PowerProtect：VMware vSphere仮想マシン(VM)暗号化による保護

背景

静止データ暗号化は、ディスクまたはその他のストレージ メディアに保存されている機密情報を保護するために設計された重要なセキュリティ対策です。静止データ暗号化は、VM、関連ファイル、仮想ディスク、スナップショットを暗号化する機能であるVMware vSphere VM暗号化を使用して実装されます。暗号化プロセスはハイパーバイザー レベルで実行され、VM内のすべてのデータが暗号化されます。VM Encryption は、キー プロバイダーに依存して、暗号化キーを安全に格納および管理します。このようにハイパーバイザーからキーを分離することで、セキュリティが強化されます。使用可能なキー プロバイダーの中で、VMwareネイティブ キー プロバイダーと標準キー プロバイダーが一般的に使用されています。

PowerProtectの構成

VM暗号化を有効または無効にする特定の構成設定はなく、設定はVMware vSphere環境から取得されます。以下の詳細は、使用できるキー プロバイダー、暗号化を有効または無効にする方法、および暗号化設定を確認する方法に関するガイダンスを提供します。この情報は、一般的な情報とガイダンスのみを目的としています。変更を試みる前に、特定のバージョンのVMwareドキュメントを参照することをお勧めします。

ネイティブ キー プロバイダー

1.概要:

 VMware vSphere Native Key Providerは、仮想マシンのディスクとストレージ エンティティーを暗号化するための統合キー管理ソリューションです。

2.機能：

• VMware vSphere環境との実装中の統合
• vSphere 7.0 Update 2以降で使用可能
• クイックセットアップ: 外部キー サーバーは必要ありません。

 3.ネイティブ キー プロバイダーを追加する手順:

1. VMware vSphereにログインし、インベントリーを参照して vCenterサーバーを選択し、をクリックします。 "Configure," と "Security," クリック "Key Providers."
2. Addをクリックし、 "Add Native Key Provider," 必要な情報を入力し、をクリックします。 "ADD KEY PROVIDER."
3. チェックボックスをオンにします "Use key provider only with TPM protected ESXi hosts (Recommended)" Trusted Platform Module (TPM) 2.0が使用可能で、ホストで構成されている場合。
4. 次に、追加されたキーを選択し、 "Back-UP."
5. チェックボックスをオンにします "Protect Native Key Provider data with password (Recommended)" をクリックし、 "Back UP KEY PROVIDER" ボタンをクリックしてパスワードを作成します。
6. パスワードを入力し、 "password is saved in a secure place," をクリックし、[Back Up Key Provider] をクリックします。
7. 結果はp12ファイルで、自動的にダウンロード ディレクトリーに保存されます。

標準キー プロバイダー

1.概要:

Standard Key Providerは、外部のキー管理ソリューションとの統合を可能にする汎用性の高いオプションです。

2.機能：

• 外部統合: サード パーティーのキー管理ソリューションとの統合をサポート
• VMwareの要件: VMware vSphere 6.5以降で使用可能
• カスタマイズ：組織のニーズに基づいてキー管理ポリシーをカスタマイズ可能

3.標準キー プロバイダーを追加する手順(KMS証明書とプライベート キーを使用):

キー プロバイダーをvCenter Serverに追加し、vCenter ServerとKMSの間に信頼関係を確立するには、次の手順を実行します。

1. vSphere Clientに接続し、vCenterサーバーを選択して、をクリックします。 "Configure," と "Security," クリック "Key Providers."
2. ［ "Add Standard Key Provider" をクリックし、キー プロバイダー情報 (名前と KMS の詳細) を入力します。
3. ［ "ADD KEY PROVIDER," 次に、をクリックします "TRUST" vCenter ServerとKMS間の信頼を確立します。
4. vCenter Serverを信頼するようにKMSを設定します。
5. 追加されたキー プロバイダーを選択し、信頼を確立する KMS を選択します。選択 "Make KMS trust vCenter" から "ESTABLISH TRUST" メニューをクリックし、手順に従ってKMS証明書と秘密鍵をアップロードします。
6. アップロードが完了したら、 "ESTABLISH TRUST." KMSがvCenter Serverに接続されていることがUIに表示されます。

PowerProtectを使用したVMware® vSphere® VM Encryptionの結果のテスト

VMware vSphereでVM暗号化を有効にした後のPowerProtectの動作ステータスを確認するためのテストを実施。テストプロセスでは、両方のキープロバイダーが使用されました。VM の初期状態は暗号化されておらず、次の手順を実行して暗号化されました。次に、PowerProtectの機能を検証しました。

テスト ケース1: Native Key ProviderでVM暗号化を有効にした後のPowerProtectの動作ステータスの確認

環境の詳細:

• スタンドアロンPowerProtect
• VMware vSphere Clientのバージョン: 7.0.3.00500
• ハイパーバイザー：VMware ESXi、7.0.3、21930508
• TPMはESXiホストでは使用できません。

ホストはクラスター内にある必要があります。「ネイティブ キー プロバイダーを追加する手順」に記載されている手順に従って、ネイティブ キー プロバイダーを追加します。暗号化を続行する前に、適切な暗号化権限とホスト バージョンの互換性を確保した 追加したキーをデフォルトとして設定します。その後、VMポリシーを編集して、既存のVMを暗号化しました。VMの電源を入れた後、資産ソース、保護ポリシー、実行中のジョブを追加して、PowerProtectの動作ステータスを確認します。

テスト ケース2: 標準キー プロバイダーでVM暗号化を有効にした後のPowerProtectの動作ステータスの確認

環境の詳細:

• VMware vSphere Clientのバージョン: 7.0.3.00500
• スタンドアロンPowerProtect
• KMSサーバー タイプ: Keysecure
• KMSキークラス: ppdmdal
• Key Management Interoperability Protocol (KMIP) 1.1準拠

「標準キー プロバイダーを追加する手順」セクションで説明されている手順に従って、標準キー プロバイダーを追加しました。暗号化を続行する前に、vCenterで適切な暗号化権限が使用可能であることを確認しました。KMSがvCenterで正常に設定され、デフォルト キーが追加されました。VMはデフォルト キーで暗号化され、PowerProtectの動作ステータスが検証されました。

パフォーマンス テストは、ネイティブ キー プロバイダーで暗号化されたVMで実施されました。
テストは、異なる数とタイプの資産で実施されました。次に、暗号化あり/なしのPowerProtectの期間とスループットを記録しました。パフォーマンスに大きな影響はないことが確認されました(暗号化あり/なし)
結果は、PowerProtectが暗号化後も引き続き動作していることを示しており、暗号化がVMware環境に統合されていることを示しています。 

制限事項とリマインダー

効率的な暗号化キー管理

• 暗号化キーを効率的に管理することは、環境全体のセキュリティにとって非常に重要です。堅牢なバックアップ/リカバリー手順を実装して、暗号化キーを誤って紛失するリスクを軽減します。これにより、データ ロスにつながる可能性があります。

KMIPサーバーの構成とアクセス性

• VMware InfrastructureからKey Management Interoperability Protocol (KMIP)サーバが適切に構成され、アクセス可能であることを確認します。これは、暗号化プロセスを円滑に機能させ、キー管理の整合性を維持するために不可欠です。

VMパフォーマンスへの潜在的な影響

• 暗号化プロセス中の仮想マシン(VM)のパフォーマンスに対する潜在的な影響に注意してください。バランスの取れた最適な運用を確保するために、潜在的なリソース使用率とパフォーマンスへの影響を評価して理解することをお勧めします。