您可以設定 vSphere Trust Authority 服務來證明 ESXi 主機,如此便能夠執行信任的密碼編譯作業。

vSphere Trust Authority 針對 ESXi 主機使用遠端證明,以證明其開機軟體的真確性。證明將驗證 ESXi 主機正在執行可靠的 VMware 軟體,還是 VMware 簽署的合作夥伴軟體。證明依賴於在 ESXi 主機中安裝的信賴平台模組 (TPM) 2.0 晶片中的度量。在 vSphere Trust Authority 中,ESXi 只能在證明後存取加密金鑰並僅執行密碼編譯作業。

vSphere Trust Authority 詞彙

vSphere Trust Authority 介紹對於理解非常重要的特定詞彙和定義。

表 1. vSphere Trust Authority 詞彙
詞彙 定義
VMware vSphere® Trust Authority™ 指定一組可啟用受信任基礎結構的服務。它負責確保 ESXi 主機執行的是受信任的軟體,並且僅向受信任的 ESXi 主機發佈加密金鑰。
vSphere Trust Authority 元件

vSphere Trust Authority 元件包括:

  • 證明服務
  • 金鑰提供者服務
證明服務 證明遠端 ESXi 主機的狀態。使用 TPM 2.0 建立硬體信任根,並對照管理員核准的 ESXi 版本清單驗證軟體度量。
金鑰提供者服務 封裝一或多個金鑰伺服器,並公開加密虛擬機器時可指定的受信任金鑰提供者。目前,金鑰伺服器僅限於 KMIP 通訊協定。
受信任的基礎結構

受信任的基礎結構包括:

  • Trust Authority vCenter Server
  • 工作負載 vCenter Server
  • 至少一個 vSphere Trust Authority 叢集 (設定為 Trust Authority vCenter Server 的一部分)
  • 至少一個受信任叢集 (設定為工作負載 vCenter Server 的一部分)
  • 在受信任叢集中執行的加密工作負載虛擬機器
  • 至少一個符合 KMIP 的金鑰管理伺服器
備註: 您必須針對 Trust Authority 叢集和受信任叢集使用不同的 vCenter Server 系統。
Trust Authority 叢集 由執行 vSphere Trust Authority 元件 (證明服務和金鑰提供者服務) 之 ESXi 主機的 vCenter Server 叢集組成。
Trust Authority 主機 執行 vSphere Trust Authority 元件 (證明服務和金鑰提供者服務) 的 ESXi 主機。
受信任叢集 由 Trust Authority 叢集遠端證明的受信任 ESXi 主機的 vCenter Server 叢集組成。雖然不是嚴格要求,但設定的金鑰提供者服務可以大大增加受信任叢集所提供的價值。
受信任主機 其軟體已由 Trust Authority 叢集證明服務驗證的 ESXi 主機。此主機會執行工作負載虛擬機器,這些虛擬機器可使用 Trust Authority 叢集金鑰提供者服務發佈的金鑰提供者進行加密。
vSphere 虛擬機器加密

透過 vSphere 虛擬機器加密,您可以建立加密的虛擬機器並加密現有虛擬機器。vSphere 6.5 中引入了 vSphere 虛擬機器加密。如需瞭解金鑰提供者處理加密金鑰的方式差異,請參閱 vSphere 加密金鑰和金鑰提供者

受信任金鑰提供者 在金鑰伺服器上封裝單一加密金鑰的金鑰提供者。存取加密金鑰需要證明服務確認已在受信任的主機上驗證 ESXi 軟體。
標準金鑰提供者 可直接從金鑰伺服器取得加密金鑰,並將金鑰散佈到資料中心內的所需主機的金鑰提供者。先前在 vSphere 中稱為 KMS 叢集。
金鑰伺服器 與金鑰提供者相關聯的 KMIP 金鑰管理伺服器 (KMS)。
工作負載 vCenter Server 負責管理並用於設定一或多個受信任叢集的 vCenter Server

vSphere Trust Authority 基礎

藉由 vSphere Trust Authority,您可以:

  • ESXi 主機提供硬體信任根及遠端證明功能
  • 透過僅向已證明的 ESXi 主機發佈金鑰來限制加密金鑰管理
  • 建立更安全的管理環境以管理信任
  • 集中管理多個金鑰伺服器
  • 繼續在虛擬機器上執行密碼編譯作業,但具有增強的加密金鑰管理層級

在 vSphere 6.5 和 6.7 中,虛擬機器加密相依於 vCenter Server 從金鑰伺服器取得加密金鑰,並視需要將其推送至 ESXi 主機。vCenter Server 使用用戶端和伺服器憑證 (儲存在 VMware Endpoint 憑證存放區 (VECS) 中) 向金鑰伺服器進行驗證。從金鑰伺服器傳送的加密金鑰會透過 vCenter Server 記憶體傳送至所需的 ESXi 主機 (TLS 透過連線提供資料加密)。此外,vSphere 還依賴 vCenter Server 中的權限檢查以驗證使用者權限並強制執行金鑰伺服器存取限制。雖然此架構是安全的,但無法解決出現遭破解的 vCenter Server、惡意 vCenter Server 管理員,或可能會導致密碼洩露或遭竊的管理或設定錯誤的可能性。

從 vSphere 7.0 開始,vSphere Trust Authority 解決了這些問題。您可以建立受信任的運算基礎,其中包含一組安全、可管理的 ESXi 主機。vSphere Trust Authority 針對您要信任的 ESXi 主機執行遠端證明服務。此外,vSphere Trust Authority 會在 TPM 2.0 證明支援 (從 6.7 版開始新增至 vSphere) 的情況下改進,以對加密金鑰執行存取限制,以便更好地保護虛擬機器工作負載密碼。此外,vSphere Trust Authority 僅允許授權的 Trust Authority 管理員設定 vSphere Trust Authority 服務以及設定 Trust Authority 主機。Trust Authority 管理員可以是與 vSphere 管理員使用者相同的使用者,也可以是不同的使用者。

最後,vSphere Trust Authority 可讓您透過以下方式在更安全的環境中執行工作負載:

  • 偵測竄改
  • 禁止未經授權的變更
  • 防止惡意軟體和修改
  • 限制敏感工作負載僅在已驗證、安全的硬體和軟體堆疊上執行

vSphere Trust Authority 架構

下圖顯示 vSphere Trust Authority 架構的簡化視圖。

圖 1. vSphere Trust Authority 架構
此圖顯示 vSphere Trust Authority 架構的簡化視圖。

在此圖中:

  1. vCenter Server 系統

    由不同的 vCenter Server 系統管理 Trust Authority 叢集和受信任叢集。

  2. Trust Authority 叢集

    由執行 vSphere Trust Authority 元件的 ESXi 主機所組成。

  3. 金鑰伺服器

    在執行加密作業時,儲存金鑰提供者服務所使用的加密金鑰。主要伺服器位於 vSphere Trust Authority 的外部。

  4. 受信任叢集

    ESXi 受信任主機組成,這些主機已透過 TPM 進行遠端證明,並且執行加密的工作負載。

  5. Trust Authority 管理員

    屬於 vCenter Server TrustedAdmins 群組成員的管理員,負責設定受信任的基礎結構。

    vSphere Trust Authority 可讓您靈活地選擇指定 Trust Authority 管理員的方式。圖中的 Trust Authority 管理員可以是不同的使用者。此外,Trust Authority 管理員也可以是同一個使用者 (使用跨 vCenter Server 系統連結的認證)。在此情況下,是同一個使用者和同一個 TrustedAdmins 群組。

  6. 虛擬機器管理員

    已被授與在受信任主機上管理加密工作負載虛擬機器的權限的管理員。