VMware vSphere 6.5:VM Encryption加固安全性能

日期:2017-3-6作者:Vladan Seget

【TechTarget中国原创】

尽管虚拟机加密技术已经出现一段时间,但是仍然存在很多问题,因此VMware希望通过vSphere 6.5的全新虚拟机加密工具改变这种现状。

尽管虚拟机加密技术能够限制未授权访问从而提升系统安全性,但是这种技术一直以来发展十分缓慢,主要原因在于系统存在的各种问题。VMware希望vSphere 6.5中的VM Encryption 工具能够帮助解决这些问题。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

VMware vSphere>更多

  • VMware VIO如何给vSphere添加云功能?

    虽然世界范围内的数据中心都使用vSphere虚拟化他们的工作负载,但是虚拟化已经存在了很久,而且需要管理没来安装、部署虚拟机。近来,越来越多的组织已经转向云来运行他们的工作负载。

  • VMware VIC如何存储并管理容器?

    你可能已经知道vSphere集成容器(以下简称VIC)在vSphere部署中能够像运行虚拟机那样运行容器—但这只是开始。

  • 镜像构建器有助于管理vSphere自动部署镜像

    全新的基于GUI的镜像构建器主要的优势之一是能够展示你拥有哪些软件集,以及在每个镜像里面有哪些软件包。

  • vSphere环境安全最佳实践

    除了VMware vSphere 6.5中包含的全新特性(比如vMotion encryption和ESXi secure boot)之外,还有很多其他最佳实践能够帮助提升hypervisor和单台虚拟机的安全性。

相关推荐

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
【TechTarget中国原创】

尽管虚拟机加密技术已经出现一段时间,但是仍然存在很多问题,因此VMware希望通过vSphere 6.5的全新虚拟机加密工具改变这种现状。

尽管虚拟机加密技术能够限制未授权访问从而提升系统安全性,但是这种技术一直以来发展十分缓慢,主要原因在于系统存在的各种问题。VMware希望vSphere 6.5中的VM Encryption 工具能够帮助解决这些问题。vSphere 6.5 VM Encryption并不直接针对guest OS,而是虚拟机文件系统的hypervisor。使用这种方式,不论guest OS是Windows还是Linux,都不需要安装任何客户端软件。

VM Encryption工作原理

VM Encryption通过存储策略进行管理。vSphere 6.5提供了存储策略管理(Storage Policy-Based Management)系统,管理员可以使用其创建策略,为虚拟磁盘和虚拟机配置文件定义存储需求。

如图A所示,在虚拟机存储策略页面,管理员可以更改VM Encryption的存储策略样例,之后将其应用到虚拟机对象,比如虚拟磁盘。

VMware vSphere 6.5:VM Encryption加固安全性能

图A.创建自定义VM Encryption策略

如果想要配置VM Encryption,管理员必须首先添加KMS(密钥管理服务器),因为其并不是系统内置组件;管理员可以选择任何一种可用——或者免费——产品。选择vCenter Server,之后遵循如下步骤:Management->Key Management Service-> Add Server。

虚拟机和虚拟磁盘控制器之间所有的I/O流量都会通过内核模块进行加密,这也是ESXi hypervisor的一部分。之后这些I/O会被发送到存储层。

“加密”意味着什么?

所有虚拟机文件——包括VMDK、VMX配置文件、快照文件以及VMX交换文件——都会被存储在文件夹中,因此这些文件都将会被加密。

加密由hypervisor进行管理,而不是guest VM,因此访问虚拟机内存并不能获取密钥。

如何在vMotion中使用VM Encryption功能

管理员还可以在vMotion过程中对虚拟机进行加密。一旦虚拟机需要进行vMotion迁移, vCenter Server将会生成一个随机的256位密钥,之后将其封装发送到vMotion的相关主机。

vMotion就可以使用这个密钥来加密数据了。

管理员可以选择对虚拟机还是vMotion进行加密,但是需要注意的是只有在对虚拟机加密之后才能进行vMotion加密。

相关功能在虚拟机硬件层实现。如图B所示,加密vMotion为管理员提供了三种选项: Disabled、 Opportunistic或者Required。 Disabled表示不使用vMotion加密功能, Opportunistic表示仅当目标主机支持时才对vMotion进行加密,否则其使用非加密vMotion。而最后一种方式 Required,表示管理员需要对vMotion进行加密,系统将会对目标主机——vSphere 6.5——进行检查,查看其是否支持加密,如果不支持,那么vMotion将会失败。

VMware vSphere 6.5:VM Encryption加固安全性能

图B. 加密的vMotion加密选项

配置虚拟机加密的过程非常简单。如果管理员已经配置好KMS,那么只需要将vCenter Server重定向到KMS服务器,创建加密策略并且应用到指定虚拟机,加密vMotion流量也非常简单,但是需要两端都使用最新的ESXi 6.5。