Более 5350 заметок о виртуализации, виртуальных машинах VMware, Microsoft и Xen, а также Kubernetes
VM Guru / News / Шифрование виртуальных машин в VMware vSphere 6.5 — как это работает?
Шифрование виртуальных машин в VMware vSphere 6.5 — как это работает?
Реклама:
Не так давно мы писали о новых возможностях платформы виртуализации VMware vSphere 6.5, где впервые появилась так давно запрашиваемая администраторами функция шифрования, как содержимого виртуальных дисков, так и шифрования горячих миграций vMotion.
Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины — она сразу же шифруется «на лету», что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.
Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.
Шифрование объектов ВМ идет за ее пределами, таким образом гостевая ОС не имеет доступа к ключам шифрования. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.
Чтобы начать шифровать виртуальную машину, нужно назначить ей соответствующую политику хранения (Storage Policy):
Как работает VM Encryption в VMware vSphere 6.5:
Пользователь назначает политику VM Encryption на уровне виртуальной машины.
Для машины генерируется случайный ключ и шифруется ключом из key manager (KMS Key).
При включении ВМ сервер vCenter получает ключ из Key Manager, посылает его в VM encryption Module на сервере ESXi, что разлочивает ключ в гипервизоре.
Далее все операции ввода-вывода идут через encryption module, шифруя все входящие и исходящие SCSI-команды прозрачно для гостевой ОС.
Все это совместимо со сторонними системами управления ключами (и требует одну из них), которые построены на стандарте KMIP версии 1.1 или выше:
Для того, чтобы расшифровать виртуальную машину и хранить далее ее в обычном формате, нужно просто поставить дефолтную политику хранения (Datastore default).
Также будет специальный командлет PowerCLI , который может шифровать/расшифровывать ВМ, а также определять, какие из них в данный момент зашифрованы.
vCenter в системе шифрования работает только как клиент. Для управления ключами используется Key Management Server (KMS).
В механизме управления привилегиями теперь появилась роль No Cryptography Administrator. Если ее назначить, то стандартному администратору будут запрещены следующие привилегии:
Manage key servers
Manage keys
Manage encryption policies
Console access to encrypted VMs
Upload/download encrypted VMs
В качестве KMS можно использовать любые внешние системы, работающие по стандарту KMIP:
При использовании шифрования ВМ нужно учитывать следующие моменты:
Да, вам понадобится система управления ключами (внешний Key Management Server)
Не поддерживаются возможности SAN Backup.
Если для обычного метода бэкапа сделать резервную копию — она будет нешифрованной, если восстановить — то все будет в соответствии с политикой целевого хранилища (то есть, ВМ может оказаться незашифрованной после восстановления).
Сам сервер vCenter не может быть зашифрован — иначе его просто было бы нельзя включить.
Также не поддерживаются следующие возможности:
Suspend/resume
Шифрование ВМ со снапшотами и создание снапшотов для шифрованных ВМ
Serial/Parallel port
Content library
vSphere Replication
Для vMotion шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.
Есть 3 политики для шифрованного vMotion:
Disabled — отключено.
Opportunistic — шифрование только в случае, если это поддерживает источник и целевой хост ESXi, в противном случае vMotion будет нешифрованным.
Required — обязательно будет использоваться.
Перенос машин между хостами осуществляется путем обмена одноразовыми ключами, которые генерируются и обслуживаются сервером vCenter (не KMS).
В целом, шифрование виртуальных машин и миграций vMotion — штука классная, но помните, что вам потребуется для организации этого процесса внешний KMS-сервер.
Чтобы оставлять комментарии, вы должны быть зарегистрированы на сайте.
Зал Славы Рекламодателя
Все сайты о виртуализации:
Вебинары VMC о виртуализации:
Постер VMware vSphere PowerCLI 6.3:
Постер VMware ESXi 5.1:
Постер VMware Hands-on Labs 2015:
Постер VMware Platform Services Controller 6.0:
Постер VMware vCloud Networking:
Постер VMware NSX (референсный):
Постер VMware vCloud SDK:
Постер VMware vCloud Suite:
Постер VMware vCenter Server Appliance:
Порты и соединения VMware vSphere 6:
Порты и соединения VMware Horizon 7:
Порты и соединения VMware NSX:
Управление памятью в VMware vSphere 5:
Как работает кластер VMware High Availability:
Постер VMware vSphere 5.5 ESXTOP (обзорный):
Постер Veeam Backup & Replication v8 for VMware:
Постер Microsoft Windows Server 2012 Hyper-V R2:
Шифрование виртуальных машин с BitLocker в Windows Server 2016
Одним из новшеств версии Hyper-V, представленной в Windows Server 2016, является поддержка шифрования дисков внутри виртуальных машин с помощью BitLocker . Тем самым данные на виртуальных дисках могут быть защищены от администратора хоста Hyper-V, который не сможет получить доступ к информации на vhdx диске, подключив его к другой ВМ. Данная возможность особенно актуальна при размещении ВМ в частном или публичном облаке IaaS.
Шифрование дисков в ВМ с помощью BitLocker можно использовать как само по себе, так и в рамках технологии Shielded VM (поговорим о ней в следующей статье). Возможно шифрование дисков как для первого, так и для второго поколения виртуальных машин Hyper-V. Однако реализуется оно по разному, в первом случае используется Key Storage Drive, во втором – виртуальный модуль Trusted Platform Module (vTPM).
Активация vTPM для поддержки BitLocker на ВМ 2-го поколения
В виртуальных машинах Hyper-V Gen-2 для шифрования дисков с помощью BitLocker необходимо использовать виртуальное устройство — криптопроцессор TPM 2.0 (Trusted Platform Module), которое может использоваться ВМ для шифрования дисков.
В качестве гостевой ОС может выступать Windows Server 2012 R2, Windows Server 2016 или различные дистрибутивы Linux (с поддержкой dm-crypt).
TPM включается индивидуально для каждой ВМ. Проверить, включена ли поддержка vTPM для ВМ, выполните команду PowerShell:
Get-VMSecurity VM01
Чтобы включить vTPM, выполните команду:
Enable-VMTPM -vm VM01
Включить/отключить vTPM можно и с помощью консоли Hyper-V Manager в настройках ВМ в разделе Security(Enable Trusted Platform Module).
Как вы видите, здесь же можно включить использования TPM для шифрования состояния ВМ и трафика миграции/репликации. С помощью PoSh эта функция включается так:
После этого в гостевой ОС в разделе Security devices диспетчера устройств появится устройство с именем Trusted Platform Module 2.0. Данное TPM устройство является виртуальным, оно не привязано к хосту Hyper-V и при миграции ВМ на другой хост продолжает функционировать.
Затем с помощью BitLocker можно зашифровать диск с данными и системный диск.
Использование BitLocker на ВМ Hyper-V первого поколения
Для виртуальных машин Gen1, которые по разным причинам не могут быть мигрированы на Gen2 (например, для гостевых ОС, которые не поддерживают UEFI), Microsoft разработала функцию Key Storage Drive (KSD). KSD по сути представляет собой виртуальный аналог USB флешки на которой хранятся ключи шифрования BitLocker. Для включения KSD, выключите ВМ, поскольку предполагается добавление IDE устройства и в разделе Security настроек ВМ нажмите кнопку Add Key Storage Drive.
Включите ВМ, откройте консоль управления дисками (Disk Management) и убедитесь, что появился новый диск размером 42 Мб.
Инициализируйте и отформатируйте данный диск в NTFS с помощью консоли Disk Management или Diskpart.
Т.к. по умлочанию BitLocker требует наличия чипа TPM, нужно с помощью групповой политики включить возможнсть шифрования BitLocker без наличия чипа TPM. Для этого откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел ComputerConfiguration->AdministrativeTemplates->WindowsComponents ->BitLockerDriveEncryption. Включите политику Require Additional Authentication At Startup со следующими настройками:
Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive) = Включить
Configure TPM startup: Allow TPM
Configure TPM startup PIN: Allow startup PIN with TPM
Configure TPM startup key: Allow startup key with TPM
Configure TPM startup key and PIN: Allow startup key and PIN with TPM
Осталось установить компонент BitLocker в гостевой ОС:
Как вы видите, здесь же можно включить использования TPM для шифрования состояния ВМ и трафика миграции/репликации. С помощью PoSh эта функция включается так:
Включите ВМ, откройте консоль управления дисками (Disk Management) и убедитесь, что появился новый диск размером 42 Мб.
Инициализируйте и отформатируйте данный диск в NTFS с помощью консоли Disk Management или Diskpart.
Т.к. по умлочанию BitLocker требует наличия чипа TPM, нужно с помощью групповой политики включить возможнсть шифрования BitLocker без наличия чипа TPM. Для этого откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration->Administrative Templates->Windows Components -> BitLocker Drive Encryption. Включите политику Require Additional Authentication At Startup со следующими настройками:
Осталось установить компонент BitLocker в гостевой ОС: