VMware vSAN 加密

VMware vSAN 加密仅适用于 vSAN 数据存储。 使用该解决方案，VMware vCenter 和您的 VMware ESXi™ 主机连接到密钥管理服务器（如 VMware 的 KMIP），以获取加密密钥。 这些密钥用于保护用于vSAN数据存储的单个磁盘驱动器，包括高速缓存和容量磁盘。vSAN 加密的实现方式可保留 vSAN 重复数据删除和压缩的优势，如果您在订购新实例或添加群集时选择此选项的话。

由于 vSAN 加密是在数据存储级别运行的，因此其主要目标是在发生物理磁盘驱动器丢失时，防止数据泄露。 此外，vSAN 加密与所有虚拟机（VM）备份和复制技术完全兼容，如 vSphere 复制、cross-vCenter vMotion, VMware HCX™、Zerto 和 Veeam®。

vSphere 加密

vSphere 加密适用于所有类型的 存储，包括 存储和 Endurance 文件和块存储。VMware vSAN IBM Cloud

使用此解决方案时，vCenter Server 和 ESXi 主机将连接到密钥管理服务器（例如，KMIP for VMware）来获取加密密钥。 根据虚拟机存储策略，这些密钥用于保护单个虚拟机磁盘。

vSphere 加密在虚拟机磁盘级别运行，因此可以防止在物理磁盘驱动器丢失或虚拟机磁盘丢失时数据暴露。 某些备份和复制技术无法有效备份或复制，因为所提供的数据是加密的。

vSphere 加密与 VMware HCX 或 Zerto 不兼容。vSphere 加密与 cross-vCenter vMotion 兼容，前提是您使用 vSphere 7.0 或更高版本。使用 vSphere 6.7u1 或更高版本时，vSphere 加密与 vSphere 复制兼容。 如果配置正确，Veeam Backup and Replication 与 vSphere 加密兼容。

更多注意事项

在 vSphere 集群中启用这两种加密类型时，VMware 会创建一个额外的密钥来加密 ESXi 核心转储。 这些核心转储可能包含敏感数据，如密钥管理凭证、加密密钥或解密数据。 有关详细信息，请参阅 vSphere 虚拟机加密和核心转储。

KMIP for VMware 与 vSAN 加密或 vSphere 加密一起使用时，存在多层密钥保护。

如果您计划轮换密钥，请查看以下有关可以轮换密钥的级别的信息：

• 第 1 级 - 客户根密钥 (CRK) 保护所有 VMware 密钥。 这些密钥可在与 KMIP for VMware 实例相关联的 IBM Key Protect 或 Hyper Protect Crypto Services 实例中轮流使用。 在 IBM Key Protect 实例中旋转这些密钥时，用于 VMware 的 KMIP 会自动处理新的 CRK，无需在 VMware 或 vCenter Server 中进行任何操作。
• 第 2 级 - KMIP for VMware 使用您的 CRK 来保护它生成并分发到 VMware 的密钥。 VMware 认为这些密钥是密钥加密密钥（KEK）。 KEK 旋转速度相对较快。 VMware向 KMIP 请求一个新密钥，获取由原始密钥加密的 DEK，并将其封装在这个新密钥中，然后存储更新的加密 DEK。
  • 如果使用 vSphere 加密，可以使用 Set-VMEncryptionKeyPowerShell 命令旋转 KEK。
  • 如果使用 vSAN 加密，则可通过 vSAN 用户界面旋转 KEK。
• 第 3 级 - VMware 使用这些 KEK 保护用于加密磁盘驱动器和虚拟机磁盘的实际密钥。 您可以使用 VMware 称之为“深度”再加密的方式来轮换这些密钥。 此操作会重新加密所有加密数据，因此可能需要很长时间。
  • 如果使用的是 vSphere 加密，那么可以通过 Set-VMEncryptionKey PowerShell 命令来执行深度再加密。
  • 如果使用的是 vSAN 加密，那么可以使用 vSAN 用户界面执行深度再加密。

密钥中的密钥

密钥管理系统通常使用称为包络加密的技术，以通过其他密钥来包装或保护密钥。 这些密钥称为根密钥或密钥加密密钥（KEK）。 要访问密钥，您需要使用其对应的根密钥来解密或解包密钥。 销毁根密钥可以有效地使以前受保护的所有密钥失效。 这些密钥的存储位置不必靠近根密钥。 控制对根密钥的访问非常重要。

IBM Cloud Key Protect 和 Hyper Protect Crypto Services 使用客户根密钥 (CRK) 来提供此服务。 Key Protect 将 CRK 专门存储在 IBM Cloud CloudHSM 硬件中，无法从该硬件中抽取 CRK；Hyper Protect Crypto Services 将密钥存储在 IBM zSeries HSM 中。 然后，这些 CRK 用于包装更多加密密钥，例如由 KMIP for VMware 为 VMware 实例生成的加密密钥。

VMware 对其密钥实现此相同的概念。 VMware 的 KMIP 会根据请求向 VMware 提供密钥。 反过来，VMware 将此密钥用作 KEK 来封装或加密用于加密 vSAN 磁盘驱动器或 VM 磁盘的最终密钥。 这些最终密钥称为数据加密密钥（DEK）。

因此，最终会产生以下加密链：

• 客户根密钥 (CRK) 永久保存在 IBM Key Protect 或 Hyper Protect Crypto Services 中。
• 密钥加密密钥 (KEK) 由 KMIP 生成，用于 VMware 并提供给 vCenter Server 和实例中的 ESXi 主机。
• 数据加密密钥（DEK）由 VMware 生成，并与 vSAN 磁盘或虚拟机磁盘一起存储。

KMIP for VMware 将包装形式的 KEK 存储在 IBM Key Protect 或 Hyper Protect Crypto Services 中。 KEK 由 CRK 加密保护，无需存储在 HSM 中。 不过，由于这些密钥存储在密钥管理服务中，因此您可以看到它们，如果需要撤销单个密钥，您可以删除它们。

认证和授权

构成存储加密解决方案的三个组件为：VMware 集群、KMIP for VMware 实例和 Key Protect 或 Hyper Protect Crypto Services 实例。

VMware vCenter 和 ESXi 使用创建密钥管理服务器 (KMS) 连接时在 VMware vCenter 中安装或生成的证书，向 KMIP for VMware 实例进行认证。 您可将公共证书安装到 VMware 的 KMIP 中，以识别允许连接的 vCenter 客户端。 每个客户机都有权使用存储在该 KMIP for VMware 实例中的所有密钥。

通过使用 IBM Cloud Identity and Access Management (IAM)，您的 VMware 实例的 KMIP 已授权给 Key Protect 或 Hyper Protect Crypto Services 实例。

当 VMware 的 KMIP 与 Key Protect 实例关联时，该授权通过使用可访问该实例的服务 ID 进行。 服务 ID 必须至少有平台查看器访问权限和服务管理器访问权限，才能访问密钥管理器实例。 VMware的 KMIP 在密钥管理器实例中使用您选择的客户根密钥 (CRK)。 它还会以封装形式将代表 VMware 生成的所有 KEK 保存在密钥管理器实例中。

当 KMIP for VMware 与 Hyper Protect Crypto Services (HPCS) 实例关联时，它会使用您在账户的 IAM 授权中授予的服务授权。 您必须为 VMware 实例的 KMIP 授予平台 Viewer 角色和服务 VMware KMIP Manager 角色。

结构和拓扑

在所有情况下，您的 VMware vCenter 服务器都会通过 VMware 专用网络访问 IBM Cloud 的 KMIP。 要通过专用网络访问 VMware 的 KMIP，您的 IBM Cloud 基础架构帐户必须启用虚拟路由和转发 (VRF)。 此外，IBM Cloud 网络服务端点路由必须添加到账户的 VRF 路由中。 有关更多信息，请参阅启用服务端点。

根据 VMware 的 KMIP 是使用 Key Protect 还是 Hyper Protect Crypto Services 进行密钥管理，体系结构和拓扑结构会有所不同。