Enkripcija virtualnih strojeva u VMwareu osigurava zaštitu podataka na razini hipervizora, štiteći virtualne strojeve (VM) od potencijalnih prijetnji i zadovoljavajući regulatorne standarde poput PCI DSS-a, HIPAA-e i GDPR-a. Uvedena u vSphere 6.5, ova značajka šifrira kritične VM komponente kao što su virtualni diskovi, memorija i swap datoteke pomoću XTS-AES-256 enkripcije. Poslužitelj za upravljanje ključevima (KMS) upravlja ključevima za šifriranje, osiguravajući sigurnost i usklađenost.

Ključne značajke:

• Kako to radiŠifrira podatke virtualnog stroja pomoću sustava s dva ključa (ključ za šifriranje podataka i ključ za šifriranje ključa) putem vSphere API-ja.
• PrednostiŠtiti osjetljive podatke, podržava migraciju u oblak i integrira se s vSphere alatima.
• KompromisiMože smanjiti propusnost NVMe za 30–50% i povećati korištenje CPU-a.
• Upravljanje ključemZahtijeva pouzdan KMS koji podržava KMIP 1.1 za sigurnu pohranu i distribuciju ključeva.
• Najbolji primjeri iz prakseKoristite kontrolu pristupa temeljenu na ulogama (RBAC), omogućite AES-NI u procesorima, pratite događaje šifriranja i osigurajte redundanciju KMS-a.

Prilikom postavljanja enkripcije uspostavite povjerenje između vCentera i KMS-a, primijenite pravila enkripcije na virtualne strojeve i prilagodite tijekove rada sigurnosnih kopija za enkriptirana okruženja. To osigurava sigurnost podataka bez ugrožavanja funkcionalnosti ili usklađenosti.

Konfiguriranje pružatelja ključeva za šifriranje podataka u stanju mirovanja

Osnove upravljanja ključevima

Učinkovito upravljanje ključevima je okosnica enkripcije virtualnih strojeva (VM). Bez pouzdanog poslužitelja za upravljanje ključevima (KMS), šifrirani VM-ovi mogu postati nedostupni, što dovodi do potpuni gubitak podatakaRazumijevanjem načina rada KMS-a i usvajanjem dobrih strategija upravljanja možete zaštititi svoju investiciju u šifriranje, a istovremeno osigurati nesmetano poslovanje. Evo pregleda koji će vam pomoći u implementaciji otpornih praksi upravljanja ključevima.

Kako funkcioniraju poslužitelji za upravljanje ključevima (KMS)

Poslužitelj za upravljanje ključevima upravlja stvaranjem, pohranom i distribucijom ključeva za šifriranje za vašu VMware infrastrukturu. Koristi asimetrični algoritam šifriranja, osiguravajući sigurnu podjelu između upravljanja ključevima i pohrane podataka. vCenter poslužitelj ne pohranjuje ključeve za šifriranje izravno; umjesto toga, održava popis identifikatora ključeva, dok su stvarni ključevi sigurno pohranjeni na KMS-u. Ova postavka štiti vaše ključeve čak i u slučaju kompromitiranja vCentera, jer ključevi ostaju zaštićeni na vanjskom KMS-u.

Evo kako to funkcionira: kada šifrirate virtualni stroj (VM), vCenter traži ključ od KMS-a. KMS generira i pohranjuje privatni ključ, a javni ključ šalje natrag u vCenter za zadatke šifriranja. Alati za sigurnosno kopiranje poput Veeam Backup & Replication slijede sličan obrazac, tražeći ključeve za određene operacije ili repozitorije.

VMware nalaže da KMS rješenja podržavaju standard Key Management Interoperability Protocol (KMIP) 1.1., osiguravajući kompatibilnost među dobavljačima uz održavanje dosljednih sigurnosnih praksi. KMIP komunikacija se obično odvija preko porta 5696, stoga je uspostavljanje pouzdane mrežne veze između vCentera i vašeg KMS klastera ključno.

Ako KMS postane nedostupan, sve VM operacije koje zahtijevaju pristup ključem neće uspjeti. Zbog toga je osiguravanje dostupnosti vašeg KMS-a glavni prioritet nakon što je šifriranje uspostavljeno.

Najbolje prakse u upravljanju ključnim elementima

Sada kada razumijete osnove KMS-a, evo nekoliko najboljih praksi za jačanje vaše strategije upravljanja ključnim osobama:

• Ugradite redundanciju u svoju KMS postavku. Postavite svoj KMS na zaseban hardver od primarne vSphere infrastrukture i stvorite KMS klaster s 2-3 hosta. To eliminira pojedinačne točke kvara i osigurava kontinuirani rad.
• Razmotriti KMS rješenja hostirana u oblaku. Implementacija vašeg KMS-a u javnim cloud okruženjima poput Amazon Web Servicesa ili Microsoft Azurea može ponuditi geografsku odvojenost i iskoristiti pouzdanost pružatelja cloud usluga, a istovremeno zadržati kontrolu nad vašim ključevima za šifriranje.
• Pažljivo upravljajte životnim ciklusom ključeva. VMware nudi naredbe poput ukloniKljuč i ukloniKljučeve za upravljanje ključevima, ali oni uklanjaju ključeve samo iz vCentera – ne i iz KMS-a. Koristite sila oprezno, jer može zaključati virtualne strojeve ako su ključevi još uvijek u upotrebi. Uklanjanje ključeva izravno s ESXi hosta može učiniti šifrirane virtualne strojeve neupotrebljivima.
• Redovito izrađujte sigurnosne kopije vCenter Servera. Uključite sve konfiguracije ugrađenog pružatelja ključeva u svoje sigurnosne kopije i sigurno ih pohranite na odvojenoj lokaciji od vašeg primarnog podatkovnog centra. Dokumentirajte postupke oporavka kako biste osigurali brzu obnovu tijekom prekida.
• Šifrirajte VCSA sigurnosne kopije kada koristite vSphere Native Key Provider (NKP). Prije implementacije NKP-a u produkciji, preuzmite i sigurno pohranite privatni ključ za hitne slučajeve u kojima normalan pristup ključu nije dostupan.
• Pratite dostupnost ključnih poslužitelja. Redovito provjeravajte status ključeva na KMS-u i odmah rješavajte sve probleme. Implementirajte pravila za rotaciju ključeva kako biste periodično povlačili i obnavljali ključeve, održavajući sigurnost tijekom vremena.
• Opremite ESXi hostove s TPM-ovima (Trusted Platform Modules). TPM-ovi poboljšavaju sigurnost štiteći pristup ključevima tijekom kvarova hardvera, pružajući dodatnu zaštitu tijekom pokušaja oporavka.
• Izbjegavajte nepotrebno slojevitost šifriranja. Kombiniranje enkripcije podataka u mirovanju vSAN-a s enkripcijom virtualnog stroja može povećati složenost upravljanja i utjecati na performanse bez značajnih sigurnosnih dobitaka. Koristite oboje samo kada je to apsolutno neophodno.

Postavljanje šifriranja virtualnog stroja u vSphereu

Kada je riječ o zaštiti vaših virtualnih strojeva, čvrste prakse upravljanja ključevima samo su početak. Implementacija šifriranja virtualnih strojeva u vašem vSphere okruženju uključuje tri bitna koraka: uspostavljanje povjerenja između vašeg vCenter Servera i vašeg klastera poslužitelja za upravljanje ključevima (KMS), postavljanje pravila šifriranja i primjenu tih pravila na vaša virtualna računala. Svaka faza jača sigurnost vašeg okruženja.

Kako omogućiti šifriranje virtualnog stroja

Započnite konfiguriranjem vašeg poslužitelja za upravljanje ključevima. Većina administratora implementira svoj KMS kao virtualni uređaj unutar produkcijskog ili upravljačkog klastera, često s više čvorova radi bolje pouzdanosti.

Prvi zadatak je uspostaviti povjerenje između vašeg vCenter Servera i KMS klastera. Otvorite Konfigurirati izbornik u vSphere klijentu i idite na Poslužitelji za upravljanje ključevima > DodajOvo će prikazati Dodaj KMS dijaloški okvir u kojem možete stvoriti novi klaster ili se povezati s postojećim. Morat ćete navesti detalje poput naziva klastera, adrese poslužitelja, priključka poslužitelja i opcionalnih postavki proxyja, zajedno s potrebnim vjerodajnicama za autentifikaciju.

Nakon što je veza uspostavljena, Učinite vCenter pouzdanim KMS-om Pojavit će se dijaloški okvir. Kliknite Povjerenje za nastavak, zatim odaberite Prikaži detalje i kliknite na UČINITE KMS POVJERENIM VCENTROM gumb za nastavak. U Prenesi KMS vjerodajnice U odjeljku prenesite datoteke KMS certifikata i privatnog ključa. Nakon što prenesete obje datoteke, kliknite Uspostavite povjerenje za dovršetak postavljanja dvosmjernog povjerenja.

S uspostavljenim povjerenjem spremni ste za šifriranje svojih virtualnih strojeva. Imajte na umu da se virtualni strojevi mogu šifrirati samo kada su isključeni, stoga je najbolje to zakazati tijekom razdoblja održavanja. Za šifriranje diska virtualnog stroja, desnom tipkom miša kliknite virtualni stroj u inventaru vSphere klijenta i odaberite Pravila virtualnog stroja > Uredi pravila pohrane virtualnog strojaU Uredi pravila pohrane virtualnog stroja dijalog, odaberite Pravila šifriranja virtualnog stroja kako bi se omogućilo šifriranje diska(ova) virtualnog stroja. Ovaj pristup omogućuje vam ciljanje određenih diskova za šifriranje na temelju osjetljivosti podataka koje sadrže.

Nakon što je šifriranje omogućeno, morat ćete razmotriti kako to utječe na vaše tijekove rada za sigurnosno kopiranje i vraćanje.

Razmatranja za sigurnosno kopiranje i vraćanje

Nakon postavljanja enkripcije, ključno je prilagoditi procese sigurnosne kopije i vraćanja podataka. Sigurnosne kopije enkriptiranih virtualnih strojeva dešifriraju se tijekom procesa sigurnosne kopije, što znači da vaše rješenje za sigurnosnu kopiju automatski obrađuje dešifriranje prije nego što se podaci zapišu na medij za sigurnosnu kopiju. Radi održavanja sigurnosti, VMware predlaže zasebno šifriranje medija za sigurnosnu kopiju kako bi se osigurala zaštita podataka tijekom cijelog životnog ciklusa sigurnosne kopije.

Vraćanje šifriranih virtualnih strojeva zahtijeva određenu pripremu. Šifrirani virtualni strojevi ne šifriraju se automatski ponovno nakon vraćanja; morat ćete ponovno primijeniti pravila pohrane nakon što je vraćanje dovršeno. Agenti za sigurnosno kopiranje trebali bi zadržati detalje pravila pohrane za šifrirane diskove i ponovno ih primijeniti tijekom postupka vraćanja. Ako izvorna pravila nisu dostupna, agent za sigurnosno kopiranje trebao bi vas zatražiti da odaberete novo pravilo ili da se prema zadanim postavkama odlučite za pravilo pohrane šifriranog virtualnog stroja.

Ključno je sačuvati ključne elemente konfiguracije tijekom izrade sigurnosnih kopija. Konkretno, ConfigInfo.keyId i šifriranje.paket iz izvorne konfiguracije virtualnog stroja potrebni su za vraćanje šifriranog virtualnog stroja s njegovim izvornim ključevima. Osigurajte da vaše sigurnosne kopije uključuju ove elemente, zajedno s pravilima pohrane. Prilikom vraćanja, navedite ove vrijednosti u novom virtualnom stroju. Konfiguracijska specifikacijaAko izvorni ključevi za šifriranje nisu dostupni, virtualni stroj se i dalje može šifrirati novim ključevima, ali izvorna NVRAM datoteka može postati neupotrebljiva. U takvim slučajevima možete koristiti generičku NVRAM datoteku, iako virtualni strojevi s omogućenim UEFI-jem možda trebaju ponovno konfigurirati Secure Boot.

Nisu sva rješenja za sigurnosno kopiranje podržana šifriranim virtualnim strojevima, stoga provjerite kompatibilnost s arhitekturom sigurnosnih kopija prije omogućavanja šifriranja. Razvijte jasne politike vraćanja i planirajte ponovnu primjenu šifriranja odmah nakon vraćanja kako biste osigurali da su ključevi za šifriranje dostupni kada budu potrebni.

Najbolje prakse konfiguracije

S omogućenom enkripcijom, još je važnije redovito izrađivati sigurnosne kopije konfiguracija vCenter Servera. Obavezno uključite sve postavke Embedded Key Provider u sigurnosne kopije i sigurno ih pohranite na lokaciju odvojenu od vašeg primarnog podatkovnog centra. Temeljito dokumentirajte postupke oporavka i redovito ih testirajte kako biste bili sigurni da rade kako se očekuje. Ovaj proaktivni pristup minimizira vrijeme zastoja i osigurava da ste spremni za svaki scenarij.

Sigurnosne politike i najbolje prakse

Nadovezujući se na raniju raspravu o upravljanju ključevima i šifriranju virtualnih strojeva, implementacija snažnih sigurnosnih politika ključna je za zaštitu vaše virtualne infrastrukture. Zaštita šifriranih virtualnih strojeva zahtijeva stroge kontrole pristupa, kontinuirano praćenje i održavanje učinkovitosti performansi. Učinkovite administrativne prakse ključne su za održavanje sigurnosti i pouzdanosti vaše postavke šifriranja.

Izrada pravila sigurnog pristupa

Uspostavljanje Kontrola pristupa temeljena na ulogama (RBAC) je temeljno za osiguranje bilo kojeg VMware okruženja. Definirajte uloge kao što su administratori, operateri, programeri i revizori te svakoj ulozi dodijelite samo dopuštenja potrebna za njihove zadatke. Na primjer:

• AdministratoriZahtijeva potpuni pristup pravilima šifriranja i upravljanju ključevima.
• OperatoriTrebao bi obavljati samo zadatke poput uključivanja i isključivanja virtualnih strojeva.
• ProgrameriMoraju biti ograničeni na dodijeljene virtualne strojeve bez mogućnosti promjene postavki šifriranja u produkciji.

Za poboljšanje RBAC-a, implementirajte dvofaktorska autentifikacija (2FA). Ovaj dodatni sloj sigurnosti posebno je važan za šifrirane virtualne strojeve, jer kompromitirani vjerodajnice mogu otkriti osjetljive podatke u cijeloj infrastrukturi.

Druga ključna mjera je segmentacija mrežeIzolirajte kritične šifrirane virtualne strojeve postavljanjem na odvojene mrežne segmente, korištenjem vatrozida za regulaciju prometa i postavljanjem bastionskih hostova za siguran pristup upravljanju. Ovaj pristup osigurava da čak i ako je jedan segment probijen, osjetljivi virtualni strojevi ostaju zaštićeni.

Osim toga, provedite korištenje jake lozinke koje kombiniraju slova, brojeve i simbole. Potaknite korištenje lozinki – duljih, pamtljivijih nizova koje je teže probiti – i zahtijevaju redovito ažuriranje lozinki radi održavanja sigurnosti.

Redovito pregledavajte i ažurirajte dodjele uloga kako bi se uskladile s organizacijskim promjenama. Kada zaposlenici promijene uloge ili odu, odmah prilagodite ili opozovite njihova dopuštenja kako biste spriječili neovlašteni pristup.

Nakon što su pravila pristupa uspostavljena, usredotočite se na praćenje aktivnosti šifriranja u stvarnom vremenu.

Praćenje i bilježenje događaja šifriranja

Pažljivo praćenje ključno je za otkrivanje problema poput neuspjeha u preuzimanju ključeva ili pogrešaka u upravljanju šifriranjem. Tretirajte izvatke jezgre i dešifrirane datoteke podrške kao vrlo osjetljive. Uvijek koristite lozinku za ponovno šifriranje izvatka jezgre prilikom prikupljanja vm-support paketa i pažljivo rukujte tim datotekama ako je dešifriranje potrebno za analizu.

Proširite praćenje kako biste uključili zapisnici događaja šifriranjaPostavite automatska upozorenja koja će vas odmah obavijestiti ako Poslužitelj za upravljanje ključevima (KMS) postane nedostupan ili ako dohvaćanje ključa ne uspije. Budući da se šifrirani virtualni strojevi oslanjaju na neprekidan pristup ključu, svaki poremećaj može ozbiljno utjecati na rad.

Dokumentirajte svoje politike rotacije ključeva i pratite životne cikluse ključeva. Automatizirani sustavi trebali bi pratiti starost ključeva i osigurati pravovremenu zamjenu ključeva na temelju vašeg definiranog rasporeda.

Planiranje oporavka od katastrofe još je jedan ključni aspekt. Osigurajte da replicirani šifrirani virtualni strojevi na lokacijama za oporavak mogu pristupiti potrebnim ključevima za šifriranje. Redovito testirajte postupke oporavka, provjeravajte sigurnosne kopije ključeva i potvrdite da operacije vraćanja uključuju automatsko ponovno šifriranje virtualnih strojeva. Sustavi nadzora treba potvrditi usklađenost s tim politikama.

Kada se šifrirani virtualni strojevi izbrišu, odregistriraju ili premjeste u drugi vCenter, ponovno pokrenite pogođene ESXi hostove. Ovaj korak briše ključeve za šifriranje iz memorije, smanjujući rizik od curenja ključeva. Sustavi za nadzor trebali bi potvrditi ove operacije kao dio vašeg sigurnosnog protokola.

Uz uspostavljenu sigurnost i nadzor, bitno je riješiti problem utjecaja enkripcije na performanse.

Razmatranja performansi za šifrirane virtualne strojeve

Performanse šifriranja usko su povezane s vašim hardverom, posebno procesorom i pohranom. Osigurajte da AES-NI (Advanced Encryption Standard New Instructions) je omogućen u vašem BIOS-u, jer ova značajka značajno poboljšava učinkovitost šifriranja. Moderni procesori s naprednom podrškom za AES-NI mogu dodatno poboljšati performanse.

Imajte na umu da enkripcija može smanjiti NVMe propusnost za 30–50% i dvostruko korištenje CPU-a. Planirajte zadatke opskrbe i snimanja u skladu s tim. Međutim, za uređaje za pohranu s većim latencijama (stotine mikrosekundi ili više), dodatno opterećenje CPU-a možda neće značajno utjecati na latenciju ili propusnost.

Zadaci pružanja virtualnih strojeva poput uključivanja ili kloniranja obično imaju minimalne opterećenja. Međutim. operacije snimki – posebno na vSAN skladištima podataka – mogu se vidjeti utjecaji na performanse do 70%. Pažljivo planirajte ove operacije kako biste smanjili prekide.

Vremenski raspored je važan prilikom omogućavanja enkripcije. Enkripcija virtualnog stroja tijekom njegovog stvaranja puno je brža od enkripcije postojećeg. Za više virtualnih stroja razmislite o korištenju enkriptiranih predložaka za njihovu obnovu umjesto da ih pojedinačno pretvarate.

Konačno, osigurajte svoje ESXi poslužitelji Imajte dovoljno CPU resursa za rukovanje enkripcijom. Nedovoljan CPU kapacitet može smanjiti performanse za druga opterećenja na istom hostu. Pažljivo pratite korištenje CPU-a i po potrebi povećajte resurse.

Za aplikacije s ultra niskom latencijom, odvažite prednosti enkripcije u odnosu na potencijalne kompromise u performansama. U nekim slučajevima, enkripcija samo najosjetljivijih virtualnih strojeva uz oslanjanje na druge sigurnosne mjere - poput segmentacije mreže i strogih pravila pristupa - može biti bolji izbor za održavanje performansi.

sbb-itb-59e1987

Usporedba metoda šifriranja u virtualnim okruženjima

Kada je riječ o zaštiti podataka u virtualnim okruženjima, različite metode šifriranja nude jedinstvene prednosti i izazove. VMware VM šifriranje, šifriranje putem adaptera glavne sabirnice (HBA) i šifriranje temeljeno na preklopniku služe različitim svrhama, pomažući vam da pronađete ono što najbolje odgovara vašim potrebama.

VMware VM enkripcija

Ova metoda šifrira datoteke virtualnih strojeva (VM), datoteke virtualnih diskova i datoteke izvatka jezgre hosta izravno na izvoru. Oslanja se na poslužitelj za upravljanje ključevima (KMS), gdje vCenter Server traži ključeve za šifriranje, a ESXi hostovi koriste te ključeve za zaštitu ključa za šifriranje podataka (DEK) koji osigurava virtualne strojeve. Budući da se šifriranje događa točno tamo gdje se podaci stvaraju, ovaj pristup osigurava snažnu zaštitu od samog početka.

HBA enkripcija

HBA enkripcija osigurava podatke prilikom izlaska s poslužitelja, koristeći vanjske KMIP poslužitelje za upravljanje ključevima. Međutim, budući da se enkripcija implementira po hostu, može ograničiti mobilnost radnog opterećenja, čineći je manje fleksibilnom u dinamičkim okruženjima.

Šifriranje temeljeno na preklopniku

Ovaj pristup šifrira podatke na razini mreže, počevši od prvog mrežnog prekidača nakon što napusti host. Svaki prekidač upravlja vlastitim skupom ključeva putem vanjskih KMIP upravitelja ključeva. Međutim, podaci između hosta i prekidača ostaju nešifrirani, što bi moglo predstavljati rizik u određenim scenarijima.

Razmatranja performansi

Metode šifriranja različito utječu na performanse sustava. VMware šifriranje obično rezultira umjerenim smanjenjem performansi, kao što je pad NVMe propusnosti od 30–50% i do dvostruko veće korištenje CPU-a. U usporedbi s tim, šifriranje temeljeno na HBA-u i preklopnicima može uvesti značajno opterećenje, s porastom CPU ciklusa po I/O operaciji za 20% do čak 500%.

Tablica usporedbe metoda šifriranja

Značajka	VMware VM enkripcija	HBA enkripcija	Šifriranje temeljeno na preklopniku
Sigurnosni opseg	VM datoteke, virtualni diskovi, izvaci jezgre	Podaci u prijenosu od hosta	Podaci u prijenosu s preklopnika
Upravljanje ključem	Poslužitelj za upravljanje ključevima (KMS)	Vanjski KMIP poslužitelji	Vanjski KMIP poslužitelji po preklopniku
Utjecaj na izvedbu	Smanjenje propusnosti NVMe 30–50%; do 2× veća upotreba CPU-a	20–500% dodatni CPU po I/O-u	Razlikuje se ovisno o kapacitetu prekidača
Prenosivost	Potpuna mobilnost virtualnih strojeva među skladištima podataka	Ograničeno šifriranjem po hostu	Ograničeno tipkama specifičnim za prekidač
Podrška za višestruke zakupce	Potpuna podrška s pravilima za svaki virtualni stroj	Ograničeno u dijeljenim okruženjima	Kompleks za više zakupaca
Sigurnost prijenosa podataka	Šifrirano na izvoru	Šifrirano od hosta do pohrane	Nešifrirano od hosta do switcha
Hardverski zahtjevi	Procesori s omogućenim AES-NI-jem	HBA-specifični hardver	Kompatibilni mrežni prekidači
Složenost upravljanja	Temeljeno na politikama, centralizirano	Konfiguracija po hostu	Upravljanje ključevima po prekidaču
Kompatibilnost operativnih sustava	Neovisno o platformi	Neovisno o platformi	Neovisno o platformi
Utjecaj deduplikacije	Može smanjiti učinkovitost (šifriranje prije deduplikacije)	Nema utjecaja	Nema utjecaja

Odabir prave metode

Svaka metoda šifriranja usklađena je sa specifičnim slučajevima upotrebe. VMware šifriranje virtualnih strojeva idealno je za okruženja s više zakupaca, nudeći granularnu kontrolu nad pojedinačnim virtualnim strojevima i besprijekornu mobilnost između spremišta podataka i vCenter okruženja - sve uz očuvanje šifriranih podataka. HBA šifriranje dobro funkcionira za zaštitu podataka u prijenosu od hosta, iako konfiguracija po hostu može zakomplicirati mobilnost virtualnih strojeva. Šifriranje temeljeno na preklopnicima pruža sigurnost na razini mreže, ali može zahtijevati složenije upravljanje, posebno u postavkama s više preklopnika i putova pohrane.

VMware VM enkripcija također podržava automatizaciju i upravljanje temeljeno na pravilima, eliminirajući potrebu za dodatnim hardverom osim procesora koji podržavaju AES-NI. Pažljivim planiranjem resursa, kompromisi u pogledu performansi mogu se učinkovito upravljati.

Zaključak

Osiguranje VMware virtualni strojevi (VM-ovi) sa šifriranjem zahtijevaju promišljeno planiranje i predanost najboljim praksama. S više od 90% tvrtki koje se oslanjaju na virtualizacija poslužitelja i VMware koji dominira gotovo polovicom tržišta virtualizacije, zaštita tih okruženja ključni je aspekt organizacijske sigurnosti. Ovaj odjeljak naglašava ključna načela upravljanja, konfiguracije i oporavka koja su prethodno raspravljena.

Započnite uspostavljanjem snažnih praksi upravljanja životnim ciklusom ključeva. Razvijte jasne politike za rotaciju ključeva i osigurajte da je vaš poslužitelj za upravljanje ključevima (KMS) uvijek dostupan. Pažljivo rukujte imenima dobavljača ključeva kako biste spriječili zaključavanje virtualnog stroja ili komplikacije s oporavkom.

Ispravna konfiguracija je jednako važna. Omogućite AES-NI u BIOS-u kako biste poboljšali performanse šifriranja i, kad god je to moguće, šifrirajte virtualne strojeve tijekom njihovog stvaranja, a ne nakon implementacije, kako biste uštedjeli vrijeme obrade i resurse.

Sigurnosna kopija i oporavak u šifriranim okruženjima zahtijevaju posebnu pozornost. Nakon vraćanja podataka, odmah ponovno primijenite pravila šifriranja pohrane kako biste spriječili nenamjerno otkrivanje osjetljivih informacija.

Performanse su još jedan faktor koji se ne smije zanemariti. Slojevi šifriranja mogu utjecati na performanse virtualnog stroja, a značajke poput deduplikacije i kompresije na pozadinskoj pohrani mogu biti pogođene. Mudro dodijelite resurse i pažljivo pratite performanse sustava nakon implementacije šifriranja.

Operativne prakse su jednako važne kao i tehničke mjere. Uvijek koristite lozinke prilikom prikupljanja paketa podrške za virtualne strojeve, postavite pravila o izradi osnovnih podataka za šifrirane postavke i ponovno pokrenite ESX hostove nakon premještanja ili brisanja šifriranih virtualnih strojeva kako biste izbrisali ključeve za šifriranje iz memorije. U repliciranim okruženjima osigurajte da su ključevi za šifriranje dostupni na mjestima za oporavak kako biste izbjegli zastoje.

Za uspješnu implementaciju šifriranja virtualnog stroja, dosljednost je ključna. Odvojite vrijeme za temeljito planiranje, obučite svoj tim o odgovarajućim postupcima i postavite sustave praćenja za praćenje događaja šifriranja. Uz pravilnu pripremu i pridržavanje ovih najboljih praksi, možete zaštititi svoje virtualno okruženje uz održavanje operativne učinkovitosti. Za više detalja o svakoj temi pogledajte gornje odjeljke.

FAQ

Koji su utjecaji omogućavanja VMware VM enkripcije na performanse i kako se oni mogu smanjiti?

Upravljanje utjecajem enkripcije na VMware virtualne strojeve

Omogućavanje enkripcije za VMware virtualne strojeve može dovesti do povećanog korištenje CPU-a i potencijal Uska grla u I/O sustavu, posebno pri radu s visokoučinkovitom pohranom poput NVMe diskova. To se događa jer šifriranje zahtijeva dodatnu procesorsku snagu, što može opteretiti resurse tijekom velikih opterećenja.

Kako biste smanjili ove utjecaje na performanse, isprobajte sljedeće strategije:

• Koristiti namjenski SSD-ovi za šifriranu pohranu virtualnog stroja kako bi se izolirale operacije povezane s šifriranjem.
• Zakažite zadatke šifriranja tijekom razdoblja niske aktivnosti kako biste izbjegli preopterećenje sustava.
• Ograničite teške operacije pisanja dok su procesi šifriranja u tijeku.
• Minimizirajte korištenje slojevite enkripcije kako biste smanjili nepotrebnu složenost.

Osim toga, dajte prioritet ispravnom ključne upravljačke prakse kako biste održali sigurno okruženje bez pretjeranog opterećenja vašeg sustava.

Primjenom ovih mjera možete održati ravnotežu između sigurnosnih prednosti enkripcije i potreba za performansama vašeg sustava.

Kako poslužitelj za upravljanje ključevima (KMS) štiti i upravlja ključevima za šifriranje u VMware okruženju?

Poslužitelj za upravljanje ključevima (KMS) ključan je za zaštitu ključeva za šifriranje u VMware okruženju. Nadzire cijeli životni ciklus tih ključeva – rukovanje njihovim generiranjem, sigurnom pohranom, rotacijom i konačnim uništavanjem. Implementacijom snažne kontrole pristupa, praćenje korištenja ključevai osiguravanje visoka dostupnost, KMS štiti ključeve za šifriranje od neovlaštenog pristupa i minimizira rizik od gubitka podataka.

Ispravna konfiguracija i rutinsko praćenje KMS-a ključni su za održavanje sigurnosti. Značajke poput Ponesite svoj vlastiti ključ (BYOK) dati organizacijama potpunu kontrolu nad svojim ključevima za šifriranje, dodajući dodatni sloj sigurnosti i pomažući u ispunjavanju zahtjeva za usklađenost. Slijeđenje utvrđenih najboljih praksi pomaže u zaštiti osjetljivih podataka uz istovremeno nesmetano funkcioniranje.

Koje su najbolje prakse za sigurno sigurnosno kopiranje i vraćanje šifriranih VMware virtualnih strojeva?

Kako sigurno napraviti sigurnosnu kopiju i vratiti šifrirane VMware virtualne strojeve

Prilikom rada sa šifriranim VMware virtualnim strojevima (VM-ovima), osiguravanje njihove sigurnosti tijekom izrade sigurnosnih kopija i vraćanja podataka ključno je. Evo nekoliko ključnih praksi kojih se treba pridržavati:

• Odaberite alate za sigurnosno kopiranje koji su svjesni šifriranjaOdaberite rješenja za sigurnosno kopiranje koja su u potpunosti usklađena s VMwareovim pravilima šifriranja i kompatibilna su s vašim postavkama. To osigurava besprijekoran rad bez ugrožavanja sigurnosti.
• Održavajte dosljednost ID-ova ključeva za šifriranje i pravila pohraneTijekom izrade sigurnosne kopije i vraćanja podataka, korištenje istog ID-a ključa za šifriranje i pravila pohrane ključno je za održavanje integriteta podataka.
• Osigurajte pouzdanost vašeg sustava upravljanja ključevima (KMS)Vaš KMS treba biti pravilno konfiguriran i dostupan tijekom cijelog procesa kako bi se sigurno upravljalo ključevima za šifriranje.
• Ponovno primijenite pravila pohrane nakon vraćanjaNakon što vratite virtualni stroj, provjerite jeste li ponovno dodijelili ispravnu politiku pohrane kako biste ponovno omogućili šifriranje. Dvaput provjerite jesu li sve postavke šifriranja ispravno primijenjene.
• Osigurajte svoje ključeve za šifriranjeKljučeve pohranite na sigurno mjesto i ograničite pristup samo na ovlašteno osoblje. To pomaže u sprječavanju neovlaštenog pristupa osjetljivim podacima.

Slijedeći ove korake, možete zaštititi svoje podatke i smanjiti rizike tijekom sigurnosne kopije i oporavka šifriranih VMware virtualnih strojeva.

Povezani postovi na blogu

• Upravljanje ključem u hostingu end-to-end enkripcije
• 5 najboljih praksi hibridnog sigurnosnog kopiranja u oblaku
• Kako enkripcija štiti pohranu s više korisnika
• Najbolje prakse za zadržavanje u virtualiziranim okruženjima