VMware vSphere 6.5：VM Encryption加固安全性能

作者：Vladan Seget 2017-03-08 16:00:20
云計(jì)算
虛擬化 盡管虛擬機(jī)加密技術(shù)已經(jīng)出現(xiàn)一段時(shí)間，但是仍然存在很多問題，因此VMware希望通過vSphere 6.5的全新虛擬機(jī)加密工具改變這種現(xiàn)狀。

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比光山網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式光山網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋光山地區(qū)。費(fèi)用合理售后完善，10多年實(shí)體公司更值得信賴。

盡管虛擬機(jī)加密技術(shù)已經(jīng)出現(xiàn)一段時(shí)間，但是仍然存在很多問題，因此VMware希望通過vSphere 6.5的全新虛擬機(jī)加密工具改變這種現(xiàn)狀。

盡管虛擬機(jī)加密技術(shù)能夠限制未授權(quán)訪問從而提升系統(tǒng)安全性，但是這種技術(shù)一直以來發(fā)展十分緩慢，主要原因在于系統(tǒng)存在的各種問題。VMware希望vSphere 6.5中的VM Encryption 工具能夠幫助解決這些問題。vSphere 6.5 VM Encryption并不直接針對(duì)guest OS，而是虛擬機(jī)文件系統(tǒng)的hypervisor。使用這種方式，不論guest OS是Windows還是Linux，都不需要安裝任何客戶端軟件。

VM Encryption工作原理

VM Encryption通過存儲(chǔ)策略進(jìn)行管理。vSphere 6.5提供了存儲(chǔ)策略管理(Storage Policy-Based Management)系統(tǒng)，管理員可以使用其創(chuàng)建策略，為虛擬磁盤和虛擬機(jī)配置文件定義存儲(chǔ)需求。

如圖A所示，在虛擬機(jī)存儲(chǔ)策略頁面，管理員可以更改VM Encryption的存儲(chǔ)策略樣例，之后將其應(yīng)用到虛擬機(jī)對(duì)象，比如虛擬磁盤。

圖A.創(chuàng)建自定義VM Encryption策略

如果想要配置VM Encryption，管理員必須首先添加KMS(密鑰管理服務(wù)器)，因?yàn)槠洳⒉皇窍到y(tǒng)內(nèi)置組件;管理員可以選擇任何一種可用——或者免費(fèi)——產(chǎn)品。選擇vCenter Server，之后遵循如下步驟：Management->Key Management Service-> Add Server。

虛擬機(jī)和虛擬磁盤控制器之間所有的I/O流量都會(huì)通過內(nèi)核模塊進(jìn)行加密，這也是ESXi hypervisor的一部分。之后這些I/O會(huì)被發(fā)送到存儲(chǔ)層。

“加密”意味著什么?

所有虛擬機(jī)文件——包括VMDK、VMX配置文件、快照文件以及VMX交換文件——都會(huì)被存儲(chǔ)在文件夾中，因此這些文件都將會(huì)被加密。

加密由hypervisor進(jìn)行管理，而不是guest VM，因此訪問虛擬機(jī)內(nèi)存并不能獲取密鑰。

如何在vMotion中使用VM Encryption功能

管理員還可以在vMotion過程中對(duì)虛擬機(jī)進(jìn)行加密。一旦虛擬機(jī)需要進(jìn)行vMotion遷移， vCenter Server將會(huì)生成一個(gè)隨機(jī)的256位密鑰，之后將其封裝發(fā)送到vMotion的相關(guān)主機(jī)。

vMotion就可以使用這個(gè)密鑰來加密數(shù)據(jù)了。

管理員可以選擇對(duì)虛擬機(jī)還是vMotion進(jìn)行加密，但是需要注意的是只有在對(duì)虛擬機(jī)加密之后才能進(jìn)行vMotion加密。

相關(guān)功能在虛擬機(jī)硬件層實(shí)現(xiàn)。如圖B所示，加密vMotion為管理員提供了三種選項(xiàng)： Disabled、 Opportunistic或者Required。 Disabled表示不使用vMotion加密功能， Opportunistic表示僅當(dāng)目標(biāo)主機(jī)支持時(shí)才對(duì)vMotion進(jìn)行加密，否則其使用非加密vMotion。而***一種方式 Required，表示管理員需要對(duì)vMotion進(jìn)行加密，系統(tǒng)將會(huì)對(duì)目標(biāo)主機(jī)——vSphere 6.5——進(jìn)行檢查，查看其是否支持加密，如果不支持，那么vMotion將會(huì)失敗。

圖B. 加密的vMotion加密選項(xiàng)

配置虛擬機(jī)加密的過程非常簡單。如果管理員已經(jīng)配置好KMS，那么只需要將vCenter Server重定向到KMS服務(wù)器，創(chuàng)建加密策略并且應(yīng)用到指定虛擬機(jī)，加密vMotion流量也非常簡單，但是需要兩端都使用***的ESXi 6.5。

網(wǎng)站標(biāo)題：VMwarevSphere6.5：VMEncryption加固安全性能
網(wǎng)站網(wǎng)址：http://fisionsoft.com.cn/article/cdpsgdj.html