分散ネットワーク暗号化 (DNE) は、仮想マシンの一般的な機能で、グループ キーの概念に基づいてハイパーバイザーでネットワーク トラフィックを暗号化します。管理者が共通の機能または要件を定義した仮想マシンは 1 つのキーを共有します。NSX Manager は、きめ細かいルールベースのグループ キー管理が可能な使用モデルを提供します。

暗号化ルールには、パケットのプロパティに基づいて個々のネットワーク パケットを処理する方法が定義されています。パケットに実行される処理は、認証と暗号化または復号、または認証のみです。DNE は、VMware の DNE Key Manager アプライアンスを使用して、DNE のキー管理を行います。

次の図は、DNE と DNE Key Manager を NSX Transformers アーキテクチャ全体に適合させる方法を示しています。
図 1. 分散ネットワーク暗号化アーキテクチャ

分散ネットワーク暗号化アーキテクチャの図は、DNE と Key Manager を NSX Transformers アーキテクチャ全体に適合させる方法を示しています。
次の表では、他のコンポーネントと DNE の通信について説明します。
表 1. 分散ネットワーク暗号化アーキテクチャのコンポーネント
プレーン コンポーネント 説明
管理 NSX Manager DNE サービスの設定と管理を処理する DNE Manager コンポーネント。ルールおよびポリシー管理、発行、ログの記録などを行います。管理者は、NSX Manager のグラフィカル ユーザー インターフェースまたは REST API を使用して、暗号化ルール、暗号化ルール セクションおよびポリシーを定義します。
コントロール NSX Controller ルールの変換、発行、シャーディング、キー配布のアクセス制御を処理する DNE コントローラ コンポーネント。
データ DNE エージェント ユーザー環境の DNE フィルタのエージェント。DNE フィルタと次のコンポーネント間で通信チャネルとして機能します。
  • NSX Manager(統計)
  • NSX Controller(構成)
  • DNE Key Manager(キー配布)
DNE Key Manager 2 つのエンドポイント間の暗号化され、認証された接続で使用されるキーを管理します。DNE Key Manager は、ハイパーバイザーからの要求に従ってキーの生成、格納、返却を行います。NSX Controller は、どのハイパーバイザーがどのキーを取得するのかを制御します。
DNE フィルタ ネットワーク パケットを暗号化し、認証します。

主な概念

次の表では、DNE の主な概念について説明します。

表 2. 分散ネットワーク暗号化の主な概念
用語 定義
暗号化 送信元と目的の受信者のみが内容を読み取ることができるように、データの機密性を維持したまま、メッセージをネイティブ形式からコード化された形式に変換すること。
復号 メッセージを暗号化された形式(コード化された形式)からネイティブ形式に変換すること。
認証 ネットワーク パケットが改ざんされているかどうかを確認するため、パケットの整合性を検証するプロセス。
暗号化ルール 保護するデータ フロー(送信元と宛先)、条件に一致した場合に実行するアクション(暗号化と認証、認証のみ、プレーンテキストで許可)、ポリシー適用ポイントを定義したルール。
暗号化ルール セクション グループとして管理される暗号化ルールのセット。
キー 認証と暗号化で使用される暗号化トークン。キーがペアになり、対称型になります(パブリック キーとプライベート キーのペアではありません)。各キーには、キー ID という一意の識別子が付きます。強度は 128 ビットです。
キー ポリシー ルールでキーが必要な場合、ネットワーク パケットに使用するキー インスタンスを決定するためにキー ポリシー (KP) が使用されます。KP には、一連のキーのパラメータとメタデータ、DNE Key Manager インスタンスの仕様が定義されています。
キーのローテーション DNE Key Manager から新しいキーを取得し、既存のキーの置き換えたり、新しいキーを追加するプロセス。キーのローテーションは、頻度または有効期限の設定に基づいて自動的に行われます。また、必要なときに手動で行うこともできます。キーのローテーションは、キーの失効よりも安全に行われます。
キーの失効 暗号化/復号に使用されているキーを無効にするプロセス。キーの失効は通常、データ漏えいなど、何らかの理由で 1 つ以上のキーが信頼できなくなったときに行います。キーの失効では、キーの使用を停止し、DNE Key Manager に新しいキーを要求します。ホストが新しいキーを待っている間、一部のパケットがドロップされる可能性があるため、失効はトラフィックに影響を及ぼします。
注: キーが失効し、DNE Key Manager または集中制御プレーンにアクセスできないなどの理由で新しいキーを使用できない場合は、古いキーが引き続き使用されます。このイベントについてのログ メッセージは、システム ログに記録されます。