vSphere 仮想マシンの暗号化を使用すると、暗号化された仮想マシンを作成したり、既存の仮想マシンを暗号化したりできます。機密情報が含まれるすべての仮想マシン ファイルを暗号化することで、仮想マシンが保護されます。この暗号化および復号化タスクを実行できるのは、暗号化権限が付与されている管理者だけです。

使用するキー

暗号化には 2 種類のキーを使用します。

  • ESXi ホストは内部キーを生成して使用し、仮想マシンとディスクを暗号化します。これは DEK として使用される XTS-AES-256 キーです。

  • vCenter Server は、KMS にキーを要求します。これはキー暗号化キー (KEK) として使用される AES-256 キーです。vCenter Server では各 KEK の ID のみが保存されます。キー自体は保存されません。

  • ESXi は、KEK を使用して内部キーを暗号化し、暗号化された内部キーをディスクに保存します。ESXi では KEK はディスクに保存されません。ホストが再起動されると、vCenter Server は、対応する ID を持つ KEK を KMS に要求して、ESXi で使用できるようにします。その後、ESXi は必要に応じて内部キーを復号化できます。

暗号化されるもの

vSphere 仮想マシンの暗号化機能は、仮想マシン ファイル、仮想ディスク ファイル、およびコア ダンプ ファイルの暗号化に対応しています。

仮想マシン ファイル

仮想マシンのほとんど、具体的には、VMDK ファイルに保存されていないゲスト データが暗号化されます。このファイル セットには、NVRAM、VSWP、および VMSN ファイルが含まれますが、これに限定されません。vCenter Server が KMS から取得するキーにより、内部キーおよびその他のシークレットが含まれる VMX ファイル内の、暗号化されたバンドルのロックが解除されます。

vSphere Web Client を使用して暗号化された仮想マシンを作成すると、すべての仮想ディスクがデフォルトで暗号化されます。既存の仮想マシンの暗号化など、その他の暗号化タスクについては、仮想マシンのファイルとは別に仮想ディスクを暗号化および復号化できます。

注:

暗号化された仮想ディスクを、暗号化されていない仮想マシンに関連付けることはできません。

仮想ディスク ファイル

暗号化された仮想ディスク (VMDK) ファイルのデータが、クリアテキストでストレージや物理ディスクに書き込まれたり、ネットワーク経由で転送されたりすることはありません。VMDK 記述子ファイルは、ほとんどがクリアテキストですが、暗号化されたバンドルに KEK のキー ID と内部キー (DEK) が含まれます。

vSphere API を使用すると、新しい KEK で表層の再暗号化操作、または新しい内部キーで深層の再暗号化操作を行うことができます。

コア ダンプ

暗号化モードが有効になっている ESXi ホストのコア ダンプは常に暗号化されます。vSphere 仮想マシンの暗号化とコア ダンプを参照してください。

注:

vCenter Server システムのコア ダンプは暗号化されません。vCenter Server システムへのアクセスは必ず保護してください。

注:

vSphere 仮想マシンの暗号化と連携できるデバイスおよび機能に関する制限については、仮想マシンの暗号化の相互運用性を参照してください。

暗号化されないもの

仮想マシンに関連付けられているファイルの中には、暗号化されないもの、または部分的に暗号化されるものがあります。

ログ ファイル

ログ ファイルには機密データが含まれていないため、暗号化されません。

仮想マシン設定ファイル

VMX および VMSD ファイルに保存される仮想マシン構成情報のほとんどが暗号化されません。

仮想ディスク記述子ファイル

キーなしでディスクを管理できるように、仮想ディスク記述子ファイルのほとんどが暗号化されません。

暗号化操作を実行できるユーザー

暗号化操作権限が割り当てられているユーザーのみが、暗号化操作を行うことができます。権限セットは細かく設定されています。暗号化操作権限を参照してください。デフォルトの管理者システム ロールには、すべての暗号化操作権限が含まれています。新しい非暗号化管理者ロールでは、暗号化操作権限を除くすべての管理者権限がサポートされます。

追加のカスタム ロールを作成することで、たとえば、あるユーザー グループに対して仮想マシンの暗号化のみを許可し、復号化は禁止することができます。

暗号化操作の実行方法

vSphere Web Client では、多くの暗号化操作がサポートされています。他のタスクについては、vSphere API を使用できます。

表 1. 暗号化操作のインターフェイス

インターフェイス

操作

詳細情報

vSphere Web Client

暗号化された仮想マシンの作成

仮想マシンの暗号化および復号化

本書。

vSphere Web Services SDK

暗号化された仮想マシンの作成

仮想マシンの暗号化および復号化

仮想マシンの再暗号化(深層)を実行します(別の DEK を使用)。

仮想マシンの再暗号化(表層)を実行します(別の KEK を使用)。

vSphere Web Services SDK プログラミング ガイド

VMware vSphere API リファレンス

crypto-util

暗号化されたコア ダンプを復号化し、ファイルが暗号化されているかどうかを確認して、ESXi ホストで他の管理タスクを直接実行します。

コマンドライン ヘルプ。

vSphere 仮想マシンの暗号化とコア ダンプ