vSphere 6.5 新功能（3）－虛擬機(jī)加密　

　　面對越來越猖獗的黑客攻擊，企業(yè)數(shù)據(jù)安全已經(jīng)成為 CIO 們?nèi)粘瘫碇蓄^等重要的大事。數(shù)據(jù)安全是一個系統(tǒng)性的工程，從用戶終端到后臺數(shù)據(jù)中心有著幾十個環(huán)節(jié)，防火墻、身份認(rèn)證、應(yīng)用數(shù)據(jù)加密每一種技術(shù)都只能解決某些環(huán)節(jié)的安全問題，只要有一個環(huán)節(jié)沒有做好安全防護(hù)，還是會留下安全隱患。 　　指定虛機(jī)的存儲策略
　　密鑰管理
　　對稱加密算法 XTS-AES-256 需要兩個密鑰：

• 數(shù)據(jù)密鑰 DEK （Data Encryption Key）：用于加密虛機(jī)數(shù)據(jù)文件，每個虛機(jī)都有一個唯一的數(shù)據(jù)密鑰，存放在虛機(jī)數(shù)據(jù)文件中，為了不讓別人看到這個密鑰，所以我們需要另一個密鑰 KEK 來對數(shù)據(jù)密鑰進(jìn)行加密。
• 加密密鑰的密鑰 KEK （Key Encryption Key）：用于對上面的數(shù)據(jù)密鑰 DEK 進(jìn)行加密，這個密鑰是從第三方的密鑰管理服務(wù)器 KMS （Key Management Server） 上獲得的。因?yàn)?KMS 也支持多租戶架構(gòu)，我們通常把這個密鑰稱為租戶密鑰（Tenant Key）。注意：租戶密鑰只保存在 KMS 服務(wù)器上。

　　未加密虛機(jī)（必須是處于關(guān)機(jī)狀態(tài)）

• 在對應(yīng)的服務(wù)器上隨機(jī)生成一個數(shù)據(jù)密鑰 DEK；
• 通過 vCenter 從 KMS 上獲得租戶密鑰 KEK；
• 使用租戶密鑰 KEK 對數(shù)據(jù)密鑰 DEK 進(jìn)行加密，并寫入虛機(jī)的 vmx 文件；
• 使用數(shù)據(jù)密鑰 DEK 來加密整個虛機(jī)數(shù)據(jù)文件。

　　已經(jīng)加密的虛機(jī)

• 從虛機(jī)的 vmx 文件中獲得 KEK ID 和加密的數(shù)據(jù)密鑰
• 通過 vCenter 從第三方密鑰服務(wù)器上根據(jù) KEK ID 獲得租戶密鑰 KEK
• 利用 KEK 解密獲得數(shù)據(jù)密鑰 DEK
• 利用數(shù)據(jù)密鑰 DEK 來解密虛機(jī)數(shù)據(jù)文件。

　　vSphere 虛機(jī)加密采用的是客戶自帶密鑰（Bring-Your-Own-Key）的策略，有這方面要求的客戶大部分都已經(jīng)部署了密鑰管理服務(wù)器，我們只需要在 vCenter 中指定客戶現(xiàn)有的 KMS 服務(wù)器就可以了。當(dāng)然必須要考慮 KMS 服務(wù)器高可靠和災(zāi)備的方案，不然一旦發(fā)生故障，取不到 KEK 密鑰，所有的加密虛機(jī)可就啟動不起來了。 　　虛機(jī)加密了，自然引入了一個新的概念 － “加密的 vMotion”，虛機(jī)數(shù)據(jù)不但在存儲里面是加密的，而且在 vMotion 的過程中也是加密的。vCenter 中關(guān)于虛機(jī)的配置也多了一個加密的 vMotion 選項(xiàng)，總共有三個選擇：

• Disabled（關(guān)閉）：vMotion 所傳輸?shù)奶摍C(jī)數(shù)據(jù)不加密。
• Opportunistic（看情況）：如果源和目標(biāo)服務(wù)器都支持虛機(jī)加密，就使用加密 vMotion；只要有一方不支持，vMotion 就不采用加密數(shù)據(jù)。
• Required（強(qiáng)制要求）：僅允許加密的 vMotion，源和目標(biāo)服務(wù)器只要有一方不支持虛機(jī)加密，vMotion 就不會發(fā)生，這適用于高安全循規(guī)要求。