vSphere 6.5 新功能（3）－虛擬機加密　

　　面對越來(lái)越猖獗的黑客攻擊，企業(yè)數據安全已經(jīng)成為 CIO 們日程表中頭等重要的大事。數據安全是一個(gè)系統性的工程，從用戶(hù)終端到后臺數據中心有著(zhù)幾十個(gè)環(huán)節，防火墻、身份認證、應用數據加密每一種技術(shù)都只能解決某些環(huán)節的安全問(wèn)題，只要有一個(gè)環(huán)節沒(méi)有做好安全防護，還是會(huì )留下安全隱患。 　　指定虛機的存儲策略
　　密鑰管理
　　對稱(chēng)加密算法 XTS-AES-256 需要兩個(gè)密鑰：

• 數據密鑰 DEK （Data Encryption Key）：用于加密虛機數據文件，每個(gè)虛機都有一個(gè)唯一的數據密鑰，存放在虛機數據文件中，為了不讓別人看到這個(gè)密鑰，所以我們需要另一個(gè)密鑰 KEK 來(lái)對數據密鑰進(jìn)行加密。
• 加密密鑰的密鑰 KEK （Key Encryption Key）：用于對上面的數據密鑰 DEK 進(jìn)行加密，這個(gè)密鑰是從第三方的密鑰管理服務(wù)器 KMS （Key Management Server） 上獲得的。因為 KMS 也支持多租戶(hù)架構，我們通常把這個(gè)密鑰稱(chēng)為租戶(hù)密鑰（Tenant Key）。注意：租戶(hù)密鑰只保存在 KMS 服務(wù)器上。

　　未加密虛機（必須是處于關(guān)機狀態(tài)）

• 在對應的服務(wù)器上隨機生成一個(gè)數據密鑰 DEK；
• 通過(guò) vCenter 從 KMS 上獲得租戶(hù)密鑰 KEK；
• 使用租戶(hù)密鑰 KEK 對數據密鑰 DEK 進(jìn)行加密，并寫(xiě)入虛機的 vmx 文件；
• 使用數據密鑰 DEK 來(lái)加密整個(gè)虛機數據文件。

　　已經(jīng)加密的虛機

• 從虛機的 vmx 文件中獲得 KEK ID 和加密的數據密鑰
• 通過(guò) vCenter 從第三方密鑰服務(wù)器上根據 KEK ID 獲得租戶(hù)密鑰 KEK
• 利用 KEK 解密獲得數據密鑰 DEK
• 利用數據密鑰 DEK 來(lái)解密虛機數據文件。

　　vSphere 虛機加密采用的是客戶(hù)自帶密鑰（Bring-Your-Own-Key）的策略，有這方面要求的客戶(hù)大部分都已經(jīng)部署了密鑰管理服務(wù)器，我們只需要在 vCenter 中指定客戶(hù)現有的 KMS 服務(wù)器就可以了。當然必須要考慮 KMS 服務(wù)器高可靠和災備的方案，不然一旦發(fā)生故障，取不到 KEK 密鑰，所有的加密虛機可就啟動(dòng)不起來(lái)了。 　　虛機加密了，自然引入了一個(gè)新的概念 － “加密的 vMotion”，虛機數據不但在存儲里面是加密的，而且在 vMotion 的過(guò)程中也是加密的。vCenter 中關(guān)于虛機的配置也多了一個(gè)加密的 vMotion 選項，總共有三個(gè)選擇：

• Disabled（關(guān)閉）：vMotion 所傳輸的虛機數據不加密。
• Opportunistic（看情況）：如果源和目標服務(wù)器都支持虛機加密，就使用加密 vMotion；只要有一方不支持，vMotion 就不采用加密數據。
• Required（強制要求）：僅允許加密的 vMotion，源和目標服務(wù)器只要有一方不支持虛機加密，vMotion 就不會(huì )發(fā)生，這適用于高安全循規要求。