後から問題が発生することを避けるために、たとえば vm-support バンドルを生成するときは、仮想マシンの暗号化のベスト プラクティスに従ってください。

仮想マシンの暗号化を開始するためのベスト プラクティス

仮想マシンの暗号化を使用する場合の問題を回避するには、次の一般的なベスト プラクティスに従います。

  • vCenter Server Appliance の仮想マシンは暗号化しないでください。
  • ESXi ホストがクラッシュしたときは、できるだけ早くサポート バンドルを取得してください。パスワードを使用するサポート バンドルの生成や、コア ダンプの復号化のため、ホスト キーが必要になります。ホストが再起動されると、ホスト キーが変更される可能性があります。このような場合は、ホスト キーを使用して、パスワードを使用するサポート バンドルの生成や、サポート バンドルのコア ダンプの復号化ができなくなります。
  • キー プロバイダの名前は慎重に管理します。すでに使用中のキー サーバのキー プロバイダ名が変更されると、そのキー サーバのキーで暗号化された仮想マシンは、パワーオンまたは登録のときにロック状態になります。この場合は、vCenter Server からキー サーバを削除し、最初に使用していたキー プロバイダ名で追加します。
  • VMX ファイルと VMDK ディスクリプタ ファイルは編集しないでください。これらのファイルには暗号化バンドルが含まれています。変更を加えると、仮想マシンを復元できなくなり、この問題が修正できなくなる可能性があります。
  • vSphere 仮想マシンの暗号化プロセスでは、データをストレージに書き込む前にホスト上のデータを暗号化します。この方法で仮想マシンを暗号化する場合、重複排除、圧縮、レプリケーションなどのバックエンド ストレージ機能の有効性が影響を受ける可能性があります。
  • vSphere 仮想マシンの暗号化とゲスト内暗号化(BitLocker、dm-crypt など)のように、暗号化レイヤーを複数使用する場合、暗号化プロセスで追加の CPU およびメモリ リソースが使用されるため、仮想マシン全体のパフォーマンスが影響を受ける可能性があります。
  • vSphere 仮想マシンの暗号化を使用して暗号化された仮想マシンのレプリケートされたコピーが、リカバリ サイトの暗号化キーにアクセスできることを確認します。標準のキー プロバイダの場合、これは vSphere の外部で、キー管理システムの設計の一部として処理されます。vSphere Native Key Provider の場合、Native Key Provider のキーのバックアップ コピーが存在し、消失から保護されていることを確認します。詳細については、『vSphere Native Key Provider のバックアップ』を参照してください。
  • 暗号化は、CPU への負荷が高い処理です。AES-NI を使用すると、暗号化のパフォーマンスが大幅に向上します。BIOS で AES-NI を有効にします。

暗号化されたコア ダンプのベスト プラクティス

問題を診断するためにコア ダンプを調べる必要があるときは、問題を避けるために次のベスト プラクティスを実施してください。

  • コア ダンプに関するポリシーを確立します。コア ダンプは、キーなどの機密情報を含む場合があるため、暗号化されています。コア ダンプを復号化する場合は、機密情報であることを考慮してください。ESXi のコア ダンプには、ESXi ホストのキーと、そこにホストされている仮想マシンのキーが含まれる場合があります。コア ダンプを復号化した後、ホスト キーを変更し、暗号化された仮想マシンを再暗号化することを検討してください。どちらのタスクも vSphere API を使用して実行できます。

    詳細については、vSphere 仮想マシンの暗号化とコア ダンプを参照してください。

  • vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Client からサポート バンドルを生成するとき、または vm-support コマンドを使用するときは、パスワードを指定できます。

    パスワードを指定すると、内部キーを使用しているコア ダンプはパスワードに基づくキーを使用するように再暗号化されます。暗号化されたコア ダンプがサポート バンドルに含まれている場合は、後でこのパスワードを使用して復号化できます。暗号化されていないコア ダンプとログは、パスワード オプションの使用に影響を受けません。

  • vm-support バンドルの作成時に指定するパスワードは、vSphere コンポーネント内で維持されません。サポート バンドルのパスワードは、記録しておく必要があります。
  • ホスト キーを変更する前に、パスワードを設定して vm-support バンドルを生成します。古いホスト キーで暗号化されたコア ダンプがある場合は、後でこのパスワードを使用してそれらにアクセスすることができます。

キーのライフサイクル管理のベスト プラクティス

キー サーバの可用性を確保し、キー サーバでキーを監視するためのベスト プラクティスを実践してください。
  • キー サーバの可用性を保証するポリシーを設定する必要があります。

    キー サーバを使用できない場合は、仮想マシンの操作のうち vCenter Server がキー サーバにキーを要求する必要があるものは実行できません。稼動中の仮想マシンはそのまま稼動を続けますが、パワーオン、パワーオフ、仮想マシンの再設定は可能です。しかし、キー情報のないホストに仮想マシンを移動することはできません。

    ほとんどのキー サーバ ソリューションには、高可用性機能が含まれています。vSphere Client または API を使用して、キー プロバイダおよび関連するキー サーバを指定できます。

    注: vSphere 7.0 Update 2 以降では、キー サーバが一時的にオフラインまたは使用不可になった場合でも、暗号化された仮想マシンと仮想 TPM は引き続き機能します。 ESXi ホストは、暗号化キーを保持して、暗号化および vTPM の操作を続行できます。 ESXi ホストでの vSphere キーの永続性を参照してください。
  • キーを記録し、既存の仮想マシンに対するキーがアクティブな状態でないときは修正する必要があります。
    KMIP 標準では、キーの状態が次のように定義されています。
    • Pre-Active(プレアクティブ)
    • Active(アクティブ)
    • Deactivated(非アクティブ)
    • Compromised(侵害)
    • Destroyed(破棄)
    • Destroyed Compromised(破棄/侵害)

    vSphere 仮想マシンの暗号化では、アクティブ状態のキーのみが暗号化に使用されます。プレアクティブ状態のキーは、vSphere 仮想マシンの暗号化によってアクティブにされます。キーの状態が非アクティブ、侵害、破棄、破棄/侵害のとき、そのキーで仮想マシンやディスクを暗号化することはできません。

    キーが別の状態のとき、これらのキーを使用する仮想マシンは引き続き稼動します。クローン作成または移行の操作が成功するかどうかは、キーがすでにホスト上に存在するかどうかに依存します。
    • ターゲット ホストにキーが存在する場合、キー サーバでキーがアクティブでなくても操作は成功します。
    • 要求された仮想マシンと仮想ディスクのキーがターゲット ホスト上に存在しない場合、vCenter Server はキー サーバからキーを取得する必要があります。キーの状態が非アクティブ、侵害、破棄、破棄/侵害のとき、vCenter Server はエラーを表示し、操作は失敗します。

    キーがすでにホスト上に存在する場合、クローン作成または移行の操作は成功します。vCenter Server がキー サーバからキーを取得する必要がある場合、操作は失敗します。

    キーがアクティブでない場合は、API を使用して再キー化操作を実行します。『vSphere Web Services SDK Programming Guide』を参照してください。

  • キー ローテーション ポリシーを作成して、特定の時間が経過するとキーが廃止されてロール オーバーされるようにします。
    • 信頼済みキー プロバイダ:信頼済みキー プロバイダのプライマリ キーを変更します。
    • vSphere Native Key Provider:vSphere Native Key Provider の key_id を変更します。

バックアップとリストアのベスト プラクティス

バックアップおよびリストア操作に関するポリシーを設定します。
  • 一部のバックアップ アーキテクチャはサポートされません。仮想マシンの暗号化の相互運用性を参照してください。
  • リストア操作に関するポリシーを設定します。バックアップは常にクリアテキストであるため、仮想マシンの暗号化はリストアが完了した直後に実行するように計画します。リストア操作の一部として仮想マシンが暗号化されるように指定することができます。機密情報が公開されることを避けるために、可能であればリストア プロセスの一部として仮想マシンを暗号化します。仮想マシンに関連付けられているディスクの暗号化ポリシーを変更するには、そのディスクのストレージ ポリシーを変更します。
  • 仮想マシン ホーム ファイルが暗号化されているため、リストア時に暗号化キーが使用できることを確認します。

暗号化パフォーマンスのベスト プラクティス

  • 暗号化のパフォーマンスは、CPU とストレージの速度に依存します。
  • 既存の仮想マシンの暗号化には、新規に作成する仮想マシンの暗号化よりも長い時間がかかります。可能であれば、仮想マシンを作成する際に暗号化を行ってください。

サンプル ストレージ ポリシーのベスト プラクティス

バンドルされている仮想マシン暗号化のサンプル ストレージ ポリシーは、変更しないでください。代わりに、このポリシーのクローンを作成し、そのクローンを編集します。
注: 仮想マシン暗号化ポリシーを自動的に元の設定に戻す方法はありません。

ストレージ ポリシーのカスタマイズに関する詳細については、『vSphere のストレージ』を参照してください。

暗号化キーを削除するためのベスト プラクティス

暗号化キーをクラスタから確実に削除するには、暗号化された仮想マシンを削除、登録解除、または別の vCenter Server に移動した後、クラスタ内の ESXi ホストを再起動します。