PowerProtect: VMware vSphere sanal makine (VM) şifrelemesi ile koruma

Arka plan

Hareketsiz veri şifreleme, diskte veya diğer depolama ortamlarında depolanan hassas bilgileri korumak için tasarlanmış kritik bir güvenlik önlemidir. Hareketsiz veri şifrelemesinin uygulanması, VM, ilişkili dosyalar, sanal diskler ve anlık görüntüler için şifreleme sağlayan bir özellik olan VMware vSphere VM şifrelemesi ile yapılır. Şifreleme işlemi, hiper yönetici düzeyinde gerçekleşir ve bir VM içindeki tüm verilerin şifrelenmesini sağlar. VM Şifrelemesi, şifreleme anahtarlarını güvenli bir şekilde saklamak ve yönetmek için Anahtar Sağlayıcılara güvenir. Anahtarların hipervizörden bu şekilde ayrılması güvenliği artırır. Mevcut anahtar sağlayıcılar arasında VMware Yerel Anahtar Sağlayıcısı ve Standart Anahtar Sağlayıcısı yaygın olarak kullanılır.

PowerProtect Yapılandırması

VM şifrelemesini etkinleştirmek veya devre dışı bırakmak için belirli bir yapılandırma ayarı yoktur ve ayarlar VMware vSphere ortamından alınmıştır. Aşağıdaki bilgiler, kullanılabilecek Anahtar sağlayıcılar, şifrelemeyi etkinleştirme veya devre dışı bırakma ve şifreleme ayarlarını kontrol etme konusunda rehberlik sağlar. Bu bilgiler yalnızca genel bilgi ve rehberlik amaçlıdır. Herhangi bir değişiklik girişiminde bulunulmadan önce ilgili sürümün VMware belgelerine başvurulması önerilir.

Yerel Anahtar Sağlayıcısı

1. Genel Bakış:

 VMware vSphere Yerel Anahtar Sağlayıcısı, sanal makine disklerini ve depolama varlıklarını şifrelemek için entegre bir anahtar yönetimi çözümüdür.

2. Özellikler:

• VMware vSphere ortamlarıyla uygulama sırasında entegrasyon
• vSphere 7.0 Update 2 ve sonraki sürümlerde kullanılabilir
• Hızlı Kurulum: Harici anahtar sunucusu gerekmez.

 3. Yerel anahtar sağlayıcısı ekleme adımları:

1. VMware vSphere de oturum açın, Inventory öğesine gidin, vCenter sunucusunu seçin ve "Configure," ve altında "Security," Tıklatın "Key Providers."
2. Ekle'ye tıklayın, seçin "Add Native Key Provider," Gerekli bilgileri doldurun ve "ADD KEY PROVIDER."
3. Kutuyu işaretleyin "Use key provider only with TPM protected ESXi hosts (Recommended)" Ana bilgisayarda bir Güvenilir Platform Modülü (TPM) 2.0 mevcut ve yapılandırılmışsa.
4. Ardından eklenen anahtarı seçin ve "Back-UP."
5. Kutuyu işaretleyin "Protect Native Key Provider data with password (Recommended)" ve tıklayın "Back UP KEY PROVIDER" Parolayı oluşturmak için düğmesine basın.
6. Bir parola girin, "password is saved in a secure place," ve Backup Up Key Provider öğesine tıklayın.
7. Sonuç, otomatik olarak indirilenler dizinine kaydedilen bir p12 dosyasıdır.

Standart Anahtar Sağlayıcısı

1. Genel Bakış:

Standart Anahtar Sağlayıcı, harici anahtar yönetimi çözümleriyle entegrasyon sağlayan çok yönlü bir seçenektir.

2. Özellikler:

• Dış Entegrasyon: Üçüncü taraf anahtar yönetimi çözümleriyle entegrasyonu destekler
• VMware Gereksinimi: VMware vSphere 6.5 ve sonraki sürümlerde kullanılabilir
• Özelleştirme: Anahtar yönetim ilkelerinin kurumsal ihtiyaçlara göre özelleştirilmesine olanak tanır

3. Standart Anahtar Sağlayıcısı Ekleme Adımları (KMS sertifikasını ve özel anahtarı kullanarak):

vCenter Server'a bir anahtar sağlayıcı eklemek ve vCenter Server ile KMS arasında güven ilişkisi kurmak için aşağıdaki adımları izleyin:

1. vSphere Client'a bağlanın, vCenter sunucusunu seçin ve "Configure," ve altında "Security," Tıklatın "Key Providers."
2. Açılır iletişim kutusu açıldığında "Add Standard Key Provider" tıklayın ve anahtar sağlayıcı bilgilerini (ad ve KMS ayrıntıları) girin.
3. Açılır iletişim kutusu açıldığında "ADD KEY PROVIDER," ardından öğesine tıklayın "TRUST" vCenter sunucusu ile KMS arasında güven oluşturur.
4. KMS'yi vCenter Server'a güvenecek şekilde ayarlayın.
5. Eklenen anahtar sağlayıcısını seçin ve ardından güven oluşturmak için KMS'yi seçin; Seçin "Make KMS trust vCenter" İtibaren "ESTABLISH TRUST" menüsüne gidin ve KMS sertifikasını ve özel anahtarı yüklemek için adımları izleyin.
6. Yüklemeyi bitirdikten sonra tıklayın "ESTABLISH TRUST." Kullanıcı arayüzü, KMS'nin vCenter sunucusuna bağlı olduğunu gösterir.

PowerProtect ile VMware® vSphere® VM Encryption sonuçlarını test etme

VMware vSphere de VM şifrelemesini etkinleştirdikten sonra PowerProtect'in çalışır durumda olduğundan emin olmak için gerçekleştirilen testler. Test sürecinde her iki anahtar sağlayıcı da kullanıldı. VM'nin ilk durumu şifrelenmemiştir ve şifrelemek için aşağıdaki adımlar uygulanmıştır. Ardından PowerProtect'in işlevselliği doğrulandı.

Test Çalışması 1: Yerel Anahtar Sağlayıcısı

ile VM Şifrelemesini Etkinleştirdikten Sonra PowerProtect Çalışma Durumunu DoğrulamaOrtam Ayrıntıları:

• Bağımsız PowerProtect
• VMware vSphere Client Sürümü: 7.0.3.00500
• Hypervisor: VMware ESXi, 7.0.3, 21930508
• TPM, ESXi ana bilgisayarında mevcut değil.

Ana bilgisayar, Küme içinde olmalıdır. Yerel Anahtar Sağlayıcısını eklemek için "Yerel Anahtar Sağlayıcısı Ekleme Adımları" bölümünde açıklanan adımları izleyin. Şifrelemeye devam etmeden önce uygun şifreleme ayrıcalıklarına ve ana bilgisayar sürümüyle uyumluluğuna sahip olun Eklenen anahtarı varsayılan olarak ayarlayın. Mevcut VM daha sonra VM ilkeleri düzenlenerek şifrelendi. VM'yi açtıktan sonra varlık kaynakları, koruma politikaları ve çalışan işler ekleyerek PowerProtect'in çalışma durumunu onaylayın.

Test Çalışması 2: Standart Anahtar Sağlayıcı ile VM Şifrelemesini Etkinleştirdikten Sonra PowerProtect Çalışma Durumunu Doğrulama

Ortam Ayrıntıları:

• VMware vSphere Client Sürümü: 7.0.3.00500
• Bağımsız PowerProtect
• KMS Sunucu Türü: Keysecure
• KMS anahtar sınıfı: ppdmdal
• Key Management Interoperability Protocol (KMIP) 1.1 uyumlu

"Standart Anahtar Sağlayıcısı Ekleme Adımları" bölümünde açıklanan adımları izleyerek Standart Anahtar Sağlayıcı eklendi. Şifrelemeye devam etmeden önce vCenter'da uygun şifreleme ayrıcalıklarının mevcut olduğundan emin olun. KMS, vCenter'da başarılı bir şekilde ayarlandı ve varsayılan anahtar eklendi. Sanal makine varsayılan anahtarla şifrelendi ve ardından PowerProtect'in çalışma durumu doğrulandı.

Performans testi, Yerel Anahtar Sağlayıcısı ile şifrelenmiş sanal makinede gerçekleştirilmiştir. 
Test, farklı sayıda ve türde varlık üzerinde gerçekleştirilmiştir. Ardından, şifrelemeli ve şifrelemesiz PowerProtect için süreyi ve aktarım hızını kaydetti Performansın önemli bir etkisinin olmadığı gözlemlendi (Şifrelemeli ve şifrelemesiz)
Sonuçlar, PowerProtect'in şifrelemeden sonra da çalışmaya devam ettiğini göstererek şifrelemenin VMware ortamına entegre edildiğini gösterir. 

Sınırlamalar ve Hatırlatmalar

Verimli Şifreleme Anahtarı Yönetimi

• Şifreleme anahtarlarını verimli bir şekilde yönetmek, ortamınızın genel güvenliği için çok önemlidir. Potansiyel olarak veri kaybına neden olabilecek şifreleme anahtarlarının yanlışlıkla kaybolması riskini azaltmak için sağlam yedekleme ve kurtarma prosedürleri uygulayın.

KMIP Sunucu Yapılandırması ve Erişilebilirliği

• Key Management Interoperability Protocol (KMIP) sunucusunun VMware altyapınızdan doğru şekilde yapılandırılmasını ve erişilebilir olduğundan emin olun. Bu, şifreleme süreçlerinin sorunsuz çalışması ve anahtar yönetiminin bütünlüğünü korumak için gereklidir.

VM Performansı Üzerindeki Olası Etkiler

• Şifreleme işlemi sırasında sanal makine (VM) performansı üzerindeki olası etkilerin farkında olun. Dengeli ve optimum bir çalışma sağlamak için potansiyel kaynak kullanımı ve performans etkilerinin değerlendirilmesi ve anlaşılması tavsiye edilir.