在 vSphere 7.0 Update 2 及更新版本中,您可以使用內建 vSphere Native Key Provider 來啟用加密技術,如虛擬 TPM (vTPM)。
vSphere Native Key Provider 已包含在所有 vSphere 版本中,且不需要外部金鑰伺服器 (業內也稱為金鑰管理伺服器 (KMS))。也可以將 vSphere Native Key Provider 用於 vSphere 虛擬機器加密,但必須購買 VMware vSphere® Enterprise Plus 版本™。
什麼是 vSphere Native Key Provider
使用標準金鑰提供者或受信任金鑰提供者時,您必須設定外部金鑰伺服器。在標準金鑰提供者的設定過程中,vCenter Server 從外部金鑰伺服器擷取金鑰並將其散佈到 ESXi 主機。在受信任金鑰提供者 (vSphere Trust Authority) 的設定過程中,受信任的 ESXi 主機直接擷取金鑰。
通過 vSphere Native Key Provider,不再需要外部金鑰伺服器。vCenter Server 會產生一個稱為金鑰衍生金鑰 (KDK) 的主要金鑰,並將其推送至叢集中的所有 ESXi 主機。然後,ESXi 主機產生資料加密金鑰 (即使未連線到 vCenter Server),以啟用 vTPM 等安全性功能。所有 vSphere 版本均包含 vTPM 功能。若要將 vSphere Native Key Provider 用於 vSphere 虛擬機器加密,則必須購買 vSphere Enterprise Plus 版本。vSphere Native Key Provider 可以與現有的金鑰伺服器基礎結構共存。
vSphere Native Key Provider:
- 允許使用 vTPM、vSphere 虛擬機器加密和 vSAN 靜態資料加密 (如果不需要或不想使用外部金鑰伺服器)。
- 僅適用於 VMware 基礎結構產品。
- 不提供外部互通性、KMIP 支援、硬體安全性模組或傳統的第三方外部金鑰伺服器為實現互通性或符合法規而提供的其他功能。如果您的組織需要將此功能用於非 VMware 產品和元件,請安裝傳統的第三方金鑰伺服器。
- 幫助滿足了無法使用外部金鑰伺服器或不想使用外部金鑰伺服器的組織需求。
- 改進了資料整理和系統重複使用做法,允許在難以整理的媒體 (如 Flash 和 SSD) 上早些使用加密技術。
- 提供金鑰提供者之間的轉換路徑。vSphere Native Key Provider 與 VMware 標準金鑰提供者和 vSphere Trust Authority 受信任金鑰提供者相容。
- 可用於使用增強型連結模式組態或 vCenter Server High Availability 組態的多個 vCenter Server 系統。
- 可用於在所有版本的 vSphere 中啟用 vTPM 以及對虛擬機器進行加密 (但需要購買包含 vSphere 虛擬機器加密的 vSphere Enterprise Plus 版本)。vSphere 虛擬機器加密適用於 vSphere Native Key Provider,就像適用於 VMware 標準金鑰提供者和受信任金鑰提供者一樣。
- 可用於通過使用適當的 vSAN 授權啟用 vSAN 靜態資料加密。
- 可使用信賴平台模組 (TPM) 2.0 提高安全性 (如果 ESXi 主機中安裝了 TPM)。還可以將 vSphere Native Key Provider 設定為僅對安裝了 TPM 2.0 的主機可用。
與所有安全性解決方案一樣,請考慮系統設計、實作考量事項和使用 Native Key Provider 的權衡。例如,ESXi 金鑰持續性避免了要求金鑰伺服器始終可用的相依性。但是,由於金鑰持續性將 Native Key Provider 密碼編譯資訊儲存在叢集主機上,因此,如果惡意操作者竊取 ESXi 主機本身,您仍會面臨風險。由於環境各不相同,因此請根據您所在組織的法規和安全性需求、運作需求以及風險承受能力來評估和實作安全性控制。
如需有關 vSphere Native Key Provider 的詳細概觀資訊,請參閱 https://core.vmware.com/native-key-provider。
vSphere Native Key Provider 需求
若要使用 vSphere Native Key Provider,您必須:
- 確保 vCenter Server 系統和 ESXi 主機均執行 vSphere 7.0 Update 2 或更高版本。
- 在叢集中設定 ESXi 主機。儘管不是必需要求,但最好使用盡可能相同的 ESXi 主機,包括 TPM。叢集主機相同時,叢集管理和功能啟用要容易得多。
- 設定 vCenter Server 以檔案為基礎的備份,並安全地還原和儲存備份,因為它們包含金鑰衍生金鑰。請參閱vCenter Server 安裝和設定中 vCenter Server 備份和還原的相關主題。
若要使用 vSphere Native Key Provider 執行 vSphere 虛擬機器加密或 vSAN 加密,必須購買包含適當授權的產品版本。
vSphere Native Key Provider 和增強型連結模式
可以設定一個 vSphere Native Key Provider 並使其可在增強型連結模式組態下設定的 vCenter Server 系統之間共用。此案例中的高層級步驟包括:
- 在一個 vCenter Server 系統上建立 vSphere Native Key Provider
- 在建立 Native Key Provider 的 vCenter Server 上備份 Native Key Provider
- 匯出 Native Key Provider
- 將 Native Key Provider 匯入到增強型連結模式組態中的其他 vCenter Server 系統
vSphere Native Key Provider 權限
對於標準和受信任金鑰提供者,vSphere Native Key Provider 會使用 Cryptographer.* 權限。此外,vSphere Native Key Provider 還會使用 Cryptographer.ReadKeyServersInfo 權限 (vSphere Native Key Provider 專屬權限) 來列出 vSphere Native Key Provider。請參閱密碼編譯作業權限。
vSphere Native Key Provider 警示
您必須備份 vSphere Native Key Provider。如果未備份 vSphere Native Key Provider,vCenter Server 會產生一個警示。當您備份已產生警示的 vSphere Native Key Provider 時,vCenter Server 會重設該警示。依預設,vCenter Server 每天檢查已備份的 vSphere Native Key Provider 一次。您可以透過修改 vpxd.KMS.backupCheckInterval 選項來變更檢查間隔。
vSphere Native Key Provider 定期修復檢查
vCenter Server 會定期檢查 vCenter Server 和 ESXi 主機上的 vSphere Native Key Provider 組態是否相符。當主機狀態變更時 (例如,將主機新增到叢集時),叢集上的金鑰提供者組態會偏離主機上的組態。如果主機上的組態 (keyID) 有所不同,vCenter Server 會自動更新主機組態。不需要手動介入。
依預設,vCenter Server 每 5 分鐘檢查一次組態。可以透過使用 vpxd.KMS.remediationInterval 選項修改間隔。
將 vSphere Native Key Provider 用於災難復原站台
可以將 vSphere Native Key Provider 用於備份災難復原站台。透過將 vSphere Native Key Provider 備份從主要站台匯入備份 DR 站台的 vCenter Server 中,該叢集能夠解密並執行加密的虛擬機器。
始終測試 DR 解決方案。不要以為您的解決方案可正常執行,無需嘗試復原。確保 DR 站台也可以使用 vSphere Native Key Provider 備份的複本。