PowerProtect: Beveiliging met VMware vSphere Virtual Machine (VM)-versleuteling

Achtergrond

Versleuteling van data-at-rest is een essentiële beveiligingsmaatregel die is ontworpen om gevoelige informatie te beschermen die op schijf of andere storagemedia is opgeslagen. De implementatie van versleuteling van data-at-rest is met VMware vSphere VM-versleuteling, een functie die versleuteling biedt voor de VM, bijbehorende bestanden, virtuele schijven en snapshots. Het versleutelingsproces vindt plaats op hypervisorniveau en zorgt ervoor dat alle data binnen een VM worden versleuteld. VM-versleuteling is afhankelijk van sleutelproviders om versleutelingssleutels veilig op te slaan en te beheren. Deze scheiding van sleutels en de hypervisor verbetert de beveiliging. Van de beschikbare sleutelproviders worden vaak de VMware Native Key Provider en Standard Key Provider gebruikt.

PowerProtect-configuratie

Er zijn geen specifieke configuratie-instellingen om VM-versleuteling in of uit te schakelen en de instellingen worden overgenomen uit de VMware vSphere-omgeving. De onderstaande informatie biedt richtlijnen over de sleutelproviders die kunnen worden gebruikt, hoe u versleuteling kunt in- of uitschakelen en hoe u de versleutelingsinstellingen kunt controleren. Deze informatie wordt alleen verstrekt voor algemene informatie en richtlijnen. Het wordt aanbevolen om de VMware-documentatie voor de specifieke versie te raadplegen voordat u wijzigingen probeert aan te brengen.

Native sleutelprovider

1. Overzicht:

 De VMware vSphere Native Key Provider is een geïntegreerde oplossing voor sleutelbeheer voor het versleutelen van virtuele machineschijven en storage-entiteiten.

2. Functies:

• Integratie tijdens implementatie met VMware vSphere-omgevingen
• Beschikbaar in vSphere 7.0 Update 2 en hoger
• Snelle installatie: Er is geen externe sleutelserver vereist.

 3. Stappen voor het toevoegen van een native sleutelprovider:

1. Meld u aan bij de VMware vSphere, blader door Inventaris, selecteer de vCenter-server en klik op "Configure," en onder "Security," Klik "Key Providers."
2. Klik op Toevoegen, selecteer "Add Native Key Provider," Vul de vereiste informatie in en klik op "ADD KEY PROVIDER."
3. Vink het vakje aan "Use key provider only with TPM protected ESXi hosts (Recommended)" als een Trusted Platform Module (TPM) 2.0 beschikbaar en geconfigureerd is op de host.
4. Selecteer vervolgens de toegevoegde sleutel en klik op "Back-UP."
5. Vink het vakje aan "Protect Native Key Provider data with password (Recommended)" en klik op de knop "Back UP KEY PROVIDER" knop om het wachtwoord aan te maken.
6. Voer een wachtwoord in, controleer of het "password is saved in a secure place," en klik op Back-up maken van sleutelprovider.
7. Het resultaat is een p12-bestand, dat automatisch wordt opgeslagen in de map Downloads.

Standard Key Provider

1. Overzicht:

De Standard Key Provider is een veelzijdige optie die integratie met externe oplossingen voor sleutelbeheer mogelijk maakt.

2. Functies:

• Externe integratie: Ondersteunt integratie met sleutelbeheeroplossingen van derden
• VMware-vereiste: Beschikbaar in VMware vSphere 6.5 en hoger
• Aanpassing: Maakt aanpassing van belangrijk beheerbeleid mogelijk op basis van de behoeften van de organisatie

3. Stappen voor het toevoegen van een standaardsleutelprovider (met behulp van een KMS-certificaat en persoonlijke sleutel):

Volg deze stappen om een sleutelprovider toe te voegen aan de vCenter Server en een vertrouwensrelatie tot stand te brengen tussen de vCenter Server en de KMS:

1. Maak verbinding met de vSphere Client, selecteer de vCenter server, klik op "Configure," en onder "Security," Klik "Key Providers."
2. Klik op "Add Standard Key Provider" en voer belangrijke informatie over de provider in (naam en KMS-gegevens).
3. Klik op "ADD KEY PROVIDER," klik daarna op "TRUST" om vertrouwen tot stand te brengen tussen de vCenter server en KMS.
4. Stel de KMS in om vCenter Server te vertrouwen.
5. Selecteer de toegevoegde sleutelprovider en selecteer vervolgens de KMS om een vertrouwensrelatie tot stand te brengen. Selecteer "Make KMS trust vCenter" van de "ESTABLISH TRUST" en volg de stappen om het KMS-certificaat en de persoonlijke sleutel te uploaden.
6. Nadat u klaar bent met uploaden, klikt u op "ESTABLISH TRUST." In de gebruikersinterface wordt weergegeven dat KMS is verbonden met de vCenter-server.

Resultaten van VMware® vSphere® VM-versleuteling testen met PowerProtect

Tests uitgevoerd om de operationele status van PowerProtect te controleren na het inschakelen van VM-versleuteling in VMware vSphere. Beide belangrijke providers werden gebruikt tijdens het testproces. De beginstatus van de VM was niet-versleuteld en de volgende stappen zijn ondernomen om deze te versleutelen. Vervolgens werd de functionaliteit van PowerProtect geverifieerd.

Testcase 1: De operationele status van PowerProtect verifiëren na het inschakelen van VM-versleuteling met native sleutelprovider

Omgevingsdetails:

• Standalone PowerProtect
• VMware vSphere clientversie: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM is niet beschikbaar op de ESXi-host.

De host moet zich in het cluster bevinden. Voeg de native sleutelprovider toe door de stappen te volgen die worden beschreven in de stappen voor het toevoegen van een native sleutelprovider. Zorgde voor de juiste cryptografische bevoegdheden en compatibiliteit van de hostversie, alvorens verder te gaan met de versleuteling Stel de toegevoegde sleutel in als standaard. De bestaande VM werd vervolgens versleuteld door VM-beleidsregels te bewerken. Nadat u de VM hebt ingeschakeld, bevestigt u de operationele status van PowerProtect door assetbronnen, beschermingsbeleid toe te voegen en taken uit te voeren.

Testcase 2: De operationele status van PowerProtect verifiëren na het inschakelen van VM-versleuteling met Standard Key Provider

Omgevingsdetails:

• VMware vSphere clientversie: 7.0.3.00500
• Standalone PowerProtect
• KMS-servertype: Keysecure
• KMS sleutelklasse: ppdmdal
• Compatibel met KMIP (Key Management Interoperability Protocol) 1.1

De standaardsleutelprovider is toegevoegd door de stappen te volgen in het gedeelte 'Stappen voor het toevoegen van standaardsleutelaanbieders'. Zorg ervoor dat de juiste cryptografische bevoegdheden beschikbaar zijn in vCenter voordat u verdergaat met versleutelen. De KMS is ingesteld op vCenter en de standaardsleutel is toegevoegd. De VM is versleuteld met de standaardsleutel en vervolgens de operationele status van PowerProtect geverifieerd.

De prestatietests zijn uitgevoerd op de VM die is versleuteld met de Native Key Provider. 
De tests zijn uitgevoerd op een ander aantal en een ander type assets. Vervolgens de duur en doorvoer vastgelegd voor PowerProtect met en zonder versleuteling Er is geen grote impact op de prestaties (met en zonder versleuteling)
De resultaten geven aan dat PowerProtect blijft werken na versleuteling, wat de integratie van versleuteling in de VMware-omgeving aantoont. 

Beperking en herinneringen

Efficiënt versleutelingssleutelbeheer

• Efficiënt beheer van versleutelingssleutels is cruciaal voor de algehele beveiliging van uw omgeving. Implementeer robuuste back-up- en herstelprocedures om het risico van onbedoeld verlies van coderingssleutels te beperken, wat mogelijk kan leiden tot dataverlies.

KMIP-serverconfiguratie en toegankelijkheid

• Zorg voor de juiste configuratie en toegankelijkheid van de KMIP-server (Key Management Interoperability Protocol) vanuit uw VMware-infrastructuur. Dit is essentieel voor het soepel functioneren van versleutelingsprocessen en het handhaven van de integriteit van het sleutelbeheer.

Mogelijke gevolgen voor VM-prestaties

• Houd rekening met de mogelijke gevolgen voor de prestaties van de virtuele machine (VM) tijdens het versleutelingsproces. Het is raadzaam om het potentiële resourcegebruik en de prestatie-implicaties te beoordelen en te begrijpen om een evenwichtige en optimale werking te garanderen.