Virtual Machine Encryption

tarafından 23 Temmuz 2017 tarihinde VMware, VMware ESXi, VMware vCenter kategorisine yazıldı.

Merhaba,

vSphere 6.5 ile birlikte gelen en güzel özelliklerden biriside virtual machine encryption özelliğiydi. Daha önce bu konu ile ilgili yazmış olduğum yazıya aşağıdaki link’den ulaşabilirsiniz. Bu özellik sayesinde virtual machine’lerinizi daha güvenli bir hale getirebilirsiniz. Virtual machine Encryption ‘i kullandığınızda sadece virtual machine’inizi değil aynı zamanda virtual machine disklerini ve diğer dosyalarıda korur.

vSphere 6.5 – VM Encryption Nedir?

vCenter Server ve key management server yani KMS arasında bir bağlantı kurarak virtual machine encryption’ı kullanabilirsiniz. vSphere Virtual Machine Encryption ile şifrelenmiş virtual machine’ler oluşturabilir ve mevcut virtual machine machine’leri şifreleyebilirsiniz. Önemli bilgiler içeren tüm virtual machine dosyaları şifrelendiği için virtual machine bütünüyle korunmuş yani secure hale getirilmiş olur. Yanlızca yetkili kullanıcılar şifreleme ve şifre çözme görevlerini gerçekleştirebilir. Virtual machine Encryption için KMS mutlaka gereklidir. Yani aslında bütün herşey KMS ile vCenter arasında bitiyor. Bundan dolayı sizin ortamınızda bulunan virtual machine’in hangi datastore’da olduğu hangi protokolü kullandığı veya hangi işletim sistemini kullandığının hiç önemi yoktur.

Şifreleme (encryption) için iki tür key kullanılır. ESXi host ve virtual machine ve diskleri şifrelemek için internal key’ler kullanır. Bu key’ler, DEK ve XTS-AES-256 keyleridir. vCenter Server KMS’den key talep eder. Bu key’ler KEK yani key encryption key olarak kullanılır. ESXi internal key’leri encrypt etmek için KEK’leri kullanır ve bu internal key’i disk’e depolar. ESXi KEK’i diskte saklamaz. Bir host yeniden başlatılırsa vCenter Server KEK’ten gelen ilgili kimliği KMS’den ister. Böylece ESXi tarafından kullanılabilir hale getirir. Virtual machine düzeyinde bir şifreleme yapıldığı için VMDK ile virtual machine’in dosyaları farklı datastore’larda bile olsa şifrelenir. Virtual machine hangi dosyaları kullanıyorsa yani nvram, vswp, vmsn dosyaları bile şifrelenir. Şifrelenen bir virtual machine dosyasını şifrelenmemiş bir virtual machine üzerinde çalıştıramazsınız. Peki virtual machine’e ait birçok dosya şifrelenirken hangi dosyalar şifrelenmez birazda ondan bahsedeyim. Log dosyaları, vmx, vmsd ve disk descriptor file şifrelenmez. Bu dosyaların içerisinde doğrudan virtual machine’in güvenliğini tehdit edecek bir bilgi bulunmadığı için şifrelenmez.

Virtual machine encryption özelliği 3 bileşen üzerinde işlem görür.

Key Management Server:

vCenter Server KMS’den key talep eder. KMS, key’leri üretir ve saklar. Bunun dağıtımı için vCenter Server’a aktarır. vCenter Server’a bir KMS eklemek için vSphere Web Client’i veya vSphere API’i kullanabilirsiniz. Bir cluster’da birden fazla KMS kullanıyorsanız tüm instance’ların aynı vendor’dan olması gerekmektedir.

vCenter Server:

KMS ‘de oturum açmak için yanlızca vCenter Server kimlik bilgilerine sahiptir. ESXi doğrudan KMS ‘e erişmez. vCenter Server, KMS üzerinden key’leri alır ve bunları ESXi host’lara gönderir. vCenter Server KMS key’lerini saklamaz ancak key’lerin ID’lerinin bir listesini tutar.

ESXi host:

ESXi host bir key’e ihtiyaç duyduğunda bunu vCenter Server üzerinden alabilir. Burada ESXi host üzerinde bulunan virtual machine encrypt edilir. Bu aşamadan sonra network üzerinden gönderilen virtual machine data’ları encryption edilmeden gönderilmez.

Umarım faydalı olmuştur.

iyi çalışmalar.

 

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2017, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.