在 vSphere 7.0 Update 2 及更高版本中,您可以使用内置 vSphere Native Key Provider 启用加密技术,例如虚拟 TPM (vTPM)。

所有 vSphere 版本均包含 vSphere Native Key Provider,它不需要外部密钥服务器(业内也称为密钥管理服务器 (KMS))。您还可以将 vSphere Native Key Provider 用于 vSphere 虚拟机加密,但必须购买 VMware vSphere® Enterprise Plus Edition™。

什么是 vSphere Native Key Provider

对于标准密钥提供程序或可信密钥提供程序,您必须配置外部密钥服务器。在标准密钥提供程序设置中,vCenter Server 从外部密钥服务器获取密钥并将它们分发给 ESXi 主机。在可信密钥提供程序 (vSphere Trust Authority) 设置中,可信 ESXi 主机直接获取密钥。

通过 vSphere Native Key Provider,不再需要外部密钥服务器。vCenter Server 会生成一个称为密钥派生密钥 (KDK) 的主密钥,并将其推送到集群中的所有 ESXi 主机。然后,ESXi 主机生成数据加密密钥(即使未连接到 vCenter Server),以启用 vTPM 等安全性功能。所有 vSphere 版本均包含 vTPM 功能。要将 vSphere Native Key Provider 用于 vSphere 虚拟机加密,您必须已购买 vSphere Enterprise Plus Edition。vSphere Native Key Provider 可与现有密钥服务器基础架构共存。

vSphere Native Key Provider:

  • 允许使用 vTPM、vSphere 虚拟机加密vSAN 静态数据加密(如果不需要或不想使用外部密钥服务器)。
  • 仅适用于VMware基础架构产品。
  • 不提供外部互操作性、KMIP 支持、硬件安全模块或传统的第三方外部密钥服务器为实现互操作性或法规遵从性而提供的其他功能。如果您的组织需要将此功能用于非 VMware 产品和组件,请安装传统的第三方密钥服务器。
  • 帮助满足无法使用或不想使用外部密钥服务器的组织的需求。
  • 改进了数据清理和系统重用实践,允许在难以清理的介质(如闪存和 SSD)上早些使用加密技术。
  • 提供密钥提供程序之间的转换路径。vSphere Native Key Provider 与 VMware 标准密钥提供程序和 vSphere Trust Authority 可信密钥提供程序兼容。
  • 可用于使用增强型链接模式配置或 vCenter Server 高可用性配置的多个 vCenter Server 系统。
  • 可用于在所有版本的 vSphere 中启用 vTPM,以及对虚拟机进行加密(但需要购买包含 vSphere 虚拟机加密的 vSphere Enterprise Plus Edition)。vSphere 虚拟机加密与 vSphere Native Key Provider 配合使用,就像与 VMware 标准和可信密钥提供程序一起使用一样。
  • 可用于通过使用适当的 vSAN 许可证启用 vSAN 静态数据加密。
  • 可使用可信平台模块 (TPM) 2.0 提高安全性(如果 ESXi 主机中安装了 TPM)。还可以将 vSphere Native Key Provider 配置为仅对安装了 TPM 2.0 的主机可用。如果使用 TPM,它必须是 TPM 2.0。vSphere Native Key Provider 不支持 TPM 1.2。
注: ESXi 主机无需 TPM 2.0 即可使用 vSphere Native Key Provider。但是,TPM 2.0 确实会提高安全性。

与所有安全解决方案一样,请考虑系统设计、实施注意事项和使用 Native Key Provider 的利弊。例如,ESXi 密钥持久性避免了要求密钥服务器始终可用的依赖。但是,由于密钥持久性将 Native Key Provider 加密信息存储在集群主机上,因此,如果恶意操作者盗用 ESXi 主机本身,您仍会面临风险。由于环境各不相同,因此请根据您所在组织的法规和安全需求、运维要求以及风险承受能力来评估和实施安全控制。

有关 vSphere Native Key Provider 的更多概览信息,请参见 https://core.vmware.com/native-key-provider

vSphere Native Key Provider 要求

要使用 vSphere Native Key Provider,您必须:

  • 确保 vCenter Server 系统和 ESXi 主机均运行 vSphere 7.0 Update 2 或更高版本。
  • 在集群中配置 ESXi 主机。尽管不是必需要求,但最好使用尽可能相同的 ESXi 主机,包括 TPM。集群主机相同时,集群管理和功能启用要容易得多。
  • 配置基于 vCenter Server 文件的备份和还原,并安全地存储备份,因为它们包含密钥派生密钥。请参见 《vCenter Server 安装和设置》 文档中有关 vCenter Server 备份和还原的主题。

要使用 vSphere Native Key Provider 执行 vSphere 虚拟机加密vSAN 加密,必须购买包含适当许可证的产品版本。

vSphere Native Key Provider 和增强型链接模式

可以配置一个 vSphere Native Key Provider,并使其可在增强型链接模式下配置的 vCenter Server 系统之间共享。此场景中的简要步骤包括:

  1. 在一个 vCenter Server 系统上创建 vSphere Native Key Provider
  2. 在创建 Native Key Provider 的 vCenter Server 上备份 Native Key Provider
  3. 导出 Native Key Provider
  4. 将 Native Key Provider 还原到增强型链接模式配置中的其他 vCenter Server 系统(请参见使用 vSphere Client 还原 vSphere Native Key Provider

vSphere Native Key Provider 特权

与标准和可信密钥提供程序一样,vSphere Native Key Provider 使用Cryptographer.* 特权。此外,vSphere Native Key Provider 使用 vSphere Native Key Provider 专用的 Cryptographer.ReadKeyServersInfo 特权列出 vSphere Native Key Provider。请参见加密操作特权

vSphere Native Key Provider 警报

您必须备份 vSphere Native Key Provider。如果未备份 vSphere Native Key Provider,vCenter Server 将生成警报。备份已为其生成警报的 vSphere Native Key Provider 时,vCenter Server 将重置警报。默认情况下,vCenter Server 每天检查一次备份的 vSphere Native Key Provider。可以通过修改 vpxd.KMS.backupCheckInterval 选项来更改检查时间间隔。

vSphere Native Key Provider 定期修复检查

vCenter Server 定期检查 vCenter ServerESXi 主机上的 vSphere Native Key Provider 配置是否匹配。当主机状态更改时(例如,当您将主机添加到集群时),集群上的密钥提供程序配置会与主机上的配置产生差异。如果主机上的配置 (keyID) 不同,vCenter Server 将自动更新主机的配置。无需任何人工干预。

默认情况下,vCenter Server 每五分钟检查一次配置。可以使用 vpxd.KMS.remediationInterval 选项修改时间间隔。

将 vSphere Native Key Provider 用于灾难恢复站点

可以将 vSphere Native Key Provider 用于备份灾难恢复站点。通过将 vSphere Native Key Provider 备份从主站点的 vCenter Server 导入到备份灾难恢复站点的 vCenter Server,该集群能够解密并运行加密的虚拟机。

始终测试 DR 解决方案。不要以为您的解决方案可正常运行,无需尝试恢复。确保 DR 站点也可以使用 vSphere Native Key Provider 备份的副本。

vSphere Native Key Provider 中不支持的功能

目前,vSphere Native Key Provider 不支持以下各项:

  • 第一类磁盘 (FCD) 加密

在非链接的 vCenter Server 系统之间迁移使用 vSphere Native Key Provider 的虚拟机

将虚拟机(通过 vSphere Native Key Provider 加密或启用了 vTPM)从一个未链接的 vCenter Server 系统迁移到另一个未链接系统的简要步骤包括:

  1. 将 vSphere Native Key Provider 还原到待迁移到的 vCenter Server 系统。
  2. 使用 vMotion 迁移虚拟机。