VMware vSAN-Verschlüsselung

Die VMware vSAN-Verschlüsselung ist nur auf vSAN-Datenspeicher anwendbar. Bei dieser Lösung stellen VMware vCenter und Ihre VMware ESXi™-Hosts eine Verbindung zu einem Schlüsselverwaltungsserver wie KMIP für VMware her, um Verschlüsselungsschlüssel zu erhalten. Diese Schlüssel werden verwendet, um einzelne Plattenlaufwerke zu schützen, die für Ihren vSAN-Datenspeicher verwendet werden, einschließlich Cache- und Kapazitätsplatten. Die vSAN-Verschlüsselung wird so implementiert, dass die Vorteile der vSAN-Deduplizierung und -Komprimierung erhalten bleiben, wenn Sie diese Option beim Bestellen einer neuen Instanz oder Hinzufügen eines Clusters auswählen.

Da die vSAN-Verschlüsselung auf Datenspeicherebene angewendet wird, besteht ihr primäres Ziel in der Vermeidung von Datensicherheitslücken bei einem Verlust der physischen Plattenlaufwerke. Außerdem ist die vSAN Verschlüsselung vollständig kompatibel mit allen Backup- und Replikationstechnologien für virtuelle Maschinen (VM), wie vSphere Replikation, cross-vCenter vMotion, VMware HCX™, Zerto und Veeam®.

vSphere-Verschlüsselung

vSphere die Verschlüsselung gilt für alle Arten von VMware Speicher, einschließlich vSAN Speicher und IBM Cloud Endurance Datei- und Blockspeicher.

Mit dieser Lösung stellen vCenter Server und Ihre ESXi-Hosts eine Verbindung zu einem Schlüsselmanagementserver wie KMIP for VMware her, um Verschlüsselungsschlüssel abzurufen. Diese Schlüssel werden verwendet, um einzelne Platten der virtueller Maschine (VM) entsprechend Ihren VM-Speicherrichtlinien zu schützen.

Da die vSphere-Verschlüsselung auf der Plattenebene der virtuellen Maschine (VM) ausgeführt wird, kann sie eine Gefährdung der Daten bei einem Verlust von physischen Plattenlaufwerken oder VM-Platten verhindern. Einige Sicherungs- und Replikationstechnologien können keine effektiven Sicherungen und Replikationen bereitstellen, da die zur Verfügung stehenden Daten verschlüsselt sind.

vSphere-Verschlüsselung ist nicht mit VMware HCX oder Zerto kompatibel. vSphere-Verschlüsselung ist mit vCenter-übergreifender vMotion kompatibel, wenn Sie vSphere 7.0 oder höher verwenden. vSphere-Verschlüsselung ist mit vSphere-Replikation kompatibel, wenn Sie vSphere 6.7u1 oder höher verwenden. Wenn Veeam Backup and Replication richtig konfiguriert ist, ist es mit der vSphere Verschlüsselung kompatibel.

Weitere Hinweise

Wenn die eine oder die andere Verschlüsselungsart in Ihrem vSphere-Cluster aktiviert ist, erstellt VMware einen zusätzlichen Schlüssel, um Ihre ESXi-Corespeicherauszüge zu verschlüsseln. Diese Speicherauszüge enthalten möglicherweise sensible Daten wie Schlüsselmanagement-Berechtigungsnachweise, Verschlüsselungsschlüssel oder entschlüsselte Daten. Weitere Informationen finden Sie unter vSphere VM-Verschlüsselung und Core-Dumps.

Wenn KMIP for VMware zusammen mit vSAN- oder vSphere-Verschlüsselung verwendet wird, gibt es mehrere Ebenen für den Schlüsselschutz.

Wenn Sie vorhaben, die Schlüssel rotieren zu lassen, lesen Sie die folgenden Informationen zu den möglichen Rotationsebenen für die Schlüssel:

• Stufe 1- Ihr Kundenstammschlüssel (CRK) schützt alle VMware-Schlüssel. Diese Schlüssel können innerhalb der IBM Key Protect- oder Hyper Protect Crypto Services-Instanz rotieren, die Ihrer KMIP for VMware-Instanz zugeordnet ist. Wenn diese Schlüssel in der IBM Key Protect-Instanz rotieren, verarbeitet KMIP for VMware den neuen CRK automatisch und in VMware oder vCenter Server ist keine Aktion erforderlich.
• Ebene 2 - KMIP für VMware verwendet Ihre CRK zum Schutz der Schlüssel, die sie generiert und an VMware verteilt. Von VMware werden diese Schlüssel als Schlüsselverschlüsselungsschlüssel (Key Encrypting Keys, KEKs) betrachtet. Die Rotation von KEK erfolgt relativ schnell. VMware fordert bei KMIP einen neuen Schlüssel an, nimmt die Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) auf, die mithilfe des ursprünglichen Schlüssels verschlüsselt wurden, schließt sie in diesen neuen Schlüssel ein und speichert anschließend die aktualisierten verschlüsselten Datenverschlüsselungsschlüssel.
  • Wenn Sie die vSphere-Verschlüsselung verwenden, können Sie die KEKs rotieren, indem Sie den PowerShell-Befehl Set-VMEncryptionKey verwenden.
  • Wenn Sie die vSAN-Verschlüsselung verwenden, können Sie die KEKs mithilfe der vSAN-Benutzerschnittstelle rotieren.
• Stufe 3-VMware verwendet diese KEKs, um die tatsächlichen Schlüssel zu schützen, die sie zum Verschlüsseln von Plattenlaufwerken und VM-Platten verwendet. Sie können diese Schlüssel durch Erstellen eines neuen Schlüssels rotieren lassen, was von VMware als "deep rekey" bezeichnet wird. Bei dieser Operation werden alle Ihre verschlüsselten Daten erneut verschlüsselt, was möglicherweise einige Zeit in Anspruch nimmt.
  • Wenn Sie die vSphere-Verschlüsselung verwenden, können Sie einen "deep rekey" mit dem PowerShell-Befehl Set-VMEncryptionKey durchführen.
  • Wenn Sie die vSAN-Verschlüsselung verwenden, können Sie einen "deep rekey" über die vSAN-Benutzerschnittstelle durchführen.

Schlüssel innerhalb von Schlüsseln

Schlüsselmanagementsysteme verwenden häufig ein Verfahren, das als Envelope-Verschlüsselung bezeichnet wird, um Schlüssel in andere Schlüssel einzuschließen oder durch sie zu schützen. Diese Schlüssel werden als Rootschlüssel oder Schlüsselverschlüsselungsschlüssel (KEKs) bezeichnet. Für den Zugriff auf einen Schlüssel müssen Sie diesen entschlüsseln oder das Wrapping aufheben, indem Sie den entsprechenden Rootschlüssel verwenden. Durch das Zerstören des Rootschlüssels werden alle zuvor geschützten Schlüssel ungültig. Diese Schlüssel müssen nicht in der Nähe des Stammschlüssels gespeichert werden. Wichtig ist die Steuerung des Zugriffs auf den Rootschlüssel.

IBM Cloud Key Protect und Hyper Protect Crypto Services stellen diesen Service mit einem Rootschlüssel für Kunden (CRK) bereit. Key Protect speichert CRKs ausschließlich in IBM Cloud CloudHSM-Hardware, aus der sie nicht extrahiert werden können. Hyper Protect Crypto Services speichert Schlüssel in IBM zSeries HSMs. Diese CRKs werden dann verwendet, um weitere Verschlüsselungsschlüssel einzuschließen, wie z. B. die von KMIP for VMware für Ihre VMware-Instanz generierten Verschlüsselungsschlüssel.

VMware implementiert dasselbe Konzept für seine Schlüssel. KMIP for VMware stellt bei Bedarf einen Schüssel für VMware zur Verfügung. Im Gegenzug verwendet VMware diesen Schlüssel als einen KEK, um die endgültigen Schlüssel einzuschließen, die zum Verschlüsseln Ihrer vSAN-Plattenlaufwerke oder VM-Platten verwendet werden. Diese endgültigen Schlüssel werden DEKs (Data Encryption Keys, Datenverschlüsselungsschlüssel) genannt.

So landen Sie mit der folgenden Kette von Verschlüsselung:

• Der Kundenstammschlüssel (CRK) wird dauerhaft auf IBM Key Protect oder Hyper Protect Crypto Services gespeichert.
• Der Verschlüsselungsschlüssel (KEK) wird von KMIP für VMware generiert und an vCenter Server und die ESXi-Hosts in Ihrer Instanz weitergegeben.
• Der Datenverschlüsselungsschlüssel (DEK) wird von VMware generiert und zusammen mit der vSAN oder VM-Platte gespeichert.

KMIP for VMware speichert die eingeschlossene Form der KEKs innerhalb von IBM Key Protect oder Hyper Protect Crypto Services. Die KEKs werden kryptografisch durch den CRK geschützt und müssen nicht innerhalb eines HSM gespeichert werden. Da sie aber im Schlüsselmanagementservice gespeichert werden, können Sie sie anzeigen und löschen, wenn Sie einzelne Schlüssel widerrufen müssen.

Authentifizierung und Berechtigung

Ihre Speicherverschlüsselungslösung setzt sich aus drei Komponenten zusammen: dem VMware-Cluster, der KMIP for VMware-Instanz und der Key Protect- oder Hyper Protect Crypto Services-Instanz.

VMware vCenter und ESXi authentifizieren sich bei Ihrer KMIP for VMware-Instanz unter Verwendung von Zertifikaten, die Sie in VMware vCenter installieren oder generieren, wenn Sie eine KMS-Verbindung (Key Management Server) erstellen. Sie installieren das öffentliche Zertifikat in KMIP für VMware, um die vCenter Clients zu identifizieren, die eine Verbindung herstellen dürfen. Jeder Client hat die Berechtigung für alle Schlüssel, die in dieser KMIP for VMware-Instanz gespeichert sind.

Ihre KMIP for VMware-Instanz erhält den Zugriff auf Ihre Key Protect- oder Hyper Protect Crypto Services-Instanz durch Verwendung von IBM Cloud Identity and Access Management (IAM).

Wenn KMIP für VMware mit einer Key Protect-Instanz verbunden ist, erfolgt diese Berechtigung über eine Service-ID, die Zugriff auf die Instanz hat. Die Service-ID muss mindestens über den Plattformzugriff Anzeigeberechtigter und den Servicezugriff Manager für Ihre Key-Manager-Instanz verfügen. KMIP für VMware verwendet den Kunden-Rootschlüssel (CRK) Ihrer Wahl in der Schlüsselmanager-Instanz. Außerdem werden alle im Auftrag von VMware erzeugten KEKs in eingeschlossenem Format in der Schlüsselmanager-Instanz gespeichert.

Wenn KMIP für VMware mit einer Hyper Protect Crypto Services-Instanz (HPCS) verbunden ist, verwendet es eine Serviceautorisierung, die Sie innerhalb der IAM-Berechtigung Ihres Kontos gewähren. Sie müssen die KMIP for VMware-Instanz sowohl für die Plattformrolle Anzeigeberechtigter als auch für die Servicerolle VMware-KMIP-Manager für Ihre HPCS-Instanz erteilen.

Architektur und Topologie

In allen Fällen greift Ihr VMware vCenter-Server über das private IBM Cloud-Netz auf KMPI for VMware zu. Um auf KMIP for VMware über das private Netz zugreifen zu können, muss Ihr IBM Cloud-Infrastrukturkonto für virtuelles Routing und Weiterleitung (VRF) aktiviert sein. Außerdem müssen die IBM Cloud-Netzserviceendpunktrouten zu den VRF-Routen Ihres Kontos hinzugefügt werden. Weitere Informationen finden Sie unter Serviceendpunkte aktivieren.

Die Architektur und die Topologie unterscheiden sich abhängig davon, ob KMIP for VMware für das Schlüsselmanagement den Key Protect-Service oder die Hyper Protect Crypto Services verwendet.