PowerProtect：使用 VMware vSphere 虛擬機器 （VM） 加密提供保護

背景

靜態資料加密是一項重要的安全措施，旨在保護儲存在磁碟或其他儲存媒體上的敏感資訊。閒置資料加密的實作是使用 VMware vSphere VM 加密，這項功能可為 VM、相關檔案、虛擬磁碟和快照提供加密。加密程序在 Hypervisor 層級進行，確保 VM 中的所有資料都已加密。VM 加密依賴於金鑰提供者來安全地存儲和管理加密金鑰。這種金鑰與虛擬機監控程式的分離增強了安全性。在可用的金鑰提供者中，通常使用 VMware 原生金鑰提供者和標準金鑰提供者。

PowerProtect 組態

沒有可啟用或停用 VM 加密的特定組態設定，且這些設定取自 VMware vSphere 環境。以下詳細資料提供指引可使用的金鑰提供者、如何啟用或停用加密，以及如何檢查加密設定。此資訊僅供一般資訊和指導之用。在嘗試進行任何變更之前，建議您參考特定版本的 VMware 說明文件。

原生金鑰提供者

1. 概述：

 VMware vSphere 原生 金鑰提供者是用於加密虛擬機器磁碟和儲存實體的整合式金鑰管理解決方案。

2.功能：

• 在實作期間與 VMware vSphere 環境進行整合
• 適用於 vSphere 7.0 Update 2 及更新版本
• 快速安裝：不需要外部金鑰伺服器。

 3.新增原生金鑰提供者的步驟：

1. 登入 VMware vSphere、瀏覽清查、選取 vCenter 伺服器，然後按一下 "Configure," 和下 "Security," 按一下 "Key Providers."
2. 按 一下新增，選取 "Add Native Key Provider," 完成所需資訊，然後按兩下 "ADD KEY PROVIDER."
3. 勾選方塊 "Use key provider only with TPM protected ESXi hosts (Recommended)" 主機上是否已設定可信賴平台模組 （TPM） 2.0。
4. 然後選取新增的金鑰，然後按一下 "Back-UP."
5. 勾選方塊 "Protect Native Key Provider data with password (Recommended)" ，然後按下 "Back UP KEY PROVIDER" 按鈕以創建密碼。
6. 輸入密碼，檢查 "password is saved in a secure place," ，然後按下備份金鑰提供者。
7. 結果是一個 p12 檔，自動保存在下載目錄中。

標準金鑰提供者

1. 概述：

標準金鑰提供者是一種多功能選項，可與外部金鑰管理解決方案整合。

2.功能：

• 外部整合：支援與第三方金鑰管理解決方案整合
• VMware 需求：適用於 VMware vSphere 6.5 及更新版本
• 自訂：允許根據組織需求自訂金鑰管理原則

3.新增標準金鑰提供者的步驟 （使用 KMS 憑證和私密金鑰）：

若要將金鑰提供者新增至 vCenter Server，並在 vCenter Server 和 KMS 之間建立信任關係，請遵循這些步驟：

1. 連線至 vSphere Client，選取 vCenter 伺服器，按一下 "Configure," 和下 "Security," 按一下 "Key Providers."
2. 按一下 "Add Standard Key Provider" ，然後輸入金鑰提供者資訊（名稱和 KMS 詳細資訊）。
3. 按一下 "ADD KEY PROVIDER," 然後按一下 "TRUST" 目的是在 vCenter Server 和 KMS 之間建立信任。
4. 設定 KMS 以信任 vCenter Server。
5. 選擇添加的金鑰提供者，然後選擇 KMS 以建立信任;選擇 "Make KMS trust vCenter" 從 "ESTABLISH TRUST" 功能表，然後按照步驟上傳 KMS 憑證和私密金鑰。
6. 完成上傳後，按兩下 "ESTABLISH TRUST." UI 顯示 KMS 已連接至 vCenter 伺服器。

使用 PowerProtect 測試 VMware® vSphere® VM 加密結果

在 VMware vSphere 中啟用 VM 加密後，執行測試以確保 PowerProtect 的運作狀態。測試過程中使用了兩個關鍵提供者。VM 的初始狀態為未加密，並已採取下列步驟予以加密。接著驗證 PowerProtect 的功能。

測試案例 1：使用原生金鑰提供者

啟用 VM 加密後，驗證 PowerProtect 運作狀態環境詳細資料：

• 獨立 PowerProtect
• VMware vSphere Client 版本：7.0.3.00500
• Hypervisor：VMware ESXi 7.0.3 21930508
• ESXi 主機上無法使用 TPM。

主機應位於叢集中。按照「添加本機金鑰提供者的步驟」中概述的步驟添加本機密鑰提供者。在繼續加密之前，請確定適當的密碼編譯權限和主機版本的相容性 將新增的金鑰設為預設值。然後通過編輯 VM 策略對現有 VM 進行加密。開啟 VM 電源後，透過新增資產來源、保護原則和執行工作，確認 PowerProtect 的運作狀態。

測試案例 2：使用標準金鑰提供者啟用 VM 加密後，驗證 PowerProtect 的運作狀態

環境詳細資料：

• VMware vSphere Client 版本：7.0.3.00500
• 獨立 PowerProtect
• KMS 伺服器類型： Keysecure
• KMS 金鑰類別： ppdmdal
• 與金鑰管理互用性通訊協定 （KMIP） 1.1 相容

按照「添加標準金鑰提供者的步驟」部分中概述的步驟添加標準金鑰提供者。在繼續加密之前，請確定 vCenter 中具有適當的密碼編譯權限。已成功在 vCenter 上設定 KMS，並新增預設金鑰。虛擬機器已使用預設金鑰加密，然後驗證 PowerProtect 的運作狀態。

已在使用原生金鑰提供者加密的 VM 上執行效能測試。
測試針對不同數量和類型的資產執行。然後記錄使用與不使用加密的 PowerProtect 的持續時間和輸送量 觀察到沒有重大效能影響 （使用或不使用加密）
結果顯示 PowerProtect 在加密後仍繼續運作，展現已將加密整合至 VMware 環境。 

限制和提醒

高效的加密金鑰管理

• 有效管理加密金鑰對於環境的整體安全性至關重要。實施強大的備份和恢復程式，以降低意外丟失加密密鑰的風險，這可能會導致數據丟失。

KMIP 伺服器組態與存取能力

• 確保從 VMware 基礎結構正確設定和存取金鑰管理互用性通訊協定 （KMIP） 伺服器。這對於加密程序的順利運作及維持金鑰管理的完整性至關重要。

對 VM 效能的潛在影響

• 請注意加密程序期間對虛擬機器 （VM） 效能的潛在影響。建議評估和瞭解潛在的資源利用率和性能影響，以確保平衡和最佳的運行。