vSphere 仮想マシンの暗号化を使用すると、暗号化された仮想マシンを作成したり、既存の仮想マシンを暗号化したりできます。機密情報が含まれるすべての仮想マシン ファイルを暗号化することで、仮想マシンが保護されます。この暗号化および復号化タスクを実行できるのは、暗号化権限が付与されている管理者だけです。
使用するキー
暗号化には 2 種類のキーを使用します。
- ESXi ホストは内部キーを生成して使用し、仮想マシンとディスクを暗号化します。これはデータ暗号化キー (DEK) として使用される XTS-AES-256 キーです。
- vCenter Server は、KMS にキーを要求します。これはキー暗号化キー (KEK) として使用される AES-256 キーです。vCenter Server では各 KEK の ID のみが保存されます。キー自体は保存されません。
- ESXi は、KEK を使用して内部キーを暗号化し、暗号化された内部キーをディスクに保存します。ESXi では KEK はディスクに保存されません。ホストが再起動されると、vCenter Server は、対応する ID を持つ KEK を KMS に要求して、ESXi で使用できるようにします。その後、ESXi は必要に応じて内部キーを復号化できます。
暗号化されるもの
vSphere 仮想マシンの暗号化機能は、仮想マシン ファイル、仮想ディスク ファイル、およびコア ダンプ ファイルの暗号化に対応しています。
- 仮想マシン ファイル
- 仮想マシンのほとんど、具体的には、VMDK ファイルに保存されていないゲスト データが暗号化されます。このファイル セットには、NVRAM、VSWP、および VMSN ファイルが含まれますが、これに限定されません。 vCenter Server が KMS から取得するキーにより、内部キーおよびその他のシークレットが含まれる VMX ファイル内の、暗号化されたバンドルのロックが解除されます。
- 仮想ディスク ファイル
- 暗号化された仮想ディスク (VMDK) ファイルのデータが、クリアテキストでストレージや物理ディスクに書き込まれたり、ネットワーク経由で転送されたりすることはありません。VMDK 記述子ファイルは、ほとんどがクリアテキストですが、暗号化されたバンドルに KEK のキー ID と内部キー (DEK) が含まれます。
- コア ダンプ
-
暗号化モードが有効になっている
ESXi ホストのコア ダンプは常に暗号化されます。
vSphere 仮想マシンの暗号化とコア ダンプを参照してください。
注: vCenter Server システムのコア ダンプは暗号化されません。 vCenter Server システムへのアクセスは必ず保護してください。
暗号化されないもの
暗号化操作を実行できるユーザー
暗号化操作権限が割り当てられているユーザーのみが、暗号化操作を行うことができます。権限セットは細かく設定されています。暗号化操作権限を参照してください。デフォルトの管理者システム ロールには、すべての暗号化操作権限が含まれています。新しい非暗号化管理者ロールでは、暗号化操作権限を除くすべての管理者権限がサポートされます。
追加のカスタム ロールを作成することで、たとえば、あるユーザー グループに対して仮想マシンの暗号化のみを許可し、復号化は禁止することができます。
暗号化操作の実行方法
vSphere Web Client では、多くの暗号化操作がサポートされています。他のタスクについては、vSphere API を使用できます。
インターフェイス | 操作 | 詳細情報 |
---|---|---|
vSphere Web Client | 暗号化された仮想マシンの作成 仮想マシンの暗号化および復号化 |
本書。 |
vSphere Web Services SDK | 暗号化された仮想マシンの作成 仮想マシンの暗号化および復号化 仮想マシンの再暗号化(深層)を実行します(別の DEK を使用)。 仮想マシンの再暗号化(表層)を実行します(別の KEK を使用)。 |
vSphere Web Services SDK プログラミング ガイド VMware vSphere API リファレンス |
crypto-util | 暗号化されたコア ダンプを復号化し、ファイルが暗号化されているかどうかを確認して、ESXi ホストで他の管理タスクを直接実行します。 | コマンドライン ヘルプ。 |