Ota meihin yhteyttä

info@serverion.com

Soita meille

+1 (302) 380 3902

VMwaren virtuaalikoneiden salauksen parhaat käytännöt

VMwaren virtuaalikoneiden salauksen parhaat käytännöt

VMwaren virtuaalikoneiden salaus varmistaa tietojen suojauksen hypervisoritasolla, suojaa virtuaalikoneita (VM) mahdollisilta uhilta ja täyttää sääntelystandardit, kuten PCI DSS, HIPAA ja GDPR. VSphere 6.5:ssä esitelty ominaisuus salaa kriittiset virtuaalikoneiden komponentit, kuten virtuaalilevyt, muistin ja swap-tiedostot, XTS-AES-256-salauksella. Avainhallintapalvelin (KMS) hallinnoi salausavaimia varmistaen turvallisuuden ja vaatimustenmukaisuuden.

Tärkeimmät kohokohdat:

  • Miten se toimiiSalaa virtuaalikoneen tiedot kaksoisavainjärjestelmällä (tietojen salausavain ja avaimen salausavain) vSphere-rajapintojen kautta.
  • EdutSuojaa arkaluonteisia tietoja, tukee pilvisiirtoa ja integroituu vSphere-työkaluihin.
  • KompromissitSaattaa vähentää NVMe-kaistanleveyttä 30–50% ja lisätä suorittimen käyttöä.
  • Avainten hallintaEdellyttää luotettavan avainten hallintajärjestelmän (KMS), joka tukee KMIP 1.1:tä avainten turvalliseen tallennukseen ja jakeluun.
  • Parhaat käytännötKäytä roolipohjaista pääsynhallintaa (RBAC), ota AES-NI käyttöön prosessoreissa, valvo salaustapahtumia ja varmista KMS-redundanssi.

Kun määrität salausta, luo luottamus vCenterin ja KMS:n välille, käytä virtuaalikoneille salauskäytäntöjä ja mukauta varmuuskopiointityönkulut salattuihin ympäristöihin. Tämä varmistaa tietoturvan vaarantamatta toiminnallisuutta tai vaatimustenmukaisuutta.

Avaimentarjoajien määrittäminen rest-tietojen salausta varten

Avaintenhallinnan perusteet

Tehokas avaintenhallinta on virtuaalikoneen (VM) salauksen selkäranka. Ilman luotettavaa avaintenhallintapalvelinta (KMS) salatut virtuaalikoneet voivat menettää käyttöoikeutensa, mikä johtaa täydellinen tietojen menetysYmmärtämällä avaintenhallinnan toiminnan ja ottamalla käyttöön järkeviä hallintastrategioita voit suojata salausinvestointisi ja varmistaa samalla keskeytymättömän liiketoiminnan. Tässä on yleiskatsaus, joka auttaa sinua ottamaan käyttöön joustavia avaintenhallintakäytäntöjä.

Kuinka avaintenhallintapalvelimet (KMS) toimivat

Avainhallintapalvelin (Key Management Server) käsittelee VMware-infrastruktuurisi salausavainten luomisen, tallennuksen ja jakelun. Se käyttää epäsymmetristä salausalgoritmia, joka varmistaa turvallisen eron avaintenhallinnan ja tiedontallennuksen välillä. vCenter-palvelin ei tallenna salausavaimia suoraanSen sijaan se ylläpitää avaintunnisteiden luetteloa, kun taas varsinaiset avaimet tallennetaan turvallisesti KMS:ään. Tämä määritys suojaa avaimiasi myös vCenter-tietoturvaongelman sattuessa, koska avaimet pysyvät suojattuina ulkoisessa KMS:ssä.

Näin se toimii: kun salaat virtuaalikoneen, vCenter pyytää avainta avainten hallintajärjestelmältä (KMS). KMS luo ja tallentaa yksityisen avaimen ja lähettää julkisen avaimen takaisin vCenterille salaustehtäviä varten. Varmuuskopiointityökalut, kuten Veeam Backup & Replication, noudattavat samanlaista kaavaa pyytämällä avaimia tiettyjä toimintoja tai tietovarastoja varten.

VMware edellyttää, että KMS-ratkaisut tukevat Key Management Interoperability Protocol (KMIP) 1.1 -standardia.varmistaen yhteensopivuuden eri toimittajien välillä samalla, kun säilytetään yhdenmukaiset tietoturvakäytännöt. KMIP-tiedonsiirto tapahtuu tyypillisesti portin kautta 5696, joten luotettavan verkkoyhteyden muodostaminen vCenterin ja KMS-klusterin välille on kriittistä.

Jos avainten hallintajärjestelmä (KMS) ei ole käytettävissä, kaikki virtuaalikoneiden toiminnot, jotka vaativat avainten käyttöä, epäonnistuvat. Tämän vuoksi avainten hallintajärjestelmän saatavuuden varmistaminen on ensiarvoisen tärkeää, kun salaus on käytössä.

Avaintenhallinnan parhaat käytännöt

Nyt kun ymmärrät avaintenhallintajärjestelmän perusteet, tässä on joitakin parhaita käytäntöjä avaintenhallintastrategiasi vahvistamiseksi:

  • Rakenna redundanssia KMS-asetuksiin. Ota KMS käyttöön erillisellä laitteistolla ensisijaisesta vSphere-infrastruktuuristasi ja luo KMS-klusteri, jossa on 2–3 isäntäkonetta. Tämä poistaa yksittäiset vikaantumiskohdat ja varmistaa jatkuvan toiminnan.
  • Harkitse pilvipohjaiset KMS-ratkaisut. KMS:n käyttöönotto julkisissa pilviympäristöissä, kuten Amazon Web Servicesissä tai Microsoft Azuressa, voi tarjota maantieteellisen erillisyyden ja hyödyntää pilvipalveluntarjoajien luotettavuutta säilyttäen samalla salausavainten hallinnan.
  • Käsittele avainten elinkaaren hallintaa huolellisesti. VMware tarjoaa komentoja, kuten poistaKey ja removeKeysin avainten hallintaan, mutta nämä poistavat avaimia vain vCenteristä – eivät KMS:stä. Käytä pakottaa vaihtoehtoa varoen, sillä se voi lukita virtuaalikoneet, jos avaimet ovat vielä käytössä. Avainten poistaminen suoraan ESXi-isännästä voi tehdä salatuista virtuaalikoneista käyttökelvottomia.
  • Varmuuskopioi vCenter Server säännöllisesti. Sisällytä kaikki upotetun avaimen tarjoajan määritykset varmuuskopioihisi ja säilytä niitä turvallisesti eri paikassa kuin ensisijaista datakeskustasi. Dokumentoi palautusmenettelyt varmistaaksesi nopean palautuksen käyttökatkosten aikana.
  • Salaa VCSA-varmuuskopiot käytettäessä vSphere Native Key Provider (NKP) -palvelua. Ennen NKP:n käyttöönottoa tuotannossa lataa ja tallenna yksityinen avain turvallisesti hätätilanteita varten, joissa normaali avain ei ole käytettävissä.
  • Valvo avainpalvelimen saatavuutta. Tarkista säännöllisesti avainten tila avainten hallintajärjestelmässä (KMS) ja korjaa mahdolliset ongelmat välittömästi. Ota käyttöön avainten kierrätyskäytännöt, jotta avaimet voidaan poistaa käytöstä ja uusia säännöllisesti, mikä ylläpitää turvallisuutta ajan kuluessa.
  • Varusta ESXi-isännät TPM-moduuleilla (Trusted Platform Modules). TPM-suojaustekniikat parantavat tietoturvaa suojaamalla avainten käyttöoikeuksia laitteistovikojen aikana ja tarjoavat lisäsuojaa palautustoimien aikana.
  • Vältä tarpeetonta salauskerrosta. vSAN-tietojen salauksen ja virtuaalikoneiden salauksen yhdistäminen voi lisätä hallinnan monimutkaisuutta ja vaikuttaa suorituskykyyn tarjoamatta merkittäviä tietoturvaetuja. Käytä molempia vain ehdottoman välttämättömissä tapauksissa.

Virtuaalikoneen salauksen määrittäminen vSphere-järjestelmässä

vSphere

Virtuaalikoneiden suojaamisen kannalta vankat avaintenhallintakäytännöt ovat vasta alkua. Virtuaalikoneiden salauksen käyttöönotto vSphere-ympäristössä sisältää kolme olennaista vaihetta: luottamuksen luomisen vCenter Serverin ja Key Management Server (KMS) -klusterin välille, salauskäytäntöjen määrittämisen ja näiden käytäntöjen soveltamisen virtuaalikoneihisi. Jokainen vaihe vahvistaa ympäristösi turvallisuutta.

Virtuaalikoneen salauksen ottaminen käyttöön

Aloita määrittämällä avaintenhallintapalvelimesi. Useimmat järjestelmänvalvojat ottavat avaintenhallintajärjestelmänsä käyttöön virtuaalilaitteena tuotanto- tai hallintaklusterissa, usein useilla solmuilla paremman luotettavuuden takaamiseksi.

Ensimmäinen tehtävä on luoda luottamus vCenter Serverin ja KMS-klusterin välille. Avaa Määritä vSphere-asiakasohjelman valikko ja siirry kohtaan Avainhallintapalvelimet > LisääTämä tuo esiin Lisää KMS valintaikkuna, jossa voit joko luoda uuden klusterin tai muodostaa yhteyden olemassa olevaan. Sinun on annettava tietoja, kuten klusterin nimi, palvelimen osoite, palvelimen portti ja valinnaiset välityspalvelimen asetukset sekä tarvittavat todennustiedot.

Kun yhteys on muodostettu, Tee vCenteristä luotettava KMS valintaikkuna tulee näkyviin. Napsauta Luottamus jatkaaksesi ja valitse sitten Näytä tiedot ja napsauta TEE KMS:N LUOTTAMUKSESTA VCENTURIIN -painiketta jatkaaksesi. Lataa KMS-tunnistetiedot -osiossa lataa KMS-varmenne- ja yksityisen avaimen tiedostot. Kun olet ladannut molemmat tiedostot, napsauta Luo luottamus kaksisuuntaisen luottamusasennuksen loppuun saattamiseksi.

Kun luottamus on luotu, olet valmis salaamaan virtuaalikoneesi. Muista, että virtuaalikoneet voidaan salata vain, kun ne on sammutettu, joten on parasta ajoittaa tämä huoltoikkunan aikana. Voit salata virtuaalilevyn napsauttamalla virtuaalikonetta hiiren kakkospainikkeella vSphere-asiakasluettelossa ja valitsemalla Virtuaalikoneen käytännöt > Muokkaa virtuaalikoneen tallennuskäytäntöjä. ... Muokkaa virtuaalikoneen tallennuskäytäntöjä valintaikkunassa valitse Virtuaalikoneen salauskäytäntö ottaaksesi käyttöön virtuaalikoneen levyjen salauksen. Tämän lähestymistavan avulla voit kohdistaa salauksen tietyille levyille niiden sisältämien tietojen arkaluonteisuuden perusteella.

Kun salaus on käytössä, sinun on mietittävä, miten se vaikuttaa varmuuskopiointi- ja palautusprosesseihisi.

Varmuuskopiointiin ja palautukseen liittyviä huomioitavia asioita

Salauksen määrittämisen jälkeen on erittäin tärkeää mukauttaa varmuuskopiointi- ja palautusprosesseja. Salattujen virtuaalikoneiden varmuuskopiot puretaan varmuuskopioinnin aikana, mikä tarkoittaa, että varmuuskopiointiratkaisusi käsittelee salauksen purkamisen automaattisesti ennen tietojen kirjoittamista varmuuskopiointivälineelle. Tietoturvan ylläpitämiseksi VMware suosittelee varmuuskopiointivälineen erillistä salaamista tietojen suojauksen varmistamiseksi koko varmuuskopioinnin elinkaaren ajan.

Salattujen virtuaalikoneiden palauttaminen vaatii jonkin verran valmisteluja. Salattuja virtuaalikoneita ei salata uudelleen automaattisesti palautuksen jälkeen; tallennuskäytäntö on otettava uudelleen käyttöön, kun palautus on valmis. Varmuuskopiointiagenttien tulisi säilyttää salattujen levyjen tallennuskäytäntötiedot ja ottaa ne uudelleen käyttöön palautusprosessin aikana. Jos alkuperäinen käytäntö ei ole käytettävissä, varmuuskopiointiagentin tulisi joko kehottaa sinua valitsemaan uuden käytännön tai käyttämään oletusarvoista virtuaalikoneen salaustallennuskäytäntöä.

On erittäin tärkeää säilyttää keskeiset määrityselementit varmuuskopioiden aikana. Erityisesti ConfigInfo.keyId ja salaus.paketti alkuperäisestä virtuaalikoneen kokoonpanosta tarvitaan salatun virtuaalikoneen palauttamiseen sen alkuperäisillä avaimilla. Varmista, että varmuuskopiosi sisältävät nämä elementit sekä tallennuskäytännön. Anna nämä arvot uudessa virtuaalikoneessa palautuksen yhteydessä. ConfigSpecJos alkuperäisiä salausavaimia ei ole saatavilla, virtuaalikone voidaan silti salata uusilla avaimilla, mutta alkuperäinen NVRAM-tiedosto saattaa muuttua käyttökelvottomaksi. Tällaisissa tapauksissa voit käyttää yleistä NVRAM-tiedostoa, vaikka UEFI-yhteensopivat virtuaalikoneet saattavat vaatia Secure Bootin uudelleenmäärittämistä.

Kaikki varmuuskopiointiratkaisut eivät tue salattuja virtuaalikoneita, joten tarkista yhteensopivuus varmuuskopiointiarkkitehtuurisi kanssa ennen salauksen käyttöönottoa. Kehitä selkeät palautuskäytännöt ja suunnittele salauksen uudelleen ottaminen käyttöön heti palautuksen jälkeen varmistaaksesi, että salausavaimet ovat käytettävissä tarvittaessa.

Konfiguraation parhaat käytännöt

Kun salaus on käytössä, on entistäkin tärkeämpää varmuuskopioida vCenter Server -kokoonpanosi säännöllisesti. Muista sisällyttää kaikki upotetun avaimen tarjoajan asetukset varmuuskopioihisi ja säilyttää näitä varmuuskopioita turvallisesti eri paikassa kuin ensisijaisessa datakeskuksessasi. Dokumentoi palautusmenettelyt huolellisesti ja testaa niitä säännöllisesti varmistaaksesi, että ne toimivat odotetulla tavalla. Tämä ennakoiva lähestymistapa minimoi käyttökatkokset ja varmistaa, että olet valmistautunut kaikkiin tilanteisiin.

Tietoturvakäytännöt ja parhaat käytännöt

Aiemman avaintenhallinnan ja virtuaalikoneiden salauksen pohjalta vahvojen tietoturvakäytäntöjen käyttöönotto on olennaista virtuaalisen infrastruktuurin suojaamiseksi. Salattujen virtuaalikoneiden suojaaminen edellyttää tiukkaa käyttöoikeuksien hallintaa, jatkuvaa valvontaa ja suorituskyvyn tehokkuuden ylläpitämistä. Tehokkaat hallintakäytännöt ovat ratkaisevan tärkeitä salausasetusten turvallisuuden ja luotettavuuden kannalta.

Suojattujen käyttöoikeuskäytäntöjen luominen

Perustaminen Role-Based Access Control (RBAC) on olennaista minkä tahansa VMware-ympäristön suojaamiseksi. Määritä roolit, kuten järjestelmänvalvojat, operaattorit, kehittäjät ja tilintarkastajat, ja anna kullekin roolille vain niiden tehtävien edellyttämät käyttöoikeudet. Esimerkiksi:

  • YlläpitäjätVaatii täyden pääsyn salauskäytäntöihin ja avaintenhallintaan.
  • Operaattorit: Tulisi suorittaa vain tehtäviä, kuten virtuaalikoneiden käynnistäminen ja sammuttaminen.
  • Kehittäjät: Käyttöoikeuden on oltava rajoitettu niille määritettyihin virtuaalikoneihin ilman mahdollisuutta muuttaa salausasetuksia tuotannossa.

RBAC:n parantamiseksi toteuta kaksivaiheinen todennus (2FA). Tämä ylimääräinen suojauskerros on erityisen tärkeä salatuille virtuaalikoneille, sillä vaarantuneet tunnistetiedot voivat paljastaa arkaluonteisia tietoja koko infrastruktuurissa.

Toinen keskeinen mittari on verkon segmentointiEristä kriittiset salatut virtuaalikoneet sijoittamalla ne erillisiin verkkosegmentteihin, käyttämällä palomuureja liikenteen säätelyyn ja ottamalla käyttöön bastion-isäntiä turvallisen hallintakäytön takaamiseksi. Tämä lähestymistapa varmistaa, että vaikka yhteen segmenttiin murtauduttaisiin, arkaluontoiset virtuaalikoneet pysyvät suojattuina.

Lisäksi valvotaan käyttöä vahvat salasanat jotka yhdistävät kirjaimia, numeroita ja symboleja. Kannusta salasanojen käyttöön – pidempiin, helpommin muistettaviin ja vaikeampiin murrettaviin merkkijonoihin – ja vaadi säännöllisiä salasanapäivityksiä turvallisuuden ylläpitämiseksi.

Tarkista ja päivitä roolimäärityksiä säännöllisesti organisaatiomuutosten mukaisesti. Kun työntekijät vaihtavat rooleja tai lähtevät, muuta tai peruuta heidän käyttöoikeutensa viipymättä luvattoman käytön estämiseksi.

Kun käyttöoikeuskäytännöt ovat käytössä, keskity salaustoiminnan valvontaan reaaliajassa.

Salaustapahtumien valvonta ja kirjaaminen

Valpas valvonta on välttämätöntä esimerkiksi avainten hakuvirheiden tai salauksen hallintavirheiden havaitsemiseksi. Käsittele ydinvedoksia ja salauksesta purettuja tukitiedostoja erittäin arkaluonteisina. Käytä aina salasanaa ydinvedosten uudelleen salaamiseen, kun keräät virtuaalikonetukipaketteja, ja käsittele näitä tiedostoja varoen, jos salauksen purkaminen on tarpeen analyysia varten.

Laajenna seurantaa kattamaan salaustapahtumalokitMääritä automaattiset hälytykset, jotka ilmoittavat sinulle välittömästi, jos avaintenhallintapalvelin (KMS) ei ole käytettävissä tai jos avaimen haku epäonnistuu. Koska salatut virtuaalikoneet ovat riippuvaisia keskeytymättömästä avainten käytöstä, kaikki häiriöt voivat vaikuttaa vakavasti toimintaan.

Dokumentoi avainten kierrätyskäytäntösi ja seuraa avainten elinkaarta. Automaattisten järjestelmien tulisi seurata avainten ikää ja varmistaa avainten oikea-aikainen vaihtaminen määrittämäsi aikataulun mukaisesti.

Katastrofien jälkeisen palautuksen suunnittelu on toinen kriittinen näkökohta. Varmista, että palautuspaikoissa replikoidut salatut virtuaalikoneet voivat käyttää tarvittavia salausavaimia. Testaa palautusmenettelyjä säännöllisesti, tarkista varmuuskopioavaimet ja varmista, että palautustoiminnot sisältävät virtuaalikoneiden automaattisen uudelleensalauksen. Valvontajärjestelmät tulisi vahvistaa näiden käytäntöjen noudattaminen.

Kun salattuja virtuaalikoneita poistetaan, niiden rekisteröinti poistetaan tai ne siirretään toiseen virtuaalikeskukseen, käynnistä kyseiset ESXi-isännät uudelleen. Tämä vaihe tyhjentää salausavaimet muistista, mikä vähentää avainten vuotamisen riskiä. Valvontajärjestelmien tulisi vahvistaa nämä toiminnot osana suojausprotokollaasi.

Kun tietoturva ja valvonta ovat käytössä, on tärkeää käsitellä sitä, miten salaus vaikuttaa suorituskykyyn.

Salattujen virtuaalikoneiden suorituskykyyn liittyviä näkökohtia

Salauksen suorituskyky on läheisesti sidoksissa laitteistoosi, erityisesti suorittimeen ja tallennustilaan. Varmista, että AES-NI (Advanced Encryption Standard New Instructions) on käytössä BIOSissa, koska tämä ominaisuus parantaa merkittävästi salauksen tehokkuutta. Nykyaikaiset prosessorit, joissa on edistynyt AES-NI-tuki, voivat parantaa suorituskykyä entisestään.

Huomaa, että salaus voi heikentää NVMe-kaistanleveys 30–50%:llä ja kaksinkertainen suorittimen käyttö. Suunnittele valmistelu- ja tilannevedostehtävät vastaavasti. Tallennuslaitteilla, joilla on suurempi latenssi (satoja mikrosekunteja tai enemmän), lisäsuorittimen kuormitus ei kuitenkaan välttämättä vaikuta havaittavasti latenssiin tai läpäisykykyyn.

Virtuaalikoneiden käyttöönottotehtävät, kuten käynnistys tai kloonaus, aiheuttavat tyypillisesti vain vähän lisäkustannuksia. tilannekuvatoiminnot – erityisesti vSAN-tietovarastoissa – suorituskykyyn kohdistuvat vaikutukset voivat olla jopa 70%. Aikatauluta nämä toiminnot huolellisesti häiriöiden minimoimiseksi.

Ajoitus on tärkeää salausta otettaessa käyttöön. Virtuaalikoneen salaaminen sen luomisen aikana on paljon nopeampaa kuin olemassa olevan salaaminen. Useiden virtuaalikoneiden tapauksessa harkitse salattujen mallien käyttöä niiden uudelleenrakentamiseen sen sijaan, että muuntaisit ne erikseen.

Lopuksi varmista, että ESXi-palvelimet riittävästi suorittimen resursseja salauksen käsittelyyn. Riittämätön suorittimen kapasiteetti voi heikentää muiden saman isännän työkuormien suorituskykyä. Seuraa suorittimen käyttöä tarkasti ja skaalaa resursseja tarvittaessa.

Erittäin pienen viiveen sovelluksissa punnitse salauksen etuja mahdollisiin suorituskykykompromisseihin nähden. Joissakin tapauksissa vain herkimpien virtuaalikoneiden salaaminen ja muiden suojaustoimenpiteiden, kuten verkon segmentoinnin ja tiukkojen käyttöoikeuskäytäntöjen, käyttäminen voi olla parempi vaihtoehto suorituskyvyn ylläpitämiseksi.

Salausmenetelmien vertailu virtuaaliympäristöissä

Virtuaaliympäristöjen tietojen suojaamisessa eri salausmenetelmillä on ainutlaatuisia etuja ja haasteita. VMware VM -salaus, isäntäväyläsovittimen (HBA) salaus ja kytkinpohjainen salaus palvelevat kukin omaa tarkoitustaan, mikä auttaa sinua löytämään tarpeisiisi parhaiten sopivan vaihtoehdon.

VMware VM -salaus

VMware

Tämä menetelmä salaa virtuaalikoneen (VM) tiedostot, virtuaalilevytiedostot ja isännän ydinvedostiedostot suoraan lähteessä. Se perustuu avaintenhallintapalvelimeen (KMS), josta vCenter Server pyytää salausavaimia ja ESXi-isännät käyttävät näitä avaimia virtuaalikoneita suojaavan datan salausavaimen (DEK) suojaamiseen. Koska salaus tapahtuu juuri siellä, missä tiedot luodaan, tämä lähestymistapa varmistaa vahvan suojauksen alusta alkaen.

HBA-salaus

HBA-salaus suojaa tiedot heti niiden poistuessa palvelimelta käyttämällä ulkoisia KMIP-palvelimia avaintenhallintaan. Koska salaus toteutetaan isäntäkohtaisesti, se voi kuitenkin rajoittaa työkuorman liikkuvuutta, mikä tekee siitä vähemmän joustavan dynaamisissa ympäristöissä.

Kytkinpohjainen salaus

Tämä lähestymistapa salaa tiedot verkkotasolla alkaen ensimmäisestä verkkokytkimestä sen jälkeen, kun se lähtee isännästä. Jokainen kytkin hallinnoi omaa avainjoukkoaan ulkoisten KMIP-avaintenhallinnan avulla. Isännän ja kytkimen välinen data pysyy kuitenkin salaamattomana, mikä voi aiheuttaa riskejä tietyissä tilanteissa.

Suorituskykyyn liittyvät näkökohdat

Salausmenetelmät vaikuttavat järjestelmän suorituskykyyn eri tavoin. VMware-salaus johtaa tyypillisesti kohtalaisiin suorituskyvyn heikkenemisiin, kuten NVMe-läpivirtausnopeuden laskuun 30–50% ja jopa kaksinkertaiseen suorittimen käyttöön. Vertailun vuoksi HBA ja kytkinpohjainen salaus voivat aiheuttaa merkittäviä lisäkustannuksia, ja suorittimen syklien määrä I/O-toimintoa kohden kasvaa 20%:llä jopa 500%:ään.

Salausmenetelmien vertailutaulukko

Ominaisuus VMware VM -salaus HBA-salaus Kytkinpohjainen salaus
Suojausalue VM-tiedostot, virtuaalilevyt, ydinvedokset Isännältä siirrettävät tiedot Kytkimestä siirrettävät tiedot
Avainten hallinta Avainhallintapalvelin (KMS) Ulkoiset KMIP-palvelimet Ulkoisia KMIP-palvelimia kytkintä kohden
Suorituskykyvaikutus 30–50% NVMe-läpivirtausnopeuden vähennys; jopa 2× suorittimen käyttö 20–500% ylimääräistä CPU:ta I/O:ta kohden Vaihtelee kytkimen kapasiteetin mukaan
Siirrettävyys Täysi virtuaalikoneiden liikkuvuus eri tietovarastojen välillä Rajoitettu isäntäkohtaisen salauksen vuoksi Kytkinkohtaisten näppäinten rajoittama
Monivuokralaisten tuki Täysi tuki virtuaalikonekohtaisille käytännöille Rajoitettu jaetuissa ympäristöissä Kompleksi useille vuokralaisille
Tiedonsiirron turvallisuus Salattu lähteellä Salattu isännältä tallennustilaan Salaamaton isännältä kytkimelle
Laitteistovaatimukset AES-NI-yhteensopivat prosessorit HBA-kohtainen laitteisto Yhteensopivat verkkokytkimet
Johdon monimutkaisuus Politiikkaan perustuva, keskitetty Isäntäkohtainen kokoonpano Kytkinkohtainen avaintenhallinta
Käyttöjärjestelmien yhteensopivuus Alustasta riippumaton Alustasta riippumaton Alustasta riippumaton
Deduplikaation vaikutus Saattaa heikentää tehokkuutta (deduplikaatiota edeltävä salaus) Ei vaikutusta Ei vaikutusta

Oikean menetelmän valitseminen

Jokainen salausmenetelmä on mukautettavissa tiettyihin käyttötapauksiin. VMware VM -salaus sopii erinomaisesti usean käyttäjän ympäristöihin, sillä se tarjoaa tarkan hallinnan yksittäisiin virtuaalikoneihin ja saumattoman liikkuvuuden tietovarastojen ja vCenter-ympäristöjen välillä – samalla kun tiedot pysyvät salattuina. HBA-salaus toimii hyvin isännältä siirrettävien tietojen suojaamiseen, vaikka sen isäntäkohtainen kokoonpano voi monimutkaistaa virtuaalikoneiden liikkuvuutta. Kytkinpohjainen salaus tarjoaa verkkotason suojauksen, mutta se saattaa vaatia monimutkaisempaa hallintaa, erityisesti kokoonpanoissa, joissa on useita kytkimiä ja tallennuspolkuja.

VMware VM -salaus tukee myös automaatiota ja käytäntöihin perustuvaa hallintaa, mikä poistaa tarpeen lisälaitteistolle AES-NI-yhteensopivien prosessorien lisäksi. Huolellisella resurssien suunnittelulla sen suorituskykyyn liittyviä kompromisseja voidaan hallita tehokkaasti.

Johtopäätös

Kiinnitys VMware-virtuaalikoneet (virtuaalikoneet) salauksella edellyttävät huolellista suunnittelua ja sitoutumista parhaisiin käytäntöihin. Yli 901 000 yritystä luottaa palvelinvirtualisointi ja koska VMware hallitsee lähes puolta virtualisointimarkkinoista, näiden ympäristöjen suojaaminen on organisaation turvallisuuden kannalta kriittinen osa. Tässä osiossa korostetaan aiemmin käsiteltyjä hallinnan, konfiguroinnin ja palautuksen keskeisiä periaatteita.

Aloita luomalla vahvat avainten elinkaaren hallintakäytännöt. Kehitä selkeät käytännöt avainten kierrätykselle ja varmista, että avaintenhallintapalvelimesi (KMS) on aina käytettävissä. Käsittele avainten tarjoajien nimiä huolellisesti estääksesi virtuaalikoneiden lukituksen tai palautuksen aiheuttamat ongelmat.

Oikea konfigurointi on yhtä tärkeää. Ota AES-NI käyttöön BIOSissa parantaaksesi salaussuorituskykyä ja salaa virtuaalikoneet aina kun mahdollista luomisen aikana pikemminkin kuin käyttöönoton jälkeen säästääksesi käsittelyaikaa ja resursseja.

Salattujen ympäristöjen varmuuskopiointi ja palautus vaativat erityistä huomiota. Tietojen palauttamisen jälkeen ota salaustallennuskäytännöt viipymättä uudelleen käyttöön arkaluonteisten tietojen tahattoman paljastumisen estämiseksi.

Suorituskyky on toinen tekijä, jota ei pidä sivuuttaa. Salauskerrokset voivat vaikuttaa virtuaalikoneen suorituskykyyn, ja ominaisuudet, kuten deduplikaatio ja pakkaus taustatallennustilassa, voivat kärsiä. Kohdista resurssit viisaasti ja pidä järjestelmän suorituskykyä tarkasti silmällä salauksen käyttöönoton jälkeen.

Operatiiviset käytännöt ovat aivan yhtä tärkeitä kuin tekniset toimenpiteet. Käytä aina salasanoja virtuaalikoneiden tukipakettien keräämisessä, määritä ydinvedoskäytännöt salatuille asetuksille ja käynnistä ESX-isännät uudelleen salattujen virtuaalikoneiden siirtämisen tai poistamisen jälkeen, jotta salausavaimet tyhjentyvät muistista. Varmista replikoiduissa ympäristöissä, että salausavaimet ovat saatavilla palautuspaikoissa käyttökatkosten välttämiseksi.

Virtuaalikoneiden salauksen onnistuneen käyttöönoton kannalta johdonmukaisuus on avainasemassa. Käytä aikaa huolelliseen suunnitteluun, kouluta tiimisi oikeisiin menettelytapoihin ja määritä valvontajärjestelmät salaustapahtumien seuraamiseksi. Oikein valmistautumalla ja noudattamalla näitä parhaita käytäntöjä voit suojata virtuaaliympäristösi ja samalla ylläpitää toiminnan tehokkuutta. Lisätietoja kustakin aiheesta on yllä olevissa osioissa.

UKK

Mitä vaikutuksia VMware VM -salauksen käyttöönotolla on suorituskykyyn, ja miten niitä voidaan minimoida?

Salauksen vaikutuksen hallinta VMware-virtuaalikoneissa

VMware-virtuaalikoneiden salauksen käyttöönotto voi johtaa lisääntyneeseen CPU:n käyttö ja potentiaali I/O-pullonkaulat, erityisesti työskenneltäessä tehokkaiden tallennuslaitteiden, kuten NVMe-asemien, kanssa. Tämä johtuu siitä, että salaus vaatii ylimääräistä prosessointitehoa, mikä voi rasittaa resursseja raskaiden työkuormien aikana.

Voit vähentää näitä suorituskykyyn kohdistuvia vaikutuksia kokeilemalla seuraavia strategioita:

  • Käyttää erilliset SSD-levyt salattua virtuaalikoneiden tallennukseen salaukseen liittyvien toimintojen eristämiseksi.
  • Ajoita salaustehtävät hiljaisen toiminnan aikana järjestelmän ylikuormituksen välttämiseksi.
  • Rajoita raskaita kirjoitusoperaatioita salausprosessien ollessa käynnissä.
  • Minimoi kerrostetun salauksen käyttö tarpeettoman monimutkaisuuden vähentämiseksi.

Lisäksi priorisoi asianmukaista keskeiset johtamiskäytännöt ylläpitääksesi turvallisen ympäristön lisäämättä järjestelmän ylimääräistä kuormitusta.

Näiden toimenpiteiden avulla voit säilyttää tasapainon salauksen turvallisuusetujen ja järjestelmäsi suorituskykytarpeiden välillä.

Miten avaintenhallintapalvelin (KMS) suojaa ja hallitsee salausavaimia VMware-ympäristössä?

Avainhallintapalvelin (KMS) on välttämätön salausavainten suojaamiseksi VMware-ympäristössä. Se valvoo näiden avainten koko elinkaarta – niiden luomista, turvallista tallennusta, kierrätystä ja lopullista tuhoamista. Toteuttamalla vahvat käyttöoikeuksien valvonnan, avainten käytön seurantaja varmistaen korkea käytettävyysKMS suojaa salausavaimia luvattomalta käytöltä ja minimoi tietojen menetyksen riskin.

KMS:n asianmukainen konfigurointi ja säännöllinen valvonta ovat ratkaisevan tärkeitä turvallisuuden ylläpitämiseksi. Ominaisuudet, kuten Tuo oma avaimesi (BYOK) antaa organisaatioille täyden hallinnan salausavaimiinsa, mikä lisää ylimääräisen suojauskerroksen ja auttaa täyttämään vaatimustenmukaisuusvaatimukset. Vakiintuneiden parhaiden käytäntöjen noudattaminen auttaa suojaamaan arkaluonteisia tietoja ja samalla pitämään toiminnan sujuvana.

Mitkä ovat parhaat käytännöt salattujen VMware-virtuaalikoneiden turvalliseen varmuuskopiointiin ja palauttamiseen?

Kuinka varmuuskopioida ja palauttaa salattuja VMware-virtuaalikoneita turvallisesti

Salattujen VMware-virtuaalikoneiden (VM) kanssa on erittäin tärkeää varmistaa niiden turvallisuus varmuuskopioinnin ja palautuksen aikana. Tässä on joitakin keskeisiä käytäntöjä, joita kannattaa noudattaa:

  • Valitse salausta tukevat varmuuskopiointityökalutValitse varmuuskopiointiratkaisuja, jotka ovat täysin VMwaren salauskäytäntöjen mukaisia ja yhteensopivia kokoonpanosi kanssa. Tämä varmistaa saumattoman toiminnan vaarantamatta turvallisuutta.
  • Pidä salausavainten tunnukset ja tallennuskäytännöt yhdenmukaisinaSekä varmuuskopioinnin että palautuksen aikana on tärkeää käyttää samaa salausavaintunnusta ja tallennuskäytäntöä tietojen eheyden säilyttämiseksi.
  • Varmista, että avaintenhallintajärjestelmäsi (KMS) on luotettavaKMS-järjestelmäsi tulee olla oikein konfiguroitu ja käytettävissä koko prosessin ajan, jotta salausavaimia voidaan hallita turvallisesti.
  • Ota tallennuskäytännöt uudelleen käyttöön palautuksen jälkeenKun olet palauttanut virtuaalikoneen, varmista, että määrität oikean tallennuskäytännön uudelleen ottaaksesi salauksen uudelleen käyttöön. Tarkista, että kaikki salausasetukset ovat oikein käytössä.
  • Suojaa salausavaimesiSäilytä avaimia turvallisessa paikassa ja rajoita pääsy vain valtuutetuille henkilöille. Tämä auttaa estämään luvattoman pääsyn arkaluonteisiin tietoihin.

Noudattamalla näitä ohjeita voit suojata tietosi ja vähentää riskejä salattujen VMware-virtuaalikoneiden varmuuskopioinnin ja palautuksen aikana.

Aiheeseen liittyvät blogikirjoitukset

fi