儘管虛擬機加密技術已經出現一段時間,但是仍然存在很多問題,因此VMware希望通過vSphere 6.5的全新虛擬機加密工具改變這種現狀。
儘管虛擬機加密技術能夠限制未授權訪問從而提升系統安全性,但是這種技術一直以來發展十分緩慢,主要原因在於系統存在的各種問題。VMware希望vSphere 6.5中的VM Encryption 工具能夠幫助解決這些問題。vSphere 6.5 VM Encryption並不直接針對guest OS,而是虛擬機文件系統的hypervisor。使用這種方式,不論guest OS是Windows還是Linux,都不需要安裝任何客戶端軟體。
VM Encryption工作原理
VM Encryption通過存儲策略進行管理。vSphere 6.5提供了存儲策略管理(Storage Policy-Based Management)系統,管理員可以使用其創建策略,為虛擬磁碟和虛擬機配置文件定義存儲需求。
如圖A所示,在虛擬機存儲策略頁面,管理員可以更改VM Encryption的存儲策略樣例,之後將其應用到虛擬機對象,比如虛擬磁碟。
圖A.創建自定義VM Encryption策略
如果想要配置VM Encryption,管理員必須首先添加KMS(密鑰管理伺服器),因為其並不是系統內置組件;管理員可以選擇任何一種可用——或者免費——產品。選擇vCenter Server,之後遵循如下步驟:Management->Key Management Service-> Add Server。
虛擬機和虛擬磁碟控制器之間所有的I/O流量都會通過內核模塊進行加密,這也是ESXi hypervisor的一部分。之後這些I/O會被發送到存儲層。
「加密」意味著什麼?
所有虛擬機文件——包括VMDK、VMX配置文件、快照文件以及VMX交換文件——都會被存儲在文件夾中,因此這些文件都將會被加密。
加密由hypervisor進行管理,而不是guest VM,因此訪問虛擬機內存並不能獲取密鑰。
如何在vMotion中使用VM Encryption功能
管理員還可以在vMotion過程中對虛擬機進行加密。一旦虛擬機需要進行vMotion遷移, vCenter Server將會生成一個隨機的256位密鑰,之後將其封裝發送到vMotion的相關主機。
vMotion就可以使用這個密鑰來加密數據了。
管理員可以選擇對虛擬機還是vMotion進行加密,但是需要注意的是只有在對虛擬機加密之後才能進行vMotion加密。
相關功能在虛擬機硬體層實現。如圖B所示,加密vMotion為管理員提供了三種選項: Disabled、 Opportunistic或者Required。 Disabled表示不使用vMotion加密功能, Opportunistic表示僅當目標主機支持時才對vMotion進行加密,否則其使用非加密vMotion。而最後一種方式 Required,表示管理員需要對vMotion進行加密,系統將會對目標主機——vSphere 6.5——進行檢查,查看其是否支持加密,如果不支持,那麼vMotion將會失敗。
圖B. 加密的vMotion加密選項
配置虛擬機加密的過程非常簡單。如果管理員已經配置好KMS,那麼只需要將vCenter Server重定向到KMS伺服器,創建加密策略並且應用到指定虛擬機,加密vMotion流量也非常簡單,但是需要兩端都使用最新的ESXi 6.5。
點讚 0