PowerProtect：使用 VMware vSphere 虚拟机 （VM） 加密进行保护

背景

静态数据加密是一项重要的安全措施，旨在保护存储在磁盘或其他存储介质上的敏感信息。静态数据加密的实施使用 VMware vSphere 虚拟机加密，该功能可为虚拟机、关联的文件、虚拟磁盘和快照提供加密。加密过程在虚拟机管理程序级别进行，确保虚拟机中的所有数据都得到加密。VM Encryption 依靠密钥提供程序来安全地存储和管理加密密钥。密钥与虚拟机管理程序的这种分离增强了安全性。在可用的密钥提供程序中，通常使用 VMware 本机密钥提供程序和标准密钥提供程序。

PowerProtect 配置

没有用于启用或禁用虚拟机加密的特定配置设置，这些设置取自 VMware vSphere 环境。以下详细信息提供了有关可以使用的密钥提供程序、如何启用或禁用加密以及如何检查加密设置的指导。此信息仅用于一般信息和指导。在尝试进行任何更改之前，建议参考特定版本的 VMware 文档。

本机密钥提供程序

1.概述：

 VMware vSphere 本机 密钥提供程序是用于加密虚拟机磁盘和存储实体的集成密钥管理解决方案。

2.功能：

• 在实施期间与 VMware vSphere 环境集成
• 在 vSphere 7.0 Update 2 及更高版本中可用
• 快速设置：不需要外部密钥服务器。

 3.添加本机密钥提供程序的步骤：

1. 登录到 VMware vSphere，浏览清单，选择 vCenter Server，然后单击 "Configure," 和以下 "Security," 点击 "Key Providers."
2. 单击 “Add”，选择 "Add Native Key Provider," 填写所需的信息，然后单击 "ADD KEY PROVIDER."
3. 选中此框 "Use key provider only with TPM protected ESXi hosts (Recommended)" 如果可信平台模块 （TPM） 2.0 可用并在主机上配置。
4. 然后选择添加的密钥，然后单击 "Back-UP."
5. 选中此框 "Protect Native Key Provider data with password (Recommended)" ，然后单击 "Back UP KEY PROVIDER" 按钮创建密码。
6. 输入密码，检查 "password is saved in a secure place," ，然后单击备份密钥提供程序。
7. 结果是一个 p12 文件，自动保存在 downloads 目录中。

标准密钥提供程序

1.概述：

标准密钥提供程序是一个通用选项，支持与外部密钥管理解决方案集成。

2.功能：

• 外部集成：支持与第三方密钥管理解决方案集成
• VMware 要求：在 VMware vSphere 6.5 及更高版本中可用
• 自定义：允许根据组织需求自定义密钥管理策略

3.添加标准密钥提供程序（使用 KMS 证书和私钥）的步骤：

要向 vCenter Server 添加密钥提供程序并在 vCenter Server 和 KMS 之间建立信任关系，请执行以下步骤：

1. 连接到 vSphere Client，选择 vCenter Server，单击 "Configure," 和以下 "Security," 点击 "Key Providers."
2. 出现弹出对话框时，单击 "Add Standard Key Provider" ，然后输入密钥提供程序信息（名称和 KMS 详细信息）。
3. 出现弹出对话框时，单击 "ADD KEY PROVIDER," 然后单击 "TRUST" 在 vCenter Server 和 KMS 之间建立信任。
4. 设置 KMS 以信任 vCenter Server。
5. 选择添加的密钥提供者，然后选择要建立信任的 KMS;选择 "Make KMS trust vCenter" 从 "ESTABLISH TRUST" 菜单，然后按照步骤上传 KMS 证书和私钥。
6. 完成上传后，单击 "ESTABLISH TRUST." UI 显示 KMS 已连接到 vCenter Server。

使用 PowerProtect 测试 VMware® vSphere® 虚拟机加密结果

执行测试以确保在 VMware vSphere 中启用虚拟机加密后 PowerProtect 的运行状态。在测试过程中使用了两个密钥提供程序。虚拟机的初始状态为未加密，并采取了以下步骤对其进行加密。然后，验证了 PowerProtect 的功能。

测试用例 1：使用本机密钥提供程序

启用虚拟机加密后验证 PowerProtect作状态环境详细信息：

• 独立 PowerProtect
• VMware vSphere Client 版本：7.0.3.00500
• 虚拟机管理程序：VMware ESXi， 7.0.3， 21930508
• TPM 在 ESXi 主机上不可用。

主机应位于群集内。按照“添加本机密钥提供程序的步骤”中概述的步骤添加本机密钥提供程序。在继续加密之前，确保正确的加密权限和主机版本的兼容性 将添加的密钥设置为默认值。然后通过编辑虚拟机策略对现有虚拟机进行加密。打开虚拟机电源后，通过添加资产源、保护策略和正在运行的作业确认了 PowerProtect 的运行状态。

测试用例 2：使用标准密钥提供程序启用虚拟机加密后验证 PowerProtect作状态

环境详细信息：

• VMware vSphere Client 版本：7.0.3.00500
• 独立 PowerProtect
• KMS 服务器类型： Keysecure
• KMS 密钥类： ppdmdal
• 符合密钥管理互作性协议 （KMIP） 1.1

按照“添加标准密钥提供程序的步骤”一节中概述的步骤添加了标准密钥提供程序。在继续加密之前，确保 vCenter 中具有正确的加密权限。KMS 已在 vCenter 上成功设置，并添加了默认密钥。使用默认密钥对虚拟机进行加密，然后验证 PowerProtect 的运行状态。

性能测试在使用本机密钥提供程序加密的虚拟机上进行。
测试是在不同数量和类型的资产上执行的。然后记录使用和不使用加密的 PowerProtect 的持续时间和吞吐量。观察到没有重大性能影响（使用和不使用加密）
结果表明，PowerProtect 在加密后继续运行，这表明加密已集成到 VMware 环境中。 

限制和提醒

高效的加密密钥管理

• 高效管理加密密钥对于环境的整体安全性至关重要。实施强大的备份和恢复程序，以降低加密密钥意外丢失的风险，这可能会导致数据丢失。

KMIP 服务器配置和可访问性

• 确保从 VMware 基础架构正确配置和访问密钥管理互作性协议 （KMIP） 服务器。这对于加密过程的平稳运行和维护密钥管理的完整性至关重要。

对虚拟机性能的潜在影响

• 请注意加密过程中对虚拟机 （VM） 性能的潜在影响。建议评估和了解潜在的资源利用率和性能影响，以确保平衡和最佳运营。