面對越來越猖獗的黑客攻擊，企業數據安全已經成為 CIO 們日程表中頭等重要的大事。數據安全是一個系統性的工程，從用戶終端到後台數據中心有着幾十個環節，防火牆、身份認證、應用數據加密每一種技術都隻能解決某些環節的安全問題，隻要有一個環節沒有做好安全防護，還是會留下安全隐患。

vSphere 采用對稱加密算法 XTS-AES-256 來對虛機進行加密，對虛機文件和加密密鑰一起經過特殊加密算法處理後，使其變成複雜的加密數據。高級加密标準 AES (Advanced Encryption Standard) 是美國聯邦政府采用的一種區塊加密标準。XTS-AES 算法是 2008 年發布的，是目前數據存儲領域廣泛使用的一種加密算法。AES 加密密鑰長度可以是128比特、192比特、256比特中的任意一個，密鑰長度越長越難破解，XTS-AES-256 采用的是256比特長度密鑰。

虛機加密是通過 ESXi 内核完成的，為了優化性能，ESXi 會調用 CPU 的 AES-NI (Advanced encryption Standard – New Instruction) 指令集，通過硬件來加速加密算法，Intel 的 CPU 從 Westmere 開始就全面支持 ASE-NI 指令集。

對一個虛機進行加密是通過修改存儲策略來完成的，虛機本身不需要做任何修改和配置。管理員可以很方便地把一個現有的虛機進行加密，或者是把已經加密的虛機改成不加密的。

對稱加密算法 XTS-AES-256 需要兩個密鑰：

• 數據密鑰 DEK (Data Encryption Key)：用于加密虛機數據文件，每個虛機都有一個唯一的數據密鑰，存放在虛機數據文件中，為了不讓别人看到這個密鑰，所以我們需要另一個密鑰 KEK 來對數據密鑰進行加密。
• 加密密鑰的密鑰 KEK (Key Encryption Key)：用于對上面的數據密鑰 DEK 進行加密，這個密鑰是從第三方的密鑰管理服務器 KMS (Key Management Server) 上獲得的。因為 KMS 也支持多租戶架構，我們通常把這個密鑰稱為租戶密鑰（Tenant Key）。注意：租戶密鑰隻保存在 KMS 服務器上。

vSphere 在虛拟機加密和解密過程中對于密鑰的管理流程是這樣的：1. 未加密虛機（必須是處于關機狀态）在對應的服務器上随機生成一個數據密鑰 DEK；通過 vCenter 從 KMS 上獲得租戶密鑰 KEK；使用租戶密鑰 KEK 對數據密鑰 DEK 進行加密，并寫入虛機的 vmx 文件；使用數據密鑰 DEK 來加密整個虛機數據文件。

2. 已經加密的虛機從虛機的 vmx 文件中獲得 KEK ID 和加密的數據密鑰；通過 vCenter 從第三方密鑰服務器上根據 KEK ID 獲得租戶密鑰 KEK；利用 KEK 解密獲得數據密鑰 DEK；利用數據密鑰 DEK 來解密虛機數據文件。

下面就是一個存放在 vmx 文件中的數據密鑰例子，其中 encryption.keySafe 那一行是 KEY ID，下一行 encryption.data 是被加密的數據密鑰的數據部分。

vSphere 虛機加密采用的是客戶自帶密鑰 (Bring-Your-Own-Key) 的策略，有這方面要求的客戶大部分都已經部署了密鑰管理服務器，我們隻需要在 vCenter 中指定客戶現有的 KMS 服務器就可以了。當然必須要考慮 KMS 服務器高可靠和災備的方案，不然一旦發生故障，取不到 KEK 密鑰，所有的加密虛機可就啟動不起來了。

理論上，凡是兼容 KMIP (Key Management Interoperability Protocol) 1.1 的 KMS 服務器都可以接入 vCenter，以下是 vSphere 6.5 支持的部分 KMS 廠商。

虛機加密了，自然引入了一個新的概念 － “加密的 vMotion”，虛機數據不但在存儲裡面是加密的，而且在 vMotion 的過程中也是加密的。vCenter 中關于虛機的配置也多了一個加密的 vMotion 選項，總共有三個選擇：

• Disabled（關閉）：vMotion 所傳輸的虛機數據不加密。
• Opportunistic（看情況）：如果源和目标服務器都支持虛機加密，就使用加密 vMotion；隻要有一方不支持，vMotion 就不采用加密數據。
• Required（強制要求）：僅允許加密的 vMotion，源和目标服務器隻要有一方不支持虛機加密，vMotion 就不會發生，這适用于高安全循規要求。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!