Не так давно ми писали про нові можливості платформи віртуалізації VMware vSphere 6.5 , Де вперше з'явилася так давно запитувана адміністраторами функція шифрування, як вмісту віртуальних дисків, так і шифрування гарячих міграцій vMotion.
Влаштовано це шифрування ВМ на базі алгоритму AES-NI, а управління ключами відбувається за стандартом KMIP 1.1 . Коли операція введення-виведення приходить на диск віртуальної машини - вона відразу ж шифрується "на льоту", що забезпечує повну безпеку при спробі несанкціонованого доступу до даних.
Шифруються не тільки віртуальні диски, але і конфігураційні файли VMX, файли снапшотов і всі інші файлові об'єкти, що відносяться до віртуальної машині.
Шифрування об'єктів ВМ йде за її межами, таким чином гостьова ОС не має доступу до ключів шифрування. Шифровані віртуальні машини завжди переміщаються між хостами ESXi засобами також шифрованого vMotion.
Щоб почати шифрувати віртуальну машину, потрібно призначити їй відповідну політику зберігання (Storage Policy):
Як працює VM Encryption в VMware vSphere 6.5:
- Користувач призначає політику VM Encryption на рівні віртуальної машини.
- Для машини генерується випадковий ключ і шифрується ключем з key manager (KMS Key).
- При включенні ВМ сервер vCenter отримує ключ з Key Manager, посилає його в VM encryption Module на сервері ESXi, що разлочівает ключ в гіпервізора.
- Далі всі операції введення-виведення йдуть через encryption module, шифруючи всі вхідні і вихідні SCSI-команди прозоро для гостьової ОС.
Все це сумісно зі сторонніми системами управління ключами (і вимагає одну з них), які побудовані на стандарті KMIP версії 1.1 або вище:
Для того, щоб розшифрувати віртуальну машину і зберігати далі її в звичайному форматі, потрібно просто поставити дефолтну політику зберігання (Datastore default).
Також буде спеціальний командлет PowerCLI, який може шифрувати / розшифровувати ВМ, а також визначати, які з них в даний момент зашифровані.
vCenter в системі шифрування працює тільки як клієнт. Для управління ключами використовується Key Management Server (KMS).
У механізмі управління привілеями тепер з'явилася роль No Cryptography Administrator. Якщо її призначити, то стандартному адміністратору будуть заборонені такі привілеї:
- Manage key servers
- Manage keys
- Manage encryption policies
- Console access to encrypted VMs
- Upload / download encrypted VMs
Як KMS можна використовувати будь-які зовнішні системи, що працюють за стандартом KMIP:
При використанні шифрування ВМ потрібно враховувати наступні моменти:
- Так, вам знадобиться система управління ключами (зовнішній Key Management Server)
- Не підтримуються можливості SAN Backup.
- Якщо для звичайного методу бекапа зробити резервну копію - вона буде нешифрований, якщо відновити - то все буде відповідно до політики цільового сховища (тобто, ВМ може виявитися незашифрованной після відновлення).
- Сам сервер vCenter не може бути зашифрований - інакше його просто було б не можна включити.
- Також не підтримуються наступні можливості:
- Suspend / resume
- Шифрування ВМ зі снапшотов і створення снапшотов для шифрованих ВМ
- Serial / Parallel port
- Content library
- vSphere Replication
Для vMotion шифрування включається на рівні окремої ВМ, а для передачі даних в момент синхронізації використовуються 256-бітові ключі шифрування.
Є 3 політики для шифрованого vMotion:
- Disabled - відключено.
- Opportunistic - шифрування тільки в разі, якщо це підтримує джерело і цільової хост ESXi, в іншому випадку vMotion буде нешифрований.
- Required - обов'язково буде використовуватися.
Перенесення машин між хостами здійснюється шляхом обміну одноразовими ключами, які генеруються і обслуговуються сервером vCenter (НЕ KMS).
В цілому, шифрування віртуальних машин і міграцій vMotion - штука класна, але пам'ятайте, що вам буде потрібно для організації цього процесу зовнішній KMS-сервер.