分布式网络加密 (Distributed Network Encryption, DNE) 根据组加密概念在管理程序中对网络流量进行加密;在组加密概念中,具有管理员定义的常用功能或要求的虚拟机共享单个密钥。NSX Manager 提供了一种消费模型,它支持基于规则的精细组密钥管理。

加密规则包含根据数据包属性确定为各个网络数据包执行的操作的说明:对数据包进行身份验证和加密或解密,或者仅对数据包进行身份验证。DNE 依靠 VMware 提供的 DNE 密钥管理器设备进行 DNE 密钥管理。

下图显示了 DNE 和 DNE 密钥管理器如何在整个 NSX Transformers 架构中发挥作用:

图 1. 分布式网络加密架构


分布式网络加密架构图表显示了 DNE 和密钥管理器如何在整个 NSX Transformers 架构中发挥作用。

下表说明了 DNE 如何与其他组件进行交互。

表 1. 分布式网络加密架构组件

层面

组件

说明

管理

NSX Manager

包含一个 DNE 管理器组件,它处理 DNE 服务配置和管理,包括规则和策略管理、发布和日志记录。管理员通过 NSX Manager GUI 或 REST API 定义加密规则、加密规则区域和密钥策略。

控制

NSX Controller

包含一个 DNE 控制器组件,它处理规则转换和发布、分片以及密钥分发访问控制。

数据

DNE 代理

用户环境中的 DNE 筛选器的代理。作为 DNE 筛选器和以下组件之间的通信通道:

  • NSX Manager(统计信息)

  • NSX Controller(配置)

  • DNE 密钥管理器(密钥分发)

DNE 密钥管理器

管理用于在两个端点之间提供加密和身份验证连接的密钥。在管理程序发出请求时,DNE 密钥管理器生成、存储并返回密钥。NSX Controller 控制哪个管理程序获取哪些密钥。

DNE 筛选器

对网络数据包进行加密和身份验证。

重要概念

下表说明了 DNE 中的重要概念。

表 2. 分布式网络加密重要概念

术语

定义

加密

将消息从原始格式转换为编码格式,以便仅发送人和预期接收人可以读取其内容(从而保持数据的机密性)。

解密

将消息从加密(编码)格式转换回原始格式。

身份验证

验证网络数据包完整性以确定数据包是否有被篡改的过程。

加密规则

定义要保护的数据流量(源和目标)、在找到匹配项时执行的操作(加密和身份验证、仅身份验证或允许采用明文形式)以及策略实施点。

加密规则区域

作为组管理的加密规则集。

密钥

用于身份验证和加密的加密令牌。密钥成对使用并具有对称类型(不是公钥/私钥对)。每个密钥还具有唯一的标识符(称为密钥 ID)。强度为 128 位。

密钥策略

在规则需要使用密钥时,将使用密钥策略 (KP) 确定用于网络数据包的密钥实例。KP 为一组密钥定义所有参数和元数据以及 DNE 密钥管理器实例规范。

密钥轮换

从 DNE 密钥管理器中获取新密钥(以替换现有密钥或添加新密钥)的过程。密钥轮换是自动(根据频率或过期设置)或手动(按需)完成的。密钥轮换的处理方式比密钥吊销更主动一些。

密钥吊销

使密钥无法在加密/解密中使用的过程。在一个或多个密钥出于某种原因(如数据泄露事件)而变得不受信任时,通常会触发吊销。吊销将停止使用当前密钥,并启动从 DNE 密钥管理器中请求新密钥的过程。吊销会影响流量,因为在主机等待新密钥时可能会丢弃某些数据包。

注:

如果密钥已过期,并且由于 DNE 密钥管理器或中央控制层面不可访问等原因导致新密钥不可用,则将继续使用旧密钥。有关此事件的日志消息将写入系统日志。