Ochrana uložených dat je pouze jedním prvkem zabezpečení; musíte také zašifrovat síťová připojení. V části infrastruktury je veškerá komunikace mezi vCenter a hostiteli obvykle šifrována. Některý jiný síťový provoz infrastruktury však obvykle není chráněn; například provoz iSCSI nebo NFS (a také vMotion, až do vSphere 6.5).
Počínaje verzí vSphere 6.5 používá vSphere vMotion při migraci šifrovaných virtuálních strojů vždy šifrování. U virtuálních počítačů, které nejsou šifrované, můžete vybrat jednu z možností šifrování vSphere vMotion.
Šifrovaný vSphere vMotion zajišťuje důvěrnost, integritu a autenticitu dat přenášených pomocí vSphere vMotion. Encrypted vSphere vMotion podporuje všechny varianty vSphere vMotion pro nešifrované virtuální stroje, včetně migrace mezi systémy vCenter Server. Migrace mezi systémy vCenter Server není podporována pro šifrované virtuální počítače.
U šifrovaných disků jsou data přenášena šifrovaná. U disků, které nejsou šifrovány, není šifrování Storage vMotion podporováno. U virtuálních počítačů, které jsou šifrované, migrace s vSphere vMotion vždy používá šifrovaný vSphere vMotion. Pro šifrované virtuální počítače nemůžete vypnout šifrovanou vSphere vMotion.
U virtuálních počítačů, které nejsou šifrované, můžete nastavit šifrovaný vSphere vMotion do jednoho z následujících stavů. Výchozí nastavení je Oportunistické .
| Možnost | Popis |
|---|---|
| Zakázáno | Nepoužívejte šifrované vSphere vMotion. |
| Oportunistické | Používejte šifrovaný vSphere vMotion, pokud to zdrojový a cílový hostitel podporují. Pouze ESXi verze 6.5 a novější používají šifrovaný vSphere vMotion. |
| Povinné | Povolit pouze šifrované vSphere vMotion. Pokud zdrojový nebo cílový hostitel nepodporuje šifrované vSphere vMotion, není migrace s vSphere vMotion povolena. |
Když zašifrujete virtuální počítač, virtuální počítač uchová záznam o aktuálním šifrovaném nastavení vSphere vMotion. Pokud později zakážete šifrování pro virtuální počítač, nastavení šifrovaného vMotion zůstane na Required, dokud toto nastavení explicitně nezměníte. Nastavení můžete změnit pomocí Upravit nastavení.
Osvědčené postupy pro šifrování virtuálních strojů
Postupujte podle osvědčených postupů šifrování virtuálních strojů, abyste se později vyhnuli problémům, například když vygenerujete balíček podpory vm.
Obecné doporučené postupy
Abyste předešli problémům, dodržujte tyto obecné doporučené postupy.
- Nešifrujte žádné virtuální počítače vCenter Server Appliance.
- Pokud váš hostitel ESXi selže, získejte balíček podpory co nejdříve. Klíč hostitele musí být k dispozici, pokud chcete vygenerovat balíček podpory, který používá heslo, nebo pokud chcete dešifrovat výpis jádra. Pokud je hostitel restartován, je možné, že se klíč hostitele změní a vy již nebudete moci generovat balíček podpory s heslem nebo dešifrovat výpisy jádra v balíčku podpory pomocí klíče hostitele.
- Názvy clusterů KMS spravujte pečlivě. Pokud se změní název clusteru služby správy klíčů pro službu správy klíčů, která se již používá, jakýkoli virtuální počítač zašifrovaný klíči z této služby správy klíčů přejde při zapnutí nebo registraci do neplatného stavu. V takovém případě odeberte KMS ze serveru vCenter a přidejte jej s názvem clusteru, který jste použili původně.
- Neupravujte soubory VMX a soubory deskriptorů VMDK. Tyto soubory obsahují balíček šifrování. Je možné, že vaše změny způsobí, že virtuální počítač nelze obnovit a že problém s obnovou nelze opravit.
- Proces šifrování zašifruje data na hostiteli před jejich zápisem do úložiště. Funkce backendového úložiště, jako je deduplikace a komprese, nemusí být pro šifrované virtuální stroje účinné. Při používání vSphere Virtual Machine Encryption zvažte kompromisy v oblasti úložiště.
- Šifrování je náročné na CPU. AES-NI výrazně zlepšuje výkon šifrování. Povolte AES-NI v systému BIOS.
Závěr
Funkce šifrování vMotion není pouze šifrováním celého síťového kanálu pro provoz vMotion. Nejsou žádné certifikáty ke správě.
Šifrování probíhá na úrovni jednotlivých VM; při migraci virtuálního počítače vygeneruje vCenter náhodně generovaný jednorázový 256bitový klíč (nepoužívá KMS). Kromě toho je také generováno 64bitové číslo nonce (libovolné číslo použité pouze jednou v krypto operaci). Šifrovací klíč a nonce jsou zabaleny do specifikace migrace zaslané oběma hostitelům. V tomto okamžiku jsou všechna data VM vMotion zašifrována klíčem i nonce, což zajišťuje, že k přehrání dat nelze použít komunikaci.