VMware 虚拟机加密最佳实践
VMware 中的虚拟机加密功能可在虚拟机管理程序级别确保数据保护,保护虚拟机 (VM) 免受潜在威胁,并符合 PCI DSS、HIPAA 和 GDPR 等监管标准。此功能于 vSphere 6.5 中引入,使用 XTS-AES-256 加密技术对关键虚拟机组件(例如虚拟磁盘、内存和交换文件)进行加密。 密钥管理服务器 (KMS) 管理加密密钥,确保安全性和合规性。
主要亮点:
- 工作原理:通过 vSphere API 使用双密钥系统(数据加密密钥和密钥加密密钥)加密虚拟机数据。
- 好处:保护敏感数据,支持云迁移,并与 vSphere 工具集成。
- 权衡:可能会减少 NVMe 带宽 30–50% 并增加 CPU 使用率。
- 密钥管理:需要支持 KMIP 1.1 的可靠 KMS 来实现安全的密钥存储和分发。
- 最佳实践:使用基于角色的访问控制(RBAC),在处理器中启用 AES-NI,监控加密事件,并确保 KMS 冗余。
设置加密时,请在 vCenter 和 KMS 之间建立信任,将加密策略应用于虚拟机,并根据加密环境调整备份工作流。这可确保数据安全,同时又不影响功能或合规性。
配置静态数据加密的密钥提供程序
密钥管理基础知识
有效的密钥管理是虚拟机 (VM) 加密的基石。如果没有可靠的密钥管理服务器 (KMS),加密的虚拟机可能无法访问,从而导致 数据完全丢失通过了解密钥管理服务 (KMS) 的运作方式并采用完善的管理策略,您可以保护加密投资,同时确保业务运营不中断。以下概述可帮助您实施弹性密钥管理实践。
密钥管理服务器 (KMS) 的工作原理
密钥管理服务器负责处理 VMware 基础架构的加密密钥的创建、存储和分发。它使用非对称加密算法,确保密钥管理和数据存储之间的安全分离。 vCenter 服务器 不直接存储加密密钥;相反,它维护一个密钥标识符列表,而实际密钥则安全地存储在 KMS 上。即使在 vCenter 遭到入侵的情况下,此设置也能保护您的密钥,因为密钥仍然受保护于外部 KMS。
其工作原理如下:加密虚拟机时,vCenter 会向 KMS 请求密钥。KMS 生成并存储私钥,并将公钥发送回 vCenter 执行加密任务。Veeam Backup & Replication 等备份工具也遵循类似的模式,为特定操作或存储库请求密钥。
VMware 要求 KMS 解决方案支持密钥管理互操作性协议 (KMIP) 1.1 标准确保跨供应商的兼容性,同时保持一致的安全实践。KMIP 通信通常通过端口进行 5696,因此在 vCenter 和 KMS 集群之间建立可靠的网络连接至关重要。
如果 KMS 不可用,任何需要密钥访问的虚拟机操作都将失败。因此,在加密到位后,确保 KMS 的可用性就成为首要任务。
密钥管理最佳实践
现在您已经了解了 KMS 的基础知识,以下是一些加强密钥管理策略的最佳实践:
- 在您的 KMS 设置中建立冗余。 将 KMS 部署在与主 vSphere 基础架构不同的硬件上,并创建一个包含 2-3 台主机的 KMS 集群。这可以消除单点故障并确保持续运行。
- 考虑 云托管 KMS 解决方案. 在 Amazon Web Services 或 Microsoft Azure 等公共云环境中部署您的 KMS 可以提供地理分离并利用云提供商的可靠性,同时保持对加密密钥的控制。
- 谨慎处理密钥生命周期管理。 VMware 提供了如下命令
删除键和删除键管理密钥,但这些操作只会从 vCenter 中删除密钥,而不会从 KMS 中删除。使用力请谨慎使用此选项,因为如果密钥仍在使用中,它可能会锁定虚拟机。直接从 ESXi 主机中删除密钥可能会导致加密的虚拟机无法使用。 - 定期备份 vCenter Server。 将所有嵌入式密钥提供程序配置纳入备份,并将其安全地存储在与主数据中心不同的位置。记录恢复程序,确保在发生中断时快速恢复。
- 使用 vSphere 本机密钥提供程序 (NKP) 时加密 VCSA 备份。 在生产中部署 NKP 之前,请下载并安全存储私钥,以应对无法进行正常密钥访问的紧急情况。
- 监控关键服务器的可用性。 定期检查 KMS 上的密钥状态,并立即解决任何问题。实施密钥轮换策略,定期停用和更新密钥,确保长期安全。
- 为 ESXi 主机配备 TPM(可信平台模块)。 TPM 通过在硬件故障期间保护密钥访问来增强安全性,并在恢复工作期间提供额外的保障。
- 避免不必要的加密分层。 将 vSAN 静态数据加密与虚拟机加密相结合可能会增加管理复杂性并影响性能,且不会带来显著的安全提升。仅在绝对必要时才使用两者。
在 vSphere 中设置虚拟机加密
在保护虚拟机安全方面,拥有可靠的密钥管理实践仅仅是个开始。在 vSphere 环境中实施虚拟机加密涉及三个基本步骤:在 vCenter Server 和密钥管理服务器 (KMS) 集群之间建立信任、设置加密策略以及将这些策略应用于虚拟机。每个阶段都会增强环境的安全性。
如何启用虚拟机加密
首先配置您的密钥管理服务器。大多数管理员会将其 KMS 部署为生产或管理集群中的虚拟设备,并且通常会使用多个节点来提高可靠性。
第一个任务是在 vCenter Server 和 KMS 集群之间建立信任。打开 配置 在 vSphere Client 中,导航至 密钥管理服务器 > 添加。这将打开 添加 KMS 对话框,您可以在其中创建新集群或连接到现有集群。您需要提供集群名称、服务器地址、服务器端口和可选代理设置等详细信息,以及必要的身份验证凭据。
一旦连接建立, 使 vCenter 信任 KMS 对话框将会出现。点击 相信 继续,然后选择 查看详情 并点击 让 KMS 信任 VCENTER 按钮继续。在 上传 KMS 凭证 部分,上传 KMS 证书和私钥文件。上传两个文件后,点击 建立信任 完成双向信任设置。
信任设置完成后,您就可以加密虚拟机了。请记住,虚拟机只能在关闭电源时加密,因此最好在维护时段内安排加密。要加密虚拟机磁盘,请在 vSphere Client 清单中右键单击虚拟机,然后选择 虚拟机策略 > 编辑虚拟机存储策略. 在 编辑虚拟机存储策略 对话框中,选择 虚拟机加密策略 为虚拟机的磁盘启用加密。此方法允许您根据磁盘所保存数据的敏感度来指定要加密的特定磁盘。
一旦启用加密,您将需要考虑这会如何影响您的备份和恢复工作流程。
备份和恢复注意事项
设置加密后,调整备份和还原流程至关重要。加密虚拟机的备份会在备份过程中解密,这意味着您的备份解决方案会在数据写入备份介质之前自动处理解密。为了维护安全性,VMware 建议单独加密备份介质,以确保整个备份生命周期内的数据保护。
恢复加密的虚拟机需要一些准备工作。加密的虚拟机在恢复后不会自动重新加密;恢复完成后,您需要重新应用存储策略。备份代理应保留加密磁盘的存储策略详细信息,并在恢复过程中重新应用它们。如果原始策略不可用,备份代理应提示您选择新策略或默认使用虚拟机加密存储策略。
在备份期间保留关键配置元素至关重要。具体来说, 配置信息.keyId 和 加密.bundle 需要从原始虚拟机配置中恢复使用原始密钥加密的虚拟机。请确保您的备份包含这些元素以及存储策略。恢复时,请在新的虚拟机中提供这些值 配置规范如果原始加密密钥不可用,虚拟机仍然可以使用新密钥加密,但原始 NVRAM 文件可能会变得不可用。在这种情况下,您可以使用通用 NVRAM 文件,但启用 UEFI 的虚拟机可能需要重新配置安全启动。
并非所有备份解决方案都支持加密虚拟机,因此在启用加密之前,请验证与备份架构的兼容性。制定清晰的恢复策略,并计划在恢复后立即重新应用加密,以确保在需要时可以使用加密密钥。
配置最佳实践
启用加密后,定期备份 vCenter Server 配置就显得尤为重要。务必将所有嵌入式密钥提供程序设置包含在备份中,并将这些备份安全地存储在与主数据中心不同的位置。请完整记录恢复流程,并定期进行测试,以确保其正常运行。这种主动方法可以最大限度地减少停机时间,并确保您为任何情况做好准备。
安全策略和最佳实践
基于之前关于密钥管理和虚拟机加密的讨论,实施强大的安全策略对于保护您的虚拟基础架构至关重要。保护加密虚拟机需要严格的访问控制、持续监控并保持性能高效。有效的管理实践对于确保加密设置的安全可靠至关重要。
创建安全访问策略
建立 基于角色的访问控制 (RBAC) 是保护任何 VMware 环境安全的基础。定义管理员、操作员、开发人员和审计员等角色,并为每个角色分配执行其任务所需的权限。例如:
- 管理员:需要完全访问加密策略和密钥管理。
- 运算符:仅应执行诸如打开和关闭虚拟机之类的任务。
- 开发人员:必须限制在其分配的虚拟机上,而不能在生产中更改加密设置。
为了增强 RBAC,实现 双因素身份验证 (2FA)。这一额外的安全层对于加密的虚拟机尤其重要,因为泄露的凭证可能会暴露整个基础设施中的敏感数据。
另一项关键措施是 网络分段通过将关键加密虚拟机置于单独的网段中、使用防火墙管控流量以及部署堡垒主机来确保管理访问安全,从而实现隔离。这种方法可以确保即使一个网段被攻破,敏感虚拟机仍然受到保护。
此外,强制使用 强密码 结合字母、数字和符号。鼓励使用更长、更容易记住且更难破解的密码短语,并要求定期更新密码以维护安全。
定期审查并更新角色分配,以适应组织变革。当员工角色变更或离职时,及时调整或撤销其权限,以防止未经授权的访问。
一旦访问策略到位,就要重点实时监控加密活动。
监控和记录加密事件
严密的监控对于检测密钥检索失败或加密管理错误等问题至关重要。请将核心转储和解密的支持文件视为高度敏感文件。收集 vm-support 包时,请务必使用密码重新加密核心转储;如果需要解密进行分析,请谨慎处理这些文件。
扩大监测范围,包括 加密事件日志设置自动警报,当密钥管理服务器 (KMS) 不可用或密钥检索失败时,立即通知您。由于加密虚拟机依赖于不间断的密钥访问,任何中断都可能严重影响运营。
记录密钥轮换策略并监控密钥生命周期。自动化系统应跟踪密钥使用年限,并确保根据您定义的计划及时更换密钥。
灾难恢复规划是另一个关键方面。确保恢复站点上复制的加密虚拟机能够访问必要的加密密钥。定期测试恢复程序,验证备份密钥,并确认恢复操作包含虚拟机的自动重新加密功能。 监控系统 应验证是否遵守这些政策。
删除、取消注册加密虚拟机或将其移动到其他 vCenter 后,请重新启动受影响的 ESXi 主机。此步骤会从内存中清除加密密钥,从而降低密钥泄露的风险。监控系统应将这些操作确认为安全协议的一部分。
在实施安全和监控的情况下,解决加密如何影响性能至关重要。
加密虚拟机的性能注意事项
加密性能与硬件密切相关,尤其是 CPU 和存储。确保 AES-NI 您的 BIOS 中已启用高级加密标准新指令 (AES-NI),此功能可显著提升加密效率。支持高级 AES-NI 的现代处理器可进一步提升性能。
请注意加密可能会减少 NVMe带宽 增加 30–50%,CPU 使用率翻倍。请相应地规划配置和快照任务。但是,对于延迟较高(数百微秒或更长)的存储设备,额外的 CPU 负载可能不会显著影响延迟或吞吐量。
虚拟机配置任务(例如启动或克隆)通常开销很小。然而, 快照操作 尤其是在 vSAN 数据存储上,性能影响可能高达 70%。请谨慎安排这些操作,以最大程度地减少中断。
启用加密时,时机至关重要。在创建虚拟机时加密比加密现有虚拟机快得多。对于多台虚拟机,请考虑使用加密模板来重建它们,而不是逐个转换它们。
最后,确保您的 ESXi 服务器 拥有足够的 CPU 资源来处理加密。CPU 容量不足会降低同一主机上其他工作负载的性能。请密切监控 CPU 使用率,并根据需要扩展资源。
对于超低延迟应用程序,请权衡加密的优势与潜在的性能损失。在某些情况下,仅加密最敏感的虚拟机,同时依赖其他安全措施(例如网络分段和严格的访问策略),可能是保持性能的更好选择。
sbb-itb-59e1987
比较虚拟环境中的加密方法
在虚拟环境中保护数据安全方面,不同的加密方法各有优势,也各有挑战。VMware 虚拟机加密、主机总线适配器 (HBA) 加密和基于交换机的加密各有其用途,帮助您找到最符合自身需求的加密方案。
VMware VM 加密
此方法直接在源头加密虚拟机 (VM) 文件、虚拟磁盘文件和主机核心转储文件。它依赖于密钥管理服务器 (KMS),vCenter Server 在该服务器中请求加密密钥,ESXi 主机使用这些密钥来保护用于保护虚拟机的数据加密密钥 (DEK)。由于加密发生在数据创建的地方,因此这种方法从一开始就确保了强大的保护。
HBA 加密
HBA 加密可在数据退出服务器时保护数据安全,并使用外部 KMIP 服务器进行密钥管理。然而,由于加密是按主机实施的,因此会限制工作负载的移动性,使其在动态环境中的灵活性降低。
基于交换机的加密
这种方法在网络级别对数据进行加密,从数据离开主机后的第一个网络交换机开始。每个交换机通过外部 KMIP 密钥管理器管理自己的密钥集。然而,主机和交换机之间的数据仍然未加密,这在某些情况下可能会带来风险。
性能考虑
加密方法对系统性能的影响各不相同。VMware 加密通常会导致中等程度的性能下降,例如 NVMe 吞吐量下降 30 到 50%,CPU 使用率最多翻倍。相比之下,HBA 卡和基于交换机的加密可能会带来显著的开销,每个 I/O 操作的 CPU 周期数会增加 20%,甚至高达 500%。
加密方法比较表
| 特征 | VMware VM 加密 | HBA 加密 | 基于交换机的加密 |
|---|---|---|---|
| 安全范围 | VM 文件、虚拟磁盘、核心转储 | 从主机传输的数据 | 从交换机传输的数据 |
| 密钥管理 | 密钥管理服务器 (KMS) | 外部 KMIP 服务器 | 每个交换机的外部 KMIP 服务器 |
| 性能影响 | 30–50% NVMe吞吐量减少;CPU使用率高达2倍 | 每个 I/O 有 20–500% 额外 CPU | 因开关容量而异 |
| 可移植性 | 跨数据存储的虚拟机完全移动性 | 受每台主机加密限制 | 受特定开关按键限制 |
| 多租户支持 | 完全支持每个虚拟机的策略 | 在共享环境中受到限制 | 多租户综合体 |
| 数据传输安全 | 源头加密 | 从主机到存储加密 | 从主机到交换机未加密 |
| 硬件要求 | 支持 AES-NI 的处理器 | HBA 专用硬件 | 兼容的网络交换机 |
| 管理复杂性 | 基于策略的集中式 | 每个主机配置 | 每个交换机的密钥管理 |
| 操作系统兼容性 | 独立于平台 | 独立于平台 | 独立于平台 |
| 重复数据删除的影响 | 可能会降低效率(重复数据删除前加密) | 没有影响 | 没有影响 |
选择正确的方法
每种加密方法都与特定的用例相关。VMware 虚拟机加密非常适合多租户环境,它提供对单个虚拟机的精细控制,并在数据存储区和 vCenter 环境之间实现无缝迁移,同时保持数据加密。HBA 加密非常适合保护从主机传输的数据,尽管其按主机配置可能会使虚拟机迁移变得复杂。基于交换机的加密提供网络级安全性,但可能需要更复杂的管理,尤其是在具有多个交换机和存储路径的设置中。
VMware 虚拟机加密还支持自动化和基于策略的管理,无需在支持 AES-NI 的处理器之外额外添加硬件。通过周密的资源规划,可以有效地管理其性能权衡。
结论
固定 VMware 虚拟机 (虚拟机)加密需要周密的规划和最佳实践的承诺。超过 90% 的企业依赖于 服务器虚拟化 VMware 占据了虚拟化市场近一半的份额,保护这些环境是组织安全的关键环节。本节重点介绍之前讨论过的管理、配置和恢复的关键原则。
首先要建立强大的密钥生命周期管理实践。制定清晰的密钥轮换策略,并确保密钥管理服务器 (KMS) 始终可访问。谨慎处理密钥提供商名称,以防止虚拟机锁定或恢复出现问题。
正确的配置同样重要。在 BIOS 中启用 AES-NI 以增强加密性能,并尽可能在创建虚拟机时(而不是部署后)进行加密,以节省处理时间和资源。
加密环境中的备份和恢复需要特别注意。恢复数据后,应及时重新应用加密存储策略,以防止敏感信息意外泄露。
性能是另一个不容忽视的因素。加密层会影响虚拟机性能,后端存储的重复数据删除和压缩等功能也可能受到影响。实施加密后,务必合理分配资源,并密切关注系统性能。
操作实践与技术措施同样重要。收集虚拟机支持包时务必使用密码,为加密设置设置核心转储策略,并在移动或删除加密虚拟机后重新启动 ESX 主机以清除内存中的加密密钥。在复制环境中,确保在恢复站点可以访问加密密钥,以避免停机。
要成功实施虚拟机加密,一致性至关重要。您需要花时间周密规划,培训团队掌握正确的流程,并设置监控系统来追踪加密事件。做好充分准备并遵循这些最佳实践,您就能在保护虚拟环境的同时保持运营效率。有关每个主题的更多详细信息,请参阅以上章节。
常见问题解答
启用 VMware VM 加密会对性能产生哪些影响?如何将其降至最低?
管理加密对 VMware 虚拟机的影响
为 VMware 虚拟机启用加密可能会导致 CPU 使用率 和潜力 I/O瓶颈尤其是在使用 NVMe 驱动器等高性能存储时。这是因为加密需要额外的处理能力,这在高负载时会给资源造成压力。
为了减少这些性能影响,请尝试以下策略:
- 使用 专用固态硬盘 用于加密虚拟机存储,以隔离与加密相关的操作。
- 在活动较少的时期安排加密任务,以避免系统超载。
- 在加密过程运行时限制大量写入操作。
- 尽量减少使用分层加密以减少不必要的复杂性。
此外,优先考虑适当的 关键管理实践 维护一个安全的环境,而不会给你的系统增加过多的开销。
通过采用这些措施,您可以在加密的安全优势和系统性能需求之间保持平衡。
密钥管理服务器 (KMS) 如何在 VMware 环境中保护和管理加密密钥?
密钥管理服务器 (KMS) 对于保护 VMware 环境中的加密密钥至关重要。它负责监管这些密钥的整个生命周期,包括处理密钥的生成、安全存储、轮换以及最终销毁。通过实施 强大的访问控制, 监控密钥使用情况并确保 高可用性,KMS 保护加密密钥免遭未经授权的访问,并最大限度地降低数据丢失的风险。
正确配置和定期监控 KMS 对于维护安全至关重要。以下功能 自带密钥 (BYOK) 让企业完全掌控其加密密钥,提升安全防护,并满足合规性要求。遵循既定的最佳实践,有助于保护敏感数据,同时确保运营平稳运行。
安全备份和恢复加密的 VMware 虚拟机的最佳实践是什么?
如何安全地备份和恢复加密的 VMware 虚拟机
处理加密的 VMware 虚拟机 (VM) 时,确保其在备份和还原期间的安全性至关重要。以下是一些需要遵循的关键做法:
- 选择加密感知备份工具:选择完全符合 VMware 加密策略且与您的设置兼容的备份解决方案。这可确保无缝运行,且不会损害安全性。
- 保持加密密钥 ID 和存储策略一致:在备份和恢复期间,使用相同的加密密钥 ID 和存储策略对于维护数据完整性至关重要。
- 确保您的密钥管理系统 (KMS) 可靠:您的 KMS 应该在整个过程中正确配置并可访问,以安全地管理加密密钥。
- 恢复后重新应用存储策略:还原虚拟机后,请务必重新分配正确的存储策略以重新启用加密。请仔细检查所有加密设置是否已正确应用。
- 保护您的加密密钥:将密钥存储在安全位置,并仅限授权人员访问。这有助于防止任何未经授权的敏感数据访问。
通过遵循这些步骤,您可以在备份和恢复加密的 VMware VM 期间保护您的数据并降低风险。
