vSphere 7.0 Update 2 以降では、組み込みの vSphere Native Key Provider を使用して、仮想 TPM (vTPM) などの暗号化テクノロジーを有効にすることができます。
vSphere Native Key Provider はすべての vSphere エディションに含まれており、外部キー サーバ(業界内の別名はキー管理サーバ (KMS))は不要です。vSphere 仮想マシンの暗号化に vSphere Native Key Provider を使用することもできますが、VMware vSphere® Enterprise Plus エディション™を購入する必要があります。
vSphere Native Key Provider について
標準キー プロバイダまたは信頼済みキー プロバイダでは、外部キー サーバを構成する必要があります。標準のキー プロバイダのセットアップでは、vCenter Server は外部キー サーバからキーを取得し、ESXi ホストに配布します。信頼済みキー プロバイダ (vSphere 信頼機関) のセットアップでは、信頼できる ESXi ホストがキーを直接取得します。
vSphere Native Key Provider で、外部キー サーバは不要になりました。vCenter Server は、Key Derivation Key (KDK) と呼ばれるプライマリ キーを生成し、クラスタ内のすべての ESXi ホストにプッシュします。次に、ESXi ホストはデータ暗号化キーを生成して(vCenter Server に接続されていない場合でも)、vTPM などのセキュリティ機能を有効にします。vTPM 機能は、すべての vSphere エディションに含まれています。vSphere 仮想マシンの暗号化に vSphere Native Key Provider を使用するには、vSphere Enterprise Plus エディションを購入する必要があります。vSphere Native Key Provider は、既存のキー サーバ インフラストラクチャと共存できます。
vSphere Native Key Provider:
- 外部キー サーバが不要な場合、または使用しない場合は、vTPM、vSphere 仮想マシンの暗号化、および vSAN の保存データの暗号化の使用を有効にします。
- VMware インフラストラクチャ製品でのみ機能します。
- 相互運用性またはコンプライアンスのために従来のサードパーティ製外部キー サーバが提供している外部の相互運用性、KMIP サポート、ハードウェア セキュリティ モジュール、またはその他の機能は提供しません。組織が VMware 以外の製品およびコンポーネントにこの機能を必要としている場合は、従来のサードパーティ製キー サーバをインストールします。
- 外部キー サーバを使用できない、または使用しない組織のニーズに対応できます。
- フラッシュや SSD などのサニタイズが困難なメディアで暗号化テクノロジーを早期に使用できるようにすることで、データのサニタイズとシステムの再利用の方法が改善されます。
- キー プロバイダ間の移行パスを提供します。vSphere Native Key Provider は、VMware 標準のキー プロバイダおよび vSphere Trust Authority の信頼されているキー プロバイダと互換性があります。
- 拡張リンク モード構成または vCenter Server High Availability 構成を使用して、複数の vCenter Server システムと連携します。
- vSphere のすべてのエディションで vTPM を有効にし、vSphere 仮想マシンの暗号化 を含む vSphere Enterprise Plus エディションを購入して仮想マシンを暗号化する場合に使用できます。vSphere 仮想マシンの暗号化は、VMware の標準キー プロバイダおよび信頼済みキー プロバイダと同様に、vSphere Native Key Provider と動作します。
- 適切な vSAN ライセンスを使用して vSAN の保存データの暗号化を有効にする場合に使用できます。
- Trusted Platform Module (TPM) 2.0 を使用して、ESXi ホストにインストールされている場合のセキュリティを強化できます。また、TPM 2.0 がインストールされているホストのみが使用できるように vSphere Native Key Provider を構成することもできます。
すべてのセキュリティ ソリューションと同様に、Native Key Provider を使用する場合のシステム設計、実装に関する考慮事項、トレードオフを考慮してください。たとえば、ESXi キーの永続性を使用することで、キー サーバへの依存関係が常に使用可能になることを回避できます。ただし、キーの永続性を有効にすると、Native Key Provider の暗号化情報がクラスタ化されたホストに保存されるため、悪意のあるユーザーが ESXi ホスト自体を盗んだ場合に引き続きリスクが生じます。環境が異なるため、組織の規制およびセキュリティに関するニーズ、運用要件、およびリスクの許容度に応じてセキュリティ制御を評価し、実装します。
vSphere Native Key Provider の概要情報については、https://core.vmware.com/native-key-providerを参照してください。
vSphere Native Key Provider の要件
vSphere Native Key Provider を使用するには、次の操作を行う必要があります。
- vCenter Server システムと ESXi ホストの両方で vSphere 7.0 Update 2 以降が実行されていることを確認します。
- クラスタ内で ESXi ホストを構成します。必須ではありませんが、ベスト プラクティスとして、TPM を含め、可能なかぎり同一の ESXi ホストを使用します。クラスタ ホストが同一の場合、クラスタの管理と機能の有効化が容易になります。
- vCenter Server ファイルベースのバックアップとリストアを構成し、Key Derivation Key が含まれているのでバックアップを安全に保存します。vCenter Server のインストールとセットアップに記載されている vCenter Server のバックアップとリストアに関するトピックを参照してください。
vSphere Native Key Provider を使用して vSphere 仮想マシンの暗号化または vSAN の暗号化を実行するには、適切なライセンスを含むこれらの製品のエディションを購入する必要があります。
vSphere Native Key Provider と拡張リンク モード
単一の vSphere Native Key Provider を構成し、拡張リンク モード構成の vCenter Server システム間で共有することができます。このシナリオの手順の概要は次のとおりです。
- vCenter Server システムのいずれかで vSphere Native Key Provider を作成します
- 作成された vCenter Server で Native Key Provider をバックアップします
- Native Key Provider をエクスポートします
- 拡張リンク モード構成の他の vCenter Server システムに Native Key Provider をインポートします
vSphere Native Key Provider の権限
標準および信頼済みキー プロバイダと同様に、vSphere Native Key Provider は Cryptographer を使用します。* 権限を使用します。また、vSphere Native Key Provider は、vSphere Native Key Provider に固有の Cryptographer.ReadKeyServersInfo 権限を使用して、vSphere Native Key Provider を一覧表示します。暗号化操作権限を参照してください。
vSphere Native Key Provider のアラーム
vSphere Native Key Provider をバックアップする必要があります。vSphere Native Key Provider がバックアップされていない場合、vCenter Server はアラームを生成します。アラームが生成された vSphere Native Key Provider をバックアップすると、vCenter Server はアラームをリセットします。デフォルトでは、vCenter Server はバックアップされた vSphere Native Key Provider を 1 日に 1 回チェックします。チェックする間隔は、vpxd.KMS.backupCheckInterval オプションで変更できます。
vSphere Native Key Provider の定期的な修正チェック
vCenter Server は、vCenter Server と ESXi ホストの vSphere Native Key Provider 構成が一致していることを定期的にチェックします。たとえば、ホストの状態が変化すると、クラスタにホストを追加すると、クラスタのキー プロバイダ構成がホストの構成から削除されます。ホストで構成 (keyID) が異なる場合、vCenter Server はホストの構成を自動的に更新します。手動での介入は必要ありません。
デフォルトでは、vCenter Server は 5 分ごとに構成をチェックします。vpxd.KMS.remediationInterval オプションを使用して間隔を変更できます。
ディザスタ リカバリ サイトでの vSphere Native Key Provider の使用
vSphere Native Key Provider はバックアップ ディザスタ リカバリ サイトで使用できます。vSphere Native Key Provider バックアップをプライマリ サイトからバックアップ DR サイトの vCenter Server にインポートすると、そのクラスタでは暗号化された仮想マシンを復号化して実行できます。
DR ソリューションは必ずテストしてください。リカバリすることなくソリューションが機能すると思い込まないでください。vSphere Native Key Provider バックアップのコピーは、DR サイトでも使用できることを確認してください。