︿
Top

前言

日前 (2017/4/18),VMware 官方正式發佈 vSAN 第六代 VMware vSAN 6.6,在新版 vSAN 6.6 中共新增 23 項特色功能,並且可以區分為五大類分別是「安全、管理、部署、可用性、效能」

其中,在安全性方面有 2 項新功能分別是「Native Encryption」「Compliance」,同時在 VMware SDDC 軟體定義資料中心的願景中,VMware vSAN 擔任 SDS 軟體定義儲存的重要角色。因此,確保儲存資源的安全性機制將相形重要,在新版 vSAN 6.6 當中無須依靠加密磁碟 (SED) 就可以達成靜態資料加密解決方案,有效保護企業及組織當中的機敏資訊。




vSphere 6.5 進階安全性機制

在新版 vSphere 6.5 版本中,VMware 推出針對現代化資料中心的進階安全性機制,例如,VM Encryption、vMotion Encryption、Secure Boot (ESXi Secure Boot / VM Secure Boot)、Enhanced Logging……等 (詳細資訊請參考站內文章 網管人雜誌 132 期 - 安全可用性全面提升 vSphere 6.5 新版本亮點多)。現在,VMware 將進階安全性機制擴展到 HCI 超融合基礎架構的 vSAN 軟體定義儲存技術當中。



vSAN 6.6 Native Encryption

在新版 vSAN 6.6 當中,VMware 導入業界第 1 個 HCI 超融合基礎架構原生加密解決方案。簡單來說,這個加密解決方案是內建在 vSAN 軟體定義儲存技術內,只要在管理介面中進行相關組態設定後,便可以針對 vSAN Datastore 儲存資源進行「啟用 或 停用」加密機制。

首先,在 vSAN 6.6 Native Encryption 加密機制,是座落在「Hypervisor Level」而非 VM 虛擬主機層級的加密,並且 vSAN 6.6 Native Encryption 加密機制與「硬體無關」,所以無須依靠專用及昂貴的「加密磁碟」(Self-Encrypting Drives,SED)即可達成機敏資料加密的目的。因此,vSAN 6.6 Native Encryption 加密機制能夠帶給企業及組織不同的 HCI 加密解決方案。


vSAN 6.6 Native Encryption 加密機制運作細節:

  • 「Cluster」為單位進行 vSAN Encryption 加密機制的啟用及組態設定。
  • vSAN Encryption 加密機制與「硬體無關」,所以無須採用專用及昂貴的「加密磁碟」(Self-Encrypting Drives,SED)即可達成機敏資料加密的目的。
  • 針對 Cluster 啟用 vSAN Encryption 加密機制後,系統將會採用「XTS AES 256」演算法針對 vSAN Datastore 儲存資源中,有關「Cache」「Capacity」層級的部分進行加密保護。
  • 由於 vSAN Encryption 加密機制,是座落在儲存堆疊架構中「Device Driver Layer」之上,所以不管是 vSAN Stretched Cluster、Inline Deduplication、Compression、Erasure Coding……等 vSAN 特色功能均不受影響。
  • vSAN Encryption 加密機制與 vSphere 特色功能,例如,vSphere vMotion、vSphere DRS (Distributed Resource Scheduler)、vSphere HA (High Availability)、vSphere Replication……等,都能夠與 vSAN Encryption 加密機制協同運作。
  • vSAN Encryption 加密解決方案,同時也符合「2-Factor Authentication (SecurID and CAC)」驗證機制,也是第 1 個經過 DISA / STIG 認可的 HCI 解決方案。
  • 啟用 vSAN Encryption 加密機制,跟啟用 vSphere 6.5 當中的 VM Encryption 加密機制一樣,都需要「KMS (Key Management Server)」才行。只要是符合 KMIP 1.1 標準的 KMS 供應商即可,例如,HyTrust、Gemalto、Thales e-Security、CloudLink、Vormetric……等。
  • 啟用 vSAN Encryption 加密機制非常簡單,但值得注意的是加密機制啟用「Disk Format」將需要「重新格式化」。因此,倘若儲存資料量龐大時將會花費大量的時間進行資料遷移作業,並且在啟用成功後可以透過 ESXi Shell 以「esxcli vsan storage list」指令進行確認,將會看到「Encryption: true」的訊息便表示加密作業成功。同樣的,當停用加密機制後,也將因為更改磁碟格式及重新格式化等作業,當儲存資料量龐大時將會花費大量的時間進行資料遷移作業。
  • 由於 vSAN Encryption 加密機制,是透過 KMIP (Key Management Interoperability Protocol) 通訊協定,在 vSAN 叢集主機與 KMS 伺服器之間進行溝通。因此,VMware vCenter Server PSC 等 VM 虛擬主機,是能夠在啟用加密的 vSAN Datastore 中運作的。
  • 由於業界的資安準則中需要定期重新產生新的加密金鑰,以便降低加密金鑰被暴力破解的危害。只要在 vSAN 管理介面進行簡單的組態設定,便可以重新產生新的加密金鑰
  • vSAN Encryption 加密機制,適用於 vSAN All-Flash 及 Hybrid 儲存運作架構,並且與 KMIP 1.1 金鑰管理機制整合及協同運作。
  • vSAN Encryption 加密機制,目前僅支援新版 vSAN 6.6 的 vSAN Datastore,尚未支援其它舊版 vSAN Datastore。

圖、透過 vCenter Server 組態設定 KMS Server

圖、啟用 vSAN Encryption 加密機制

圖、重新產生新的加密金鑰



參考資源







VMware vSAN 6.6 攻略系列文章

文章標籤: ,