatavilla olevista palveluntarjoajista käytetään yleisesti VMware Native Key Provideria ja Standard Key Provideria.

PowerProtect-kokoonpano

VM-salauksen käyttöönottoon tai käytöstä poistamiseen ei ole erityisiä kokoonpanoasetuksia, vaan asetukset haetaan VMware vSphere -ympäristöstä. Alla olevissa tiedoissa on ohjeita käytettävistä avainpalveluista, salauksen ottamisesta käyttöön ja käytöstä käytöstä sekä salausasetusten tarkistamisesta. Nämä tiedot on tarkoitettu vain yleiseksi tiedoksi ja ohjeeksi. Ennen kuin teet muutoksia, suosittelemme tutustumaan kyseisen version VMware-oppaisiin.

Alkuperäisen avaimen tarjoaja

1.Yleiskatsaus:

 VMware vSphere Native Key Provider on integroitu avaintenhallintaratkaisu virtuaalikoneiden levyjen ja tallennusyksiköiden salaamiseen.

2. Ominaisuudet:

• Integrointi käyttöönoton aikana VMware vSphere -ympäristöjen kanssa
• Saatavilla vSphere 7.0 Update 2:ssa ja uudemmissa versioissa
• Pika-asennus: Ulkoista avainpalvelinta ei tarvita.

 3. Alkuperäisen avaimen tarjoajan lisäämisen vaiheet:

1. Kirjaudu VMware vSphereen, selaa varastoa, valitse vCenter-palvelin ja valitse "Configure," ja alle "Security," Valitse "Key Providers."
2. Klikkaa Lisää, valitse "Add Native Key Provider," Lisää tarvittavat tiedot ja valitse "ADD KEY PROVIDER."
3. Valitse valintaruutu "Use key provider only with TPM protected ESXi hosts (Recommended)" jos Trusted Platform Module (TPM) 2.0 on käytettävissä ja määritetty palvelimessa.
4. Valitse sitten lisätty avain ja napsauta "Back-UP."
5. Valitse valintaruutu "Protect Native Key Provider data with password (Recommended)" ja napsauta "Back UP KEY PROVIDER" -painiketta salasanan luomiseksi.
6. Anna salasana ja tarkista, että "password is saved in a secure place," ja valitse Varmuuskopioi avainten tarjoaja.
7. Tuloksena on p12-tiedosto, joka tallennetaan automaattisesti lataushakemistoon.

Vakioavainten tarjoaja

1.Yleiskatsaus:

Standard Key Provider on monipuolinen vaihtoehto, joka mahdollistaa integroinnin ulkoisiin avaintenhallintaratkaisuihin.

2. Ominaisuudet:

• Ulkoinen integraatio: Tukee integrointia kolmannen osapuolen avaintenhallintaratkaisujen kanssa
• VMware-vaatimus: Saatavilla VMware vSphere 6.5:ssä ja uudemmissa versioissa
• Mukauttaminen: Sallii keskeisten hallintakäytäntöjen mukauttamisen organisaation tarpeiden mukaan

3. Vakioavaimen tarjoajan lisäämisen vaiheet (KMS-varmenteen ja yksityisen avaimen käyttäminen):

Voit lisätä avaintoimittajan vCenter Serveriin ja muodostaa luottamussuhteen vCenter Serverin ja KMS:n välille seuraavasti:

1. Yhdistä vSphere Clientiin, valitse vCenter-palvelin ja napsauta "Configure," ja alle "Security," Valitse "Key Providers."
2. Valitse "Add Standard Key Provider" ja syötä tärkeimmät palveluntarjoajan tiedot (nimi ja KMS-tiedot).
3. Valitse "ADD KEY PROVIDER," valitse sitten "TRUST" luodaksesi luottamuksen vCenter-palvelimen ja KMS:n välille.
4. Määritä KMS luottamaan vCenter Serveriin.
5. Valitse lisätty avaintoimittaja ja valitse sitten KMS luottamuksen luomiseksi. Valitse "Make KMS trust vCenter" alkaen "ESTABLISH TRUST" -valikkoon ja lataa KMS-varmenne ja yksityinen avain noudattamalla ohjeita.
6. Kun olet suorittanut latauksen, klikkaa "ESTABLISH TRUST." Käyttöliittymä näyttää, että KMS on yhdistetty vCenter-palvelimeen.

VMware® vSphere® VM -salauksen testaaminen PowerProtectilla

Suoritettu testaus PowerProtectin toimintatilan varmistamiseksi sen jälkeen, kun VM-salaus oli otettu käyttöön VMware vSpheressä. Molempia keskeisiä palveluntarjoajia käytettiin testausprosessin aikana. Virtuaalikoneen alkuperäinen tila oli salaamaton, ja se salattiin seuraavasti. Sen jälkeen tarkistettiin PowerProtectin toimivuus.

Testitapaus 1: PowerProtectin toimintatilan tarkistaminen sen jälkeen, kun virtuaalikoneen salaus on otettu käyttöön alkuperäisellä avaimella

Käyttöympäristön tiedot:

• Erillinen PowerProtect
• VMware vSphere Client -versio: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM ei ole käytettävissä ESXi-isännässä.

Isännän on oltava klusterissa. Lisää natiiviavaimen tarjoaja noudattamalla kohdassa "Alkuperäisen avaimen tarjoajan lisäämisvaiheet" annettuja ohjeita. Varmistettu asianmukaiset salausoikeudet ja isäntäversion yhteensopivuus ennen salauksen jatkamista Aseta lisätty avain oletukseksi. Olemassa oleva virtuaalikone salattiin muokkaamalla sen käytäntöjä. Kun virtuaalikone käynnistettiin, hän vahvisti PowerProtectin toimintatilan lisäämällä resurssilähteitä, suojauskäytäntöjä ja käynnissä olevia töitä.

Testitapaus 2: PowerProtectin toimintatilan tarkistaminen, kun virtuaalikoneen salaus on otettu käyttöön vakioavainten tarjoajalla

Käyttöympäristön tiedot:

• VMware vSphere Client -versio: 7.0.3.00500
• Erillinen PowerProtect
• KMS-palvelimen tyyppi: Keysecure
• KMS-avainluokka: ppdmdal
• Key Management Interoperability Protocol (KMIP) 1.1 -yhteensopiva

Lisätty vakioavainten tarjoaja Vakioavainten tarjoajan lisääminen -osan ohjeiden mukaisesti. Ennen kuin jatkat salausta, varmista, että vCenterissä on asianmukaiset salausoikeudet. KMS on määritetty vCenteriin ja siihen on lisätty oletusavain. Virtuaalikone salattiin oletusavaimella, minkä jälkeen se tarkistettiin PowerProtectin toimintatila.

Suorituskykytestaus suoritettiin virtuaalikoneelle, joka on salattu alkuperäisellä avaintoimittajalla. 
Testaus suoritettiin eri määrälle ja eri tyyppisille omaisuuserille. Sitten kirjattiin PowerProtectin kesto ja siirtonopeus salauksella ja ilman salausta Havaittu, ettei sillä ole merkittävää vaikutusta suorituskykyyn (salauksella ja ilman salausta)
Tulokset osoittavat, että PowerProtect toimii edelleen salauksen jälkeen, mikä osoittaa salauksen integroinnin VMware-ympäristöön. 

Rajoitukset ja muistutukset

Tehokas salausavainten hallinta

• Salausavainten tehokas hallinta on ratkaisevan tärkeää ympäristön yleisen turvallisuuden kannalta. Ota käyttöön vankat varmuuskopiointi- ja palautusmenettelyt, joilla voidaan vähentää salausavainten vahingossa tapahtuvan menettämisen riskiä, joka voisi johtaa tietojen menetykseen.

KMIP-palvelimen määritys ja helppokäyttöisyys

• Varmista KMIP (Key Management Interoperability Protocol) -palvelimen oikea määritys ja käytettävyys VMware-infrastruktuurissasi. Tämä on välttämätöntä salausprosessien sujuvan toiminnan ja avainten hallinnan eheyden ylläpitämisen kannalta.

Mahdolliset vaikutukset virtuaalikoneen suorituskykyyn

• Ota huomioon mahdolliset vaikutukset virtuaalikoneen (VM) suorituskykyyn salausprosessin aikana. On suositeltavaa arvioida ja ymmärtää mahdolliset resurssien käyttö- ja suorituskykyvaikutukset tasapainoisen ja optimaalisen toiminnan varmistamiseksi.