vSphere 6.5 Security 新功能簡介

前言

在新一代 vSphere 6.5 虛擬化平台中，針對「安全性」(Security)的部分新增許多特色功能。同時，在兼顧安全性的同時又不失「管理」(Management)及「自動化」(Automation)等特性，如此一來才會讓企業及組織能夠順利及樂意使用這些安全性功能。

VM Encryption

雖然，加密 VM 虛擬主機的機敏資料是多年來一直在進行的事情，但每個解決方案都有不足或造成困擾的部分。在最新 vSphere 6.5 虛擬化平台中，我們希望能夠解決這個問題。加密的對象將針對「VM Home Files (VMX, Snapshot…etc)」以及「VMDK 虛擬磁碟」都會進行加密。並且，當「資料 I/O」從VM 虛擬主機的 vHBA 虛擬磁碟控制器出來時，再傳送到「Kernel Storage Layer」之前就會進行加密的動作。

透過 VM Encryption 加密機制可以獲得的優點如下：
1. 加密行為是發生在「Hypervisor 層級」而非 VM 虛擬主機層級，所以 Guest OS 及 Datastore 類型不會是影響加密的因素。
2. 加密機制是透過「原則」(Policy)來進行部署及管理作業。簡單來說，不管 VM 虛擬主機採用哪種 Guest OS 都可以進行加密。
3. 由於加密機制是在 Hypervisor 層級，所以不必監控 VM 虛擬主機是否有運作加密機制，同時「加密金鑰」(Key)也不會儲存在 VM 虛擬主機的記憶體當中。
4. 加密金鑰的管理作業是採用業界標準的「KMIP 1.1」，其中 vCenter Server 就是 KMIP Client 也是 KMIP 1.1 Key Manager。同時，管理人員也可以選擇 VM Keys 不要儲存在 vCenter Server 中。
5. 在 vSphere 6.5 當中 VM Encryption，採用 CPU 指令集中的「AES-NI」來進行加密的動作。此舉，可以有效降低 ESXi 主機的工作負載。

圖片來源： VMware vSphere Blog - What's new in vSphere 6.5: Security

vMotion Encryption

針對 vMotion 傳輸流量進行加密的要求其實已經很長一段時間，現在開始於新一代 vSphere 6.5 虛擬化平台中正式提供此功能。此外，在這個版本中的「vMotion Encryption」並非加密網路所以無須管理憑證或其它網路組態設定。

加密是針對「每台 VM」層級，當 VM 虛擬主機啟用 vMotion Encryption 機制後，倘若針對該 VM 虛擬主機進行 vMotion 線上遷移作業時，vCenter Server 將會「隨機產生」(Randomly Generated) 1個「One time 256-bit Key」(請注意，此加密金鑰並不會採用 vCenter Server Key Manager 產生)。

除了隨機 256-bit 加密金鑰之外還會搭配「64-bit 隨機數」，所以當進行 VM 虛擬主機 vMotion 線上遷移作業時，將會打包「256-bit Key 加上 64-bit 隨機數」在「2 台 ESXi 主機」之間，以確保兩端之間通訊所傳輸的資料無法被惡意人士所複製。

圖片來源： VMware vSphere Blog - What's new in vSphere 6.5: Security

支援 Secure Boot

在新一代 vSphere 6.5 虛擬化平台中，同時支援「ESXi Hypervisor」及「VM 虛擬主機」啟用「安全啟動」(Secure Boot)機制。

ESXi - Secure Boot

當管理人員為 ESXi 主機啟用 Secure Boot 機制後，在 UEFI Firmware 中將會針對 ESXi Kernel 進行數位簽章的動作，確保只有通過安全認證的模組或 VIB 軟體套用包才能被啟動及使用。值得注意的是，當 ESXi 主機啟用 Secure Boot 機制後，只能在 ESXi 主機上安裝由 VMware 所簽署的 VIB (vSphere Installation Bundle) 套件包，其它 VIB 套件包則是無法強制進行安裝的。

圖片來源： VMware vSphere Blog - What's new in vSphere 6.5: Security

VM - Secure Boot

首先，不管 VM 虛擬主機採用的是 Windows 或 Linux 作業系統，只要針對 VM 虛擬主機使用「EFI」後便可以勾選啟用 Secure Boot 機制。同樣的，當 VM 虛擬主機啟用 Secure Boot 機制之後，那麼只能安裝「通過簽署」的驅動程式。

圖片來源： VMware vSphere Blog - What's new in vSphere 6.5: Security

增強的日誌機制

在過去 vSphere 的日誌機制，一直專注於故障排除的部分而未包含「安全」或「IT 操作」的部分。現在，可以得到詳細的日誌並透過 Syslog 機制，將 vCenter Server 的日誌傳送到 Vmware Log Insight。舉例來說，假設有台 VM 虛擬主機原本 vRAM 為 6GB，然後我們為它增加「4 GB」的 vRAM 空間此時便可以在日誌中看到相關資訊，或者是 VM 原本連接的 vSwitch 為 PCI 異動至「Non-PCI」 也將會詳細記錄下來。

圖片來源： VMware vSphere Blog - What's new in vSphere 6.5: Security

自動化

後續，將會看到自動化作業的相關文件，例如，透過 PowerCLI 達到針對 VM 虛擬主機自動化加密及解密、針對大量 VM 虛擬主機同時啟用 Secure Boot 安全啟動機制、針對 VM 虛擬主機啟用 vMotion Encrypted……等。同時，這些自動化指令碼範例也將會上傳至 GitHub 中。

參考資源

• VMware vSphere Blog - What's new in vSphere 6.5: Security
• 進階加密指令集和安全金鑰構成 Intel® 資料保護技術 (Intel® Data Protection Technology)
• Intel Software - INTRODUCTION TO INTEL AES-NI AND INTEL SECURE KEY INSTRUCTIONS
• Intel - Advanced Encryption Standard Instructions (AES-NI)
• Intel AES-NI Ecosystem (March 2013 update)