PowerProtect: Beskyttelse med VMware vSphere-kryptering for virtuell maskin (VM)

Bakgrunn

Kryptering av inaktive data er et kritisk sikkerhetstiltak som er utformet for å beskytte sensitiv informasjon som er lagret på disken eller andre lagringsmedier. Implementeringen av kryptering av inaktive data er med VMware vSphere VM-kryptering, en funksjon som gir kryptering for den virtuelle maskinen, tilknyttede filer, virtuelle disker og øyeblikksbilder. Krypteringsprosessen skjer på hypervisornivå, og sikrer at alle data i en VM er kryptert. VM Encryption er avhengig av en nøkkelleverandør for å lagre og administrere krypteringsnøkler på en sikker måte. Denne separasjonen av nøkler fra hypervisor forbedrer sikkerheten. Blant de viktigste leverandørene som er tilgjengelige, er VMware Native Key Provider og Standard Key Provider ofte brukt.

PowerProtect-konfigurasjon

Det finnes ingen spesifikke konfigurasjonsinnstillinger for å aktivere eller deaktivere VM-kryptering, og innstillingene hentes fra VMware vSphere-miljøet. Informasjonen nedenfor gir veiledning om nøkkelleverandørene som kan brukes, hvordan du aktiverer eller deaktiverer kryptering og hvordan du ser etter krypteringsinnstillinger. Denne informasjonen er kun gitt for generell informasjon og veiledning. Det anbefales å henvise til VMware-dokumentasjonen for den spesifikke versjonen før det gjøres forsøk på endringer.

Opprinnelig nøkkelleverandør

1. Oversikt:

 Den opprinnelige VMware vSphere-nøkkelleverandøren er en integrert løsning for nøkkeladministrasjon for kryptering av virtuelle maskindisker og lagringsenheter.

2. Funksjoner:

• Integrering under implementering med VMware vSphere-miljøer
• Tilgjengelig i vSphere 7.0 Update 2 og nyere
• Hurtigoppsett: Ingen ekstern nøkkelserver er nødvendig.

 3. Fremgangsmåte for å legge til opprinnelig nøkkelleverandør:

1. Logg på VMware vSphere, bla gjennom inventar, velg vCenter-serveren, og klikk på "Configure," og under "Security," Klikk "Key Providers."
2. Klikk på Legg til, velg "Add Native Key Provider," Fyll ut den nødvendige informasjonen, og klikk på "ADD KEY PROVIDER."
3. Merk av i boksen "Use key provider only with TPM protected ESXi hosts (Recommended)" hvis en Trusted Platform Module (TPM) 2.0 er tilgjengelig og konfigurert på verten.
4. Velg deretter nøkkelen som er lagt til, og klikk på "Back-UP."
5. Merk av i boksen "Protect Native Key Provider data with password (Recommended)" og klikk på "Back UP KEY PROVIDER" -knappen for å opprette passordet.
6. Skriv inn et passord, sjekk at "password is saved in a secure place," og klikk på Sikkerhetskopier nøkkelleverandør.
7. Resultatet er en p12-fil, automatisk lagret i nedlastingskatalogen.

Standard nøkkelleverandør

1. Oversikt:

Standard nøkkelleverandør er et allsidig alternativ som muliggjør integrering med eksterne nøkkeladministrasjonsløsninger.

2. Funksjoner:

• Ekstern integrasjon: Støtter integrering med tredjeparts nøkkeladministrasjonsløsninger
• VMware-krav: Tilgjengelig i VMware vSphere 6.5 og nyere
• Tilpasning: Tillater tilpasning av viktige administrasjonspolicyer basert på organisasjonsbehov

3. Trinn for å legge til standard nøkkelleverandør (ved hjelp av KMS-sertifikat og privatnøkkel):

Hvis du vil legge til en nøkkelleverandør til vCenter-serveren og opprette et klareringsforhold mellom vCenter-serveren og KMS, gjør du følgende:

1. Koble til vSphere-klienten, velg vCenter-serveren, og klikk på "Configure," og under "Security," Klikk "Key Providers."
2. Klikk på "Add Standard Key Provider" og angi nøkkelleverandørinformasjon (navn og KMS-detaljer).
3. Klikk på "ADD KEY PROVIDER," Klikk deretter på "TRUST" for å etablere tillit mellom vCenter-serveren og KMS.
4. Konfigurere KMS til å klarere vCenter Server.
5. Velg nøkkelleverandøren som er lagt til, og velg deretter KMS for å etablere klarering. Velg "Make KMS trust vCenter" fra "ESTABLISH TRUST" menyen og følg trinnene for å laste opp KMS-sertifikatet og privatnøkkelen.
6. Når du har fullført opplastingen, klikker du på "ESTABLISH TRUST." Brukergrensesnittet viser at KMS er koblet til vCenter-serveren.

Testing av resultater av VMware® vSphere® VM-kryptering med PowerProtect

Utført testing for å sikre driftsstatusen til PowerProtect etter aktivering av VM-kryptering i VMware vSphere. Begge nøkkelleverandørene ble brukt under testprosessen. Den opprinnelige tilstanden til VM-en ble ikke kryptert, og følgende trinn ble utført for å kryptere den. Deretter ble funksjonaliteten til PowerProtect bekreftet.

Testcase 1: Bekrefte driftsstatus for PowerProtect etter aktivering av VM-kryptering med innebygd nøkkelleverandør

Miljødetaljer:

• Frittstående PowerProtect
• VMware vSphere-klientversjon: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM er ikke tilgjengelig på ESXi-verten.

Verten skal være i klyngen. Legg til den opprinnelige nøkkelleverandøren ved å følge trinnene som er beskrevet i "Trinn for å legge til opprinnelig nøkkelleverandør." Sikret riktige kryptografiske rettigheter og kompatibilitet for vertsversjonen, før du fortsetter med krypteringen Angi den ekstra nøkkelen som standard. Den eksisterende virtuelle maskinen ble deretter kryptert ved å redigere VM-policyer. Etter at du har slått på den virtuelle maskinen, bekreftet driftsstatusen til PowerProtect ved å legge til ressurskilder, retningslinjer for beskyttelse og kjørende jobber.

Testcase 2: Bekrefte driftsstatus for PowerProtect etter aktivering av VM-kryptering med standard nøkkelleverandør

Miljødetaljer:

• VMware vSphere-klientversjon: 7.0.3.00500
• Frittstående PowerProtect
• KMS-servertype: Keysecure
• KMS nøkkel-klasse: ppdmdal
• Key Management Interoperability Protocol (KMIP) 1.1-kompatibel

La til Standard Key Provider ved å følge trinnene som er beskrevet i delen "Fremgangsmåte for å legge til standard nøkkelleverandør". Sikret at riktige kryptografiske rettigheter er tilgjengelige i vCenter før du fortsetter med kryptering. KMS ble konfigurert på vCenter, og standardnøkkelen ble lagt til. VM-en ble kryptert med standardnøkkelen og bekreftet deretter driftsstatusen til PowerProtect.

Ytelsestestingen ble utført på den virtuelle maskinen som er kryptert med den opprinnelige nøkkelleverandøren. 
Testingen ble utført på et annet antall og en annen type utstyr. Registrerte deretter varigheten og gjennomstrømningen for PowerProtect med og uten kryptering Observert at det ikke har noen store ytelsespåvirkninger (med og uten kryptering)
Resultatene indikerer at PowerProtect fortsetter å fungere etter kryptering, noe som viser integreringen av kryptering i VMware-miljøet. 

Begrensninger og påminnelser

Effektiv administrasjon av krypteringsnøkkel

• Effektiv administrasjon av krypteringsnøkler er avgjørende for den generelle sikkerheten i miljøet ditt. Implementer robuste prosedyrer for sikkerhetskopiering og gjenoppretting for å redusere risikoen for utilsiktet tap av krypteringsnøkler, som potensielt kan føre til tap av data.

KMIP serverkonfigurasjon og tilgjengelighet

• Sørg for riktig konfigurasjon og tilgjengelighet for KMIP-serveren (Key Management Interoperability Protocol) fra VMware-infrastrukturen. Dette er avgjørende for at krypteringsprosesser skal fungere tilfredsstillende og for å opprettholde integriteten til nøkkeladministrasjon.

Potensiell innvirkning på VM-ytelse

• Vær oppmerksom på potensiell innvirkning på ytelsen til virtuelle maskiner (VM) under krypteringsprosessen. Det anbefales å vurdere og forstå den potensielle ressursutnyttelsen og ytelsesimplikasjonene for å sikre en balansert og optimal drift.