Что нового в vSphere 6.5: Безопасность

    vSphere 6.5 является поворотным пунктом в инфраструктуре безопасности компании VMware. То, что считалось второстепенным для многих ИТ-специалистов еще несколько лет назад, сейчас является одной из отправных точек в развитии инноваций для vSphere. Безопасность стала наиболее важным параметром и она в центре внимания в этом релизе. Внимание в этом релизе сосредоточено на безопасности управления. Если саму безопасность нелегко реализовать, как нелегко и управлять ею, то пользу может принести смещение. Безопасность в виртуальной инфраструктуре должен быть масштабируема. Ключ к безопасности в масштабировании и автоматизации.

    Шифрование ВМ


    Шифрование виртуальных машин — это то, что было в разработке долгие годы. Тем не менее, это решение так и не получило должного развития, потому что каждое решение имеет негативные эксплуатационные воздействия. С vSphere 6.5 этот вопрос решается.

    Шифрование будет производиться на уровне гипервизора, «под» виртуальной машиной. Поскольку в качестве I/O выступает контроллер виртуального диска в ВМ, шифрование происходит мгновенно с помощью модуля в ядре еще перед отправлением к слою хранения ядра. Файлы ВМ (файл vmx, снапшот и т. д.) и vmdk-файлы зашифрованы.
    Преимуществ множество.

    • Поскольку шифрование происходит на уровне гипервизора, а не в ВМ, тип гостевой ОС и тип хранилища данных не важны. Шифрование виртуальной машины — агностик.
    • Шифрование осуществляется через политики. Политики могут применяться к многим ВМ, независимо от их гостевой ОС.
    • Шифрование не управляется «внутри» виртуальной машины. Это ключевой фактор дифференциации по отношению к любому другому решению на рынке! Вам не придется контролировать шифрование, выполняемое в виртуальной машине, а ключи не хранятся в ее памяти.
    • Управление ключами осуществляется на основе отраслевого стандарта, KMIP с 1.1. В vSphere vcenter является клиентом KMIP, он работает с большим количеством менеджеров ключей KMIP 1.1. Это дает возможность выбора и достаточную гибкость для клиентов. Ключи ВМ не хранятся в vCenter.
    • Шифрование виртуальной машины дает возможность использовать новейшие технические средства, присущих сегодняшним процессорам. Для шифрования используется алгоритм AES-Ni.
    • Шифрование vMotion. Этот вопрос стоял уже давно, и с версией 6.5 на него наконец получен ответ. Уникальность шифрования технологии vMotion заключается в том, что сеть не шифруется. Нет сертификатов, которыми нужно управлять, и нет настроек сети, которые необходимо делать.



    Шифрование происходит на уровне каждой отдельной виртуальной машины. Технология шифрования vMotion дает толчок всему остальному. Во время миграции ВМ используется сгенерированный сервером vCenter однократно и случайным образом 256-битный ключ (для этого ключа не используется менеджер ключей).

    Кроме того, также генерируется 64-разрядный «код» (произвольное число, используемое только один раз в крипто-операции). Ключ шифрования и код упакованы в спецификации миграции, отправляемой на оба хоста. В этот момент все данные виртуальных машин vMotion шифруются с ключом и кодом, гарантируя невозможность воспроизведения данных.

    Шифрование vmotion может быть использовано для незашифрованных ВМ, а на зашифрованных ВМ применяется всегда.


    Поддержка Secure Boot


    В релизе vSphere 6.5 представлена поддержка Secure Boot для виртуальных машин и для гипервизора ESXi.

    ESXi Secure Boot


    С включенной функцией Secure Boot встроенное UEFI проверяет цифровую подпись ядра ESXi по цифровому сертификату в прошивке UEFI. Это гарантирует, что загружаться будет только «правильное» ядро. Для ESXi Secure Boot идет еще дальше, добавляя криптографическое обеспечение всех компонентов ESXi.

    Сегодня в ESXi уже существует цифровая подпись пакетов — VIB (vSphere Installation Bundle). Файловая система ESXi отсылает к содержимому этих пакетов (взломать пакеты невозможно). Благодаря использованию цифровых сертификатов во встроенном UEFI, во время загрузки уже проверенное ESXi Kernel будет, в свою очередь, проверять каждый VIB на предмет встроенного сертификата. Это обеспечивает криптографически чистую загрузку.

    Примечание: если включена Secure Boot, то Вы не сможете принудительно установить неподписанный код на ESXi. Это гарантирует, что при включенной Secure Boot ESXi будет работать только с подписанным цифровым кодом VMware.

    Secure Boot виртуальной машины


    В отношении ВМ организация SecureBoot очень проста. Виртуальная машина должна быть сконфигурирована таким образом, чтобы использовать встроенное EFI, а затем Secure Boot включается с помощью проставления галочки в чекбокс. Обратите внимание, что если безопасная загрузка включена, вы сможете загрузить только сертифицированные драйверы на виртуальную машину.

    Secure Boot для виртуальных машин работает с Windows и Linux.



    Расширенные логи


    Логи vSphere традиционно были ориентированы на устранение неполадок, а не на безопасность. Ситуация меняется в vSphere 6.5 с введением расширенных логов. Прошли те времена, когда вы вносили существенные изменения в виртуальную машину, а в логе получали только запись о том, что ВМ была изменена.

    В новом релизе логии усовершенствованы и сделаны более действенными с помощью отправки данных по мероприятию, таких как «ВМ была перенастроена», через поток данных syslog. Событий теперь содержат то, что на самом деле называется данными. Вместо извещения о том, что «что-то» изменилось, теперь вы получаете информацию о том, что изменилась, что это изменило и как это изменилось. Это данные, на основе которых можно принимать какие-либо меры, а не просто сухое уведомление.

    В 6.5 вы получаете описательный отчет о действии. Например, если добавлено 4 Гб памяти для виртуальной машины, у которой на данный момент 6ГБ, лог расскажет, как это выглядело раньше и как выглядит сейчас. В контексте безопасности, при перемещении виртуальной машины с vSwitch с меткой «PCI» на vSwitch с меткой «Non-PCI», вы получите понятный лог, описывающие эти изменения. Рисунок с примером ниже.



    Решения вроде VMware Log Insight теперь будут давать куда больше информации, но что более важно, более детализированный отчет значит, что вы можете создать более прескриптивные предупреждения и исправления. Более детальная информация помогает принимать более взвешенные критически важные решения в отношении центров обработки данных.

    Автоматизация


    Все эти характеристики имеют определенный уровень автоматизации, например, шифрование политик vMotion. Вот все, что мы хотели рассказать о безопасности в vSphere 6.5. Руководство по безопасности vSphere выйдет в течение квартала после релиза версии 6.5.

    Cloud4Y
    62,60
    #1 Корпоративный облачный провайдер
    Поделиться публикацией

    Комментарии 4

      +4
      Это явно перевод статьи Mike Foley из официального блога VMware vSphere — What’s new in vSphere 6.5: Security.
      Почему же про это ни слова и автором статьи указан Cloud4Y?
        0
        А какие ограничения есть? Как шифрование влияет на скорость работы виртуальной машины и vMotion? Как передается ключ между узлами?

        При всем уважении к VMware, но там сотни граблей раскиданы под заявлениями о крутости новых фич… Рассказали бы хоть о самых очевидных)
          +2
          Пока я не встречал данных о производительности VM Encryption, но шифрование использует AES-NI, что должно положительно сказаться на загрузке процессора.

          Данные шифруются с помощью Data Encryption Key, этот ключ хранится в зашифрованном виде в .vmx файле каждой ВМ. Для расшифровки ключа используется Key Encryption Key, который хранится на выделенном сервере KMS. На текущий момент заявлена поддержка KMS от Gemalto, Safenet, HyTrust и нескольких других вендоров. В процедуре передачи ключа от KMS сервера до хоста участвует vCenter, поэтому VMware не поддерживает шифрование самого vCenter Server.

          Шифрование ВМ накладывает ряд ограничений, например, такие ВМ нельзя реплицировать средствами vSphere Replication, перед шифрованием ВМ надо выключить, не поддерживается перевод ВМ в Suspend, проброс Serial/Parallel портов в ВМ.
            0
            Спасибо огромное! этого в статье и не хватает)

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое