PowerProtect: Ochrona za pomocą szyfrowania maszyn wirtualnych (VM) VMware vSphere

Tło

Szyfrowanie danych w stanie spoczynku jest kluczowym środkiem bezpieczeństwa zaprojektowanym w celu ochrony poufnych informacji przechowywanych na dysku lub innym nośniku pamięci masowej. Szyfrowanie danych w stanie spoczynku jest implementowane za pomocą szyfrowania maszyn wirtualnych VMware vSphere, funkcji, która zapewnia szyfrowanie maszyny wirtualnej, skojarzonych plików, dysków wirtualnych i migawek. Proces szyfrowania odbywa się na poziomie monitora maszyny wirtualnej, zapewniając, że wszystkie dane na maszynie wirtualnej są zaszyfrowane. Szyfrowanie maszyn wirtualnych opiera się na dostawcach kluczy do bezpiecznego przechowywania kluczy szyfrowania i zarządzania nimi. Oddzielenie kluczy od monitora maszyny wirtualnej zwiększa bezpieczeństwo. Wśród dostępnych dostawców kluczy powszechnie używane są VMware Native Key Provider i Standard Key Provider.

Konfiguracja PowerProtect

Nie ma określonych ustawień konfiguracyjnych umożliwiających włączanie lub wyłączanie szyfrowania maszyn wirtualnych, a ustawienia są pobierane ze środowiska VMware vSphere. Poniższe szczegóły zawierają wskazówki dotyczące dostawców kluczy, których można używać, włączania i wyłączania szyfrowania oraz sprawdzania ustawień szyfrowania. Informacje te mają charakter wyłącznie ogólny i orientacyjny. Przed wprowadzeniem jakichkolwiek zmian zalecane jest zapoznanie się z dokumentacją VMware dla określonej wersji.

Natywny dostawca kluczy

1. Przegląd:

 VMware vSphere Native Key Provider to zintegrowane rozwiązanie do zarządzania kluczami służące do szyfrowania dysków maszyn wirtualnych i jednostek pamięci masowej.

2. Funkcje:

• Integracja podczas wdrożenia ze środowiskami VMware vSphere
• Dostępne w vSphere 7.0 Update 2 i nowszych wersjach
• Szybka konfiguracja: Zewnętrzny serwer kluczy nie jest wymagany.

 3. Kroki dodawania natywnego dostawcy kluczy:

1. Zaloguj się do VMware vSphere, przejrzyj zasoby, wybierz vCenter Server i kliknij przycisk "Configure," oraz w ramach "Security," Kliknij "Key Providers."
2. Kliknij przycisk Dodaj, wybierz "Add Native Key Provider," Uzupełnij wymagane informacje i kliknij przycisk "ADD KEY PROVIDER."
3. Zaznacz pole "Use key provider only with TPM protected ESXi hosts (Recommended)" czy moduł TPM (Trusted Platform Module) 2.0 jest dostępny i skonfigurowany na hoście.
4. Następnie wybierz dodany klucz i kliknij przycisk "Back-UP."
5. Zaznacz pole "Protect Native Key Provider data with password (Recommended)" i kliknij przycisk "Back UP KEY PROVIDER" , aby utworzyć hasło.
6. Wprowadź hasło, sprawdź, czy "password is saved in a secure place," i kliknij Utwórz kopię zapasową dostawcy klucza.
7. Rezultatem jest plik p12, automatycznie zapisywany w katalogu pobierania.

Standardowy dostawca kluczy

1. Przegląd:

Standard Key Provider to wszechstronna opcja umożliwiająca integrację z zewnętrznymi rozwiązaniami do zarządzania kluczami.

2. Funkcje:

• Integracja zewnętrzna: Obsługa integracji z rozwiązaniami do zarządzania kluczami innych firm
• Wymagania VMware: Dostępne w oprogramowaniu VMware vSphere 6.5 i nowszych wersjach
• Dostosowywania: Umożliwia dostosowanie zasad zarządzania kluczami w oparciu o potrzeby organizacji.

3. Kroki dodawania standardowego dostawcy kluczy (przy użyciu certyfikatu KMS i klucza prywatnego):

Aby dodać dostawcę kluczy do serwera vCenter Server i ustanowić relację zaufania między serwerem vCenter Server a usługą KMS, wykonaj następujące czynności:

1. Połącz się z klientem vSphere, wybierz serwer vCenter, kliknij przycisk "Configure," oraz w ramach "Security," Kliknij "Key Providers."
2. Kliknij przycisk "Add Standard Key Provider" i wprowadź kluczowe informacje o dostawcy (nazwę i dane KMS).
3. Kliknij przycisk "ADD KEY PROVIDER," Następnie kliknij "TRUST" , aby ustanowić zaufanie między serwerem vCenter Server a usługą KMS.
4. Skonfiguruj usługę KMS tak, aby ufała serwerowi vCenter Server.
5. Wybierz dodanego dostawcę kluczy, a następnie wybierz usługę KMS, aby ustanowić zaufanie; Wybierz "Make KMS trust vCenter" Z "ESTABLISH TRUST" i postępuj zgodnie z instrukcjami, aby przesłać certyfikat KMS i klucz prywatny.
6. Po zakończeniu przesyłania kliknij "ESTABLISH TRUST." W interfejsie użytkownika wyświetlana jest informacja, że usługa KMS jest połączona z serwerem vCenter.

Testowanie wyników szyfrowania maszyn wirtualnych VMware® vSphere® za pomocą programu PowerProtect

Przeprowadzono testy w celu zapewnienia stanu operacyjnego programu PowerProtect po włączeniu szyfrowania maszyn wirtualnych w oprogramowaniu VMware vSphere. Obaj kluczowi dostawcy zostali wykorzystani podczas procesu testowania. Początkowy stan maszyny wirtualnej był nieszyfrowany i w celu jego zaszyfrowania wykonano następujące kroki. Następnie zweryfikowano funkcjonalność PowerProtect.

Przypadek testowy 1: Weryfikowanie stanu operacyjnego PowerProtect po włączeniu szyfrowania maszyny wirtualnej z natywnym dostawcą

kluczySzczegóły środowiska:

• Autonomiczna PowerProtect
• Wersja VMware vSphere Client: 7.0.3.00500
• Funkcja hypervisor: VMware ESXi, 7.0.3, 21930508
• Moduł TPM nie jest dostępny na hoście ESXi.

Host powinien znajdować się w klastrze. Dodaj natywnego dostawcę kluczy, wykonując czynności opisane w sekcji "Kroki dodawania natywnego dostawcy kluczy". Zapewniono odpowiednie uprawnienia kryptograficzne i zgodność wersji hosta przed kontynuowaniem szyfrowania Ustaw dodany klucz jako domyślny. Istniejąca maszyna wirtualna została następnie zaszyfrowana przez edycję zasad maszyny wirtualnej. Po włączeniu maszyny wirtualnej potwierdź stan operacyjny PowerProtect, dodając źródła zasobów, zasady ochrony i uruchomione zadania.

Przypadek testowy 2: Weryfikowanie statusu operacyjnego PowerProtect po włączeniu szyfrowania maszyn wirtualnych przy użyciu standardowego dostawcy kluczy

Szczegóły środowiska:

• Wersja VMware vSphere Client: 7.0.3.00500
• Autonomiczna PowerProtect
• Typ serwera KMS: Keysecure
• Klasa klucza KMS: ppdmdal
• Zgodność ze standardem KMIP (Key Management Interoperability Protocol) 1.1

Dodano standardowego dostawcę kluczy, wykonując czynności opisane w sekcji "Kroki dodawania standardowego dostawcy kluczy". Przed kontynuowaniem szyfrowania w vCenter zapewniono odpowiednie uprawnienia kryptograficzne. Usługa KMS została pomyślnie skonfigurowana w vCenter i dodano klucz domyślny. Maszyna wirtualna została zaszyfrowana przy użyciu klucza domyślnego, a następnie zweryfikowano stan działania PowerProtect.

Testy wydajności zostały przeprowadzone na maszynie wirtualnej zaszyfrowanej przy użyciu natywnego dostawcy kluczy. 
Testy przeprowadzono na innej liczbie i różnych typach zasobów. Następnie zanotowano czas trwania i przepustowość rozwiązania PowerProtect z szyfrowaniem i bez szyfrowania. Nie zaobserwowano istotnego wpływu na wydajność (z szyfrowaniem i bez)
Wyniki wskazują, że PowerProtect nadal działa po zaszyfrowaniu, co świadczy o integracji szyfrowania ze środowiskiem VMware. 

Ograniczenia i przypomnienia

Efektywne zarządzanie kluczami szyfrowania

• Efektywne zarządzanie kluczami szyfrowania ma kluczowe znaczenie dla ogólnego bezpieczeństwa środowiska. Wdrożenie solidnych procedur tworzenia kopii zapasowych i odzyskiwania danych w celu ograniczenia ryzyka przypadkowej utraty kluczy szyfrowania, która mogłaby potencjalnie spowodować utratę danych.

Konfiguracja serwera KMIP i ułatwienia dostępu

• Zapewnienie prawidłowej konfiguracji i dostępności serwera KMIP (Key Management Interoperability Protocol) z poziomu infrastruktury VMware. Jest to niezbędne do sprawnego funkcjonowania procesów szyfrowania i utrzymania integralności zarządzania kluczami.

Potencjalny wpływ na wydajność maszyny wirtualnej

• Należy pamiętać o potencjalnym wpływie na wydajność maszyny wirtualnej (VM) podczas procesu szyfrowania. Wskazane jest oszacowanie i zrozumienie potencjalnego wykorzystania zasobów i wpływu na wydajność, aby zapewnić zrównoważone i optymalne działanie.