PowerProtect. Защита с помощью шифрования виртуальных машин (ВМ) VMware vSphere

Предпосылка

Шифрование данных в состоянии покоя — это критически важная мера безопасности, предназначенная для защиты конфиденциальной информации, хранящейся на диске или другом носителе. Шифрование данных в состоянии покоя реализовано с помощью шифрования виртуальных машин VMware vSphere, функции, которая обеспечивает шифрование виртуальной машины, связанных с ней файлов, виртуальных дисков и моментальных снимков. Процесс шифрования происходит на уровне гипервизора, гарантируя, что все данные в виртуальной машине зашифрованы. Шифрование виртуальных машин использует поставщиков ключей для безопасного хранения ключей шифрования и управления ими. Такое отделение ключей от гипервизора повышает безопасность. Среди доступных поставщиков ключей обычно используются VMware Native Key Provider и Standard Key Provider.

Конфигурация PowerProtect

Никаких специальных параметров конфигурации для включения или отключения шифрования виртуальной машины не предусмотрено, параметры берутся из среды VMware vSphere. Ниже приведены рекомендации по поставщикам ключей, которые можно использовать, способам включения или отключения шифрования и проверке параметров шифрования. Эта информация предоставляется только для общего ознакомления и руководства. Перед внесением изменений рекомендуется обратиться к документации VMware для конкретной версии.

Собственный поставщик ключей

1. Обзор:

 VMware vSphere Native Key Provider — это интегрированное решение для управления ключами для шифрования дисков виртуальных машин и объектов хранения.

2. Функции и компоненты:

• Интеграция в процессе внедрения со средами VMware vSphere
• Доступно в vSphere 7.0 Update 2 и более поздних версиях
• Быстрая настройка: Внешний сервер ключей не требуется.

 3. Действия по добавлению собственного поставщика ключей:

1. Войдите в VMware vSphere, просмотрите Inventory, выберите сервер vCenter и нажмите "Configure," и под "Security," Нажмите "Key Providers."
2. Нажмите Добавить, выберите "Add Native Key Provider," Введите необходимую информацию и нажмите "ADD KEY PROVIDER."
3. Установите флажок "Use key provider only with TPM protected ESXi hosts (Recommended)" если на хосте доступен и настроен доверенный платформенный модуль (TPM) 2.0.
4. Затем выберите добавленный ключ и нажмите "Back-UP."
5. Установите флажок "Protect Native Key Provider data with password (Recommended)" и нажмите кнопку "Back UP KEY PROVIDER" , чтобы создать пароль.
6. Введите пароль, убедитесь, что "password is saved in a secure place," и нажмите Резервное копирование поставщика ключей.
7. В результате получается файл p12, автоматически сохраняемый в каталоге загрузок.

Стандартный поставщик ключей

1. Обзор:

Стандартный поставщик ключей — это универсальный вариант, обеспечивающий интеграцию с внешними решениями для управления ключами.

2. Функции и компоненты:

• Внешняя интеграция: Поддержка интеграции со сторонними решениями для управления ключами
• Требования VMware: Доступно в VMware vSphere 6.5 и более поздних версиях
• Настройки: Позволяет настраивать политики управления ключами в соответствии с потребностями организации

3. Действия по добавлению стандартного поставщика ключей (с использованием сертификата KMS и закрытого ключа):

Чтобы добавить поставщика ключей на сервер vCenter Server и установить доверительные отношения между сервером vCenter Server и KMS, выполните следующие действия.

1. Подключитесь к клиенту vSphere, выберите сервер vCenter и нажмите "Configure," и под "Security," Нажмите "Key Providers."
2. Нажмите "Add Standard Key Provider" и введите ключевые сведения о поставщике (имя и сведения о KMS).
3. Нажмите "ADD KEY PROVIDER," затем нажмите "TRUST" для установления доверия между vCenter Server и KMS.
4. Настройте KMS, чтобы он доверял vCenter Server.
5. Выберите добавленного поставщика ключей, а затем выберите KMS для установки доверия. Выберите "Make KMS trust vCenter" Из "ESTABLISH TRUST" и выполните действия, чтобы загрузить сертификат KMS и закрытый ключ.
6. После завершения загрузки нажмите "ESTABLISH TRUST." В пользовательском интерфейсе отображается, что KMS подключен к серверу vCenter.

Тестирование® результатов VMware vSphere® VM Encryption с помощью PowerProtect

Проведено тестирование для подтверждения рабочего состояния PowerProtect после включения шифрования ВМ в VMware vSphere. В процессе тестирования были задействованы оба ключевых провайдера. В исходном состоянии виртуальная машина была не зашифрована, и для ее шифрования были предприняты следующие действия. Затем была проверена функциональность PowerProtect.

Тестовый случай 1: Проверка рабочего состояния PowerProtect после включения шифрования ВМ с помощью встроенного поставщика

ключейСведения об окружении:

• Автономное решение PowerProtect
• Версия клиента VMware vSphere: 7.0.3.00500
• Гипервизора: VMware ESXi 7.0.3 21930508
• Модуль TPM недоступен на хосте ESXi.

Хост должен находиться в кластере. Добавьте собственный поставщик ключей, выполнив действия, описанные в разделе Действия по добавлению собственного поставщика ключей. Прежде чем приступить к шифрованию, необходимо обеспечить надлежащие криптографические привилегии и совместимость версии хоста. Установите добавленный ключ в качестве ключа по умолчанию. Существующая виртуальная машина была затем зашифрована путем изменения политик виртуальных машин. После включения ВМ подтвердите рабочее состояние PowerProtect, добавив источники ресурсов, политики защиты и запустив задания.

Тестовый случай 2: Проверка рабочего состояния PowerProtect после включения шифрования ВМ с помощью стандартного поставщика ключей

Сведения об окружении:

• Версия клиента VMware vSphere: 7.0.3.00500
• Автономное решение PowerProtect
• Тип сервера KMS: Keysecure
• Класс ключей KMS: ppdmdal
• Совместимость с протоколом KMIP (Key Management Interoperability Protocol) 1.1

Добавьте стандартный поставщик ключей, выполнив действия, описанные в разделе Действия по добавлению стандартного поставщика ключей. Прежде чем приступить к шифрованию, убедитесь, что в vCenter доступны необходимые криптографические права. KMS был успешно настроен в vCenter, и к нему был добавлен ключ по умолчанию. Виртуальная машина была зашифрована с помощью ключа по умолчанию, а затем проверено рабочее состояние PowerProtect.

Тестирование производительности проводилось на виртуальной машине, зашифрованной с помощью поставщика собственных ключей. 
Тестирование проводилось на разном количестве и типе активов. Затем записываются продолжительность и пропускная способность для PowerProtect с шифрованием и без него Наблюдается отсутствие значительного влияния на производительность (с шифрованием и без него)Результаты
показывают, что PowerProtect продолжает работать после шифрования, демонстрируя интеграцию шифрования в среду VMware. 

Ограничения и напоминания

Эффективное управление ключами шифрования

• Эффективное управление ключами шифрования имеет решающее значение для общей безопасности среды. Внедрите надежные процедуры резервного копирования и восстановления, чтобы снизить риск случайной потери ключей шифрования, которая потенциально может привести к потере данных.

Конфигурация и доступность сервера KMIP

• Обеспечьте надлежащую настройку и доступность сервера протокола KMIP (Key Management Interoperability Protocol) из инфраструктуры VMware. Это необходимо для бесперебойного функционирования процессов шифрования и поддержания целостности управления ключами.

Потенциальное влияние на производительность виртуальных машин

• Помните о потенциальном влиянии процесса шифрования на производительность виртуальных машин (ВМ). Для обеспечения сбалансированной и оптимальной работы рекомендуется оценить и понять потенциальное использование ресурсов и влияние на производительность.