PowerProtect: Захист за допомогою шифрування віртуальної машини VMware vSphere (VM)

Передумови

Шифрування даних у стані спокою є критично важливим заходом безпеки, спрямованим на захист конфіденційної інформації, що зберігається на диску або інших носіях зберігання. Реалізація шифрування даних у стані спокою здійснюється за допомогою шифрування VMware vSphere VM — функції, яка забезпечує шифрування для віртуальної машини, пов'язаних файлів, віртуальних дисків і знімків. Процес шифрування відбувається на рівні гіпервізора, забезпечуючи шифрування всіх даних у віртуальній машині. Шифрування VM залежить від постачальника ключів для безпечного зберігання та управління ключами шифрування. Таке розділення ключів від гіпервізора підвищує безпеку. Серед доступних ключових провайдерів часто використовуються VMware Native Key Provider та Standard Key Provider.

Конфігурація PowerProtect

Немає конкретних налаштувань конфігурації для увімкнення або вимкнення шифрування віртуальної машини, і ці налаштування взяті з середовища VMware vSphere. Деталі нижче містять рекомендації щодо провайдерів ключів, які можна використовувати, як увімкнути або вимкнути шифрування та як перевірити налаштування шифрування. Ця інформація надається виключно для загальної інформації та рекомендацій. Рекомендується звертатися до документації VMware для конкретної версії перед спробою будь-яких змін.

Постачальник нативних ключів

1. Огляд:

 VMware vSphere Native Key Provider — це інтегроване рішення для управління ключами для шифрування дисків віртуальних машин та об'єктів зберігання.

2. Особливості:

• Інтеграція під час реалізації з середовищами VMware vSphere
• Доступно у vSphere 7.0 Update 2 та новіших версіях
• Швидке налаштування: Зовнішній сервер ключів не потрібен.

 3. Кроки для додавання нативного провайдера ключа:

1. Увійдіть у VMware vSphere, перегляньте Inventory, виберіть сервер vCenter і натисніть "Configure," та нижче "Security," Клік "Key Providers."
2. Натисніть Додати, вибрати "Add Native Key Provider," Заповніть необхідну інформацію та натисніть "ADD KEY PROVIDER."
3. Відмітка у полі "Use key provider only with TPM protected ESXi hosts (Recommended)" якщо на хості доступний і налаштований Trusted Platform Module (TPM) 2.0.
4. Потім виберіть додану клавішу і натисніть "Back-UP."
5. Відмітка у полі "Protect Native Key Provider data with password (Recommended)" і натисніть на "Back UP KEY PROVIDER" Кнопка для створення пароля.
6. Введіть пароль, перевірте, чи є "password is saved in a secure place," і натисніть «Резервне копіювання ключа провайдера».
7. Результатом є файл p12, який автоматично зберігається у каталозі завантажень.

Постачальник стандартних ключів

1. Огляд:

Стандартний провайдер ключів — це універсальний варіант, що дозволяє інтегруватися з зовнішніми рішеннями для управління ключами.

2. Особливості:

• Зовнішня інтеграція: Підтримує інтеграцію з сторонніми рішеннями для управління ключами
• Вимога до VMware: Доступно у версіях VMware vSphere 6.5 та новіших версій
• Налаштування: Дозволяє налаштовувати політики управління ключами відповідно до потреб організації

3. Кроки для додавання стандартного провайдера ключа (за допомогою сертифіката KMS та приватного ключа):

Щоб додати постачальника ключів до сервера vCenter і встановити довірчі відносини між сервером vCenter і KMS, виконайте такі кроки:

1. Підключіться до клієнта vSphere, виберіть сервер vCenter, натисніть "Configure," та нижче "Security," Клік "Key Providers."
2. Клік "Add Standard Key Provider" та ввести ключову інформацію про провайдера (ім'я та дані KMS).
3. Клік "ADD KEY PROVIDER," Потім натисніть "TRUST" для встановлення довіри між сервером vCenter і KMS.
4. Налаштуйте KMS так, щоб він довіряв vCenter Server.
5. Виберіть доданого постачальника ключа, а потім оберіть KMS для встановлення довіри; Select "Make KMS trust vCenter" з "ESTABLISH TRUST" і виконайте кроки для завантаження сертифіката KMS та приватного ключа.
6. Після завершення завантаження натисніть "ESTABLISH TRUST." UI показує, що KMS підключена до сервера vCenter.

Тестування результатів шифрування VMware® vSphere® VM за допомогою PowerProtect

Проведено тестування для забезпечення робочого стану PowerProtect після ввімкнення шифрування VM у VMware vSphere. Обидва ключові провайдери використовувалися під час тестування. Початковий стан віртуальної машини був незашифрованим, і були виконані наступні кроки для її шифрування. Потім було перевірено функціональність PowerProtect.

Тестовий випадок 1: Перевірка робочого стану PowerProtect після увімкнення шифрування віртуальної машини за допомогою нативного провайдера

ключівДеталі навколишнього середовища:

• Автономний PowerProtect
• Версія клієнта VMware vSphere: 7.0.3.00500
• Гіпервізор: VMware ESXi, 7.0.3, 21930508
• TPM недоступний на хості ESXi.

Хост має бути в межах Кластера. Додайте Native Key Provider, дотримуючись кроків, викладених у розділі «Кроки для додавання Native Key Provider». Переконався у відповідних криптографічних привілеях і сумісності з версією хоста, перед переходом до шифрування Встановив доданий ключ за замовчуванням. Існуюча віртуальна машина потім шифрувалася шляхом редагування політик віртуальної машини. Після запуску віртуальної машини підтвердив робочий стан PowerProtect, додавши джерела активів, політики захисту та виконання завдань.

Тестовий випадок 2: Перевірка робочого стану PowerProtect після ввімкнення шифрування віртуальної машини за допомогою стандартного провайдера ключів

Деталі навколишнього середовища:

• Версія клієнта VMware vSphere: 7.0.3.00500
• Автономний PowerProtect
• Тип сервера KMS: Keysecure
• Клас ключів KMS: ppdmdal
• Сумісний з протоколом сумісності управління ключами (KMIP) 1.1

Додано стандартного провайдера ключів, дотримуючись кроків, викладених у розділі «Кроки для додавання стандартного провайдера ключів». Переконався, що в vCenter є відповідні криптографічні привілеї перед переходом до шифрування. KMS успішно налаштували на vCenter і додали стандартний ключ. Віртуальна машина шифрувалася за стандартним ключем і підтверджувала робочий стан PowerProtect.

Тестування продуктивності проводилося на віртуальній машині, зашифрованій за допомогою Native Key Provider. 
Тестування проводилося на іншій кількості та типах активів. Потім зафіксували тривалість і пропускну здатність PowerProtect з і без шифрування. Спостерігалося, що суттєвого впливу на продуктивність (з шифруванням і без нього) немає результатів
. Результати свідчать, що PowerProtect продовжує працювати після шифрування, що демонструє інтеграцію шифрування у середовище VMware. 

Обмеження та нагадування

Ефективне управління ключами шифрування

• Ефективне управління ключами шифрування є критично важливим для загальної безпеки вашого середовища. Впровадити надійні процедури резервного копіювлення та відновлення для зменшення ризику випадкової втрати ключів шифрування, що потенційно може призвести до втрати даних.

Конфігурація та доступність сервера KMIP

• Забезпечте правильну конфігурацію та доступність сервера Key Management Interoperability Protocol (KMIP) з вашої інфраструктури VMware. Це необхідно для безперебійної роботи процесів шифрування та збереження цілісності управління ключами.

Можливий вплив на продуктивність віртуальних машин

• Звертайте увагу на можливий вплив на продуктивність віртуальних машин (VM) під час процесу шифрування. Рекомендується оцінити та зрозуміти потенційне використання ресурсів і наслідки для продуктивності, щоб забезпечити збалансовану та оптимальну роботу.