中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

vSphere 6.5 新功能(3)-虛擬機(jī)加密 

2016-11-16 15:02:30   作者:   來源:CTI論壇   評論:0  點(diǎn)擊:


  面對越來越猖獗的黑客攻擊,企業(yè)數(shù)據(jù)安全已經(jīng)成為 CIO 們?nèi)粘瘫碇蓄^等重要的大事。數(shù)據(jù)安全是一個(gè)系統(tǒng)性的工程,從用戶終端到后臺數(shù)據(jù)中心有著幾十個(gè)環(huán)節(jié),防火墻、身份認(rèn)證、應(yīng)用數(shù)據(jù)加密每一種技術(shù)都只能解決某些環(huán)節(jié)的安全問題,只要有一個(gè)環(huán)節(jié)沒有做好安全防護(hù),還是會留下安全隱患。
  就像電影《碟中諜》中湯姆·克魯斯?jié)撊胫星榫痔m利總部復(fù)制情報(bào)一樣,如果有人潛入企業(yè)數(shù)據(jù)中心把虛擬機(jī)文件拷走怎么辦?別擔(dān)心,vSphere 6.5 推出了虛擬機(jī)加密功能,來滿足數(shù)據(jù)中心不斷提高的安全需求。
\
  虛機(jī)加密工作原理
  vSphere 采用對稱加密算法 XTS-AES-256 來對虛機(jī)進(jìn)行加密,對虛機(jī)文件和加密密鑰一起經(jīng)過特殊加密算法處理后,使其變成復(fù)雜的加密數(shù)據(jù)。高級加密標(biāo)準(zhǔn) AES (Advanced Encryption Standard) 是美國聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。XTS-AES 算法是 2008 年發(fā)布的,是目前數(shù)據(jù)存儲領(lǐng)域廣泛使用的一種加密算法。AES 加密密鑰長度可以是128比特、192比特、256比特中的任意一個(gè),密鑰長度越長越難破解,XTS-AES-256 采用的是256比特長度密鑰。
  虛機(jī)加密是通過 ESXi 內(nèi)核完成的,為了優(yōu)化性能,ESXi 會調(diào)用 CPU 的 AES-NI (Advanced Encryption Standard - New Instruction) 指令集,通過硬件來加速加密算法,Intel 的 CPU 從 Westmere 開始就全面支持 ASE-NI 指令集。
  對一個(gè)虛機(jī)進(jìn)行加密是通過修改存儲策略來完成的,虛機(jī)本身不需要做任何修改和配置。管理員可以很方便地把一個(gè)現(xiàn)有的虛機(jī)進(jìn)行加密,或者是把已經(jīng)加密的虛機(jī)改成不加密的。
\
  指定虛機(jī)的存儲策略
  密鑰管理
  對稱加密算法 XTS-AES-256 需要兩個(gè)密鑰:
  • 數(shù)據(jù)密鑰 DEK (Data Encryption Key):用于加密虛機(jī)數(shù)據(jù)文件,每個(gè)虛機(jī)都有一個(gè)唯一的數(shù)據(jù)密鑰,存放在虛機(jī)數(shù)據(jù)文件中,為了不讓別人看到這個(gè)密鑰,所以我們需要另一個(gè)密鑰 KEK 來對數(shù)據(jù)密鑰進(jìn)行加密。
  • 加密密鑰的密鑰 KEK (Key Encryption Key):用于對上面的數(shù)據(jù)密鑰 DEK 進(jìn)行加密,這個(gè)密鑰是從第三方的密鑰管理服務(wù)器 KMS (Key Management Server) 上獲得的。因?yàn)?KMS 也支持多租戶架構(gòu),我們通常把這個(gè)密鑰稱為租戶密鑰(Tenant Key)。注意:租戶密鑰只保存在 KMS 服務(wù)器上。
  vSphere 在虛擬機(jī)加密和解密過程中對于密鑰的管理流程是這樣的:
  未加密虛機(jī)(必須是處于關(guān)機(jī)狀態(tài))
  • 在對應(yīng)的服務(wù)器上隨機(jī)生成一個(gè)數(shù)據(jù)密鑰 DEK;
  • 通過 vCenter 從 KMS 上獲得租戶密鑰 KEK;
  • 使用租戶密鑰 KEK 對數(shù)據(jù)密鑰 DEK 進(jìn)行加密,并寫入虛機(jī)的 vmx 文件;
  • 使用數(shù)據(jù)密鑰 DEK 來加密整個(gè)虛機(jī)數(shù)據(jù)文件。
  已經(jīng)加密的虛機(jī)
  • 從虛機(jī)的 vmx 文件中獲得 KEK ID 和加密的數(shù)據(jù)密鑰
  • 通過 vCenter 從第三方密鑰服務(wù)器上根據(jù) KEK ID 獲得租戶密鑰 KEK
  • 利用 KEK 解密獲得數(shù)據(jù)密鑰 DEK
  • 利用數(shù)據(jù)密鑰 DEK 來解密虛機(jī)數(shù)據(jù)文件。
\
  下面就是一個(gè)存放在 vmx 文件中的數(shù)據(jù)密鑰例子,其中 encryption.keySafe 那一行是 KEY ID,下一行 encryption.data 是被加密的數(shù)據(jù)密鑰的數(shù)據(jù)部分。
\
  指定第三方 KMS 服務(wù)器
  vSphere 虛機(jī)加密采用的是客戶自帶密鑰(Bring-Your-Own-Key)的策略,有這方面要求的客戶大部分都已經(jīng)部署了密鑰管理服務(wù)器,我們只需要在 vCenter 中指定客戶現(xiàn)有的 KMS 服務(wù)器就可以了。當(dāng)然必須要考慮 KMS 服務(wù)器高可靠和災(zāi)備的方案,不然一旦發(fā)生故障,取不到 KEK 密鑰,所有的加密虛機(jī)可就啟動不起來了。
\
  理論上,凡是兼容 KMIP (Key Management Interoperability Protocol) 1.1 的 KMS 服務(wù)器都可以接入 vCenter,以下是 vSphere 6.5 支持的部分 KMS 廠商。
\
  加密的 vMotion
  虛機(jī)加密了,自然引入了一個(gè)新的概念 - “加密的 vMotion”,虛機(jī)數(shù)據(jù)不但在存儲里面是加密的,而且在 vMotion 的過程中也是加密的。vCenter 中關(guān)于虛機(jī)的配置也多了一個(gè)加密的 vMotion 選項(xiàng),總共有三個(gè)選擇:
  • Disabled(關(guān)閉):vMotion 所傳輸?shù)奶摍C(jī)數(shù)據(jù)不加密。
  • Opportunistic(看情況):如果源和目標(biāo)服務(wù)器都支持虛機(jī)加密,就使用加密 vMotion;只要有一方不支持,vMotion 就不采用加密數(shù)據(jù)。
  • Required(強(qiáng)制要求):僅允許加密的 vMotion,源和目標(biāo)服務(wù)器只要有一方不支持虛機(jī)加密,vMotion 就不會發(fā)生,這適用于高安全循規(guī)要求。
\
vSphere 6.5 中新增的虛擬機(jī)加密功能把數(shù)據(jù)中心的安全等級提高到了一個(gè)新的高度,同時(shí)也滿足了一些高安全要求客戶的循規(guī)要求。
 
 

相關(guān)閱讀:

專題