虚拟化管理员需要在数据保护工具中实现安全、性能、可用性之间的平衡,VMware在vSphere 6.5和vSan6.6中提供了加密功能来解决这个问题。
在这个安全意识持续提升的世界里,数据保护已成为当务之急。其中一项关键措施就是加密,事实上,根据TechTarget公司2018年IT优先任务调查发现,38%的IT管理者们在今年都有计划采取加密安全策略。在vSphere 6.5和vSan 6.6中,VMware软件提供了可以满足此需求的加密功能。专家们表示,尽管VMware加密功能不可能直接推动vSphere和vSAN的采购,但这些功能确实极大地满足了IT管理人员的需求。
Stuart Burns是Marsh公司(纽约一家保险经纪和风险管理公司)虚拟化工程师,他说:“不能说管理员对此疯狂期盼,但是这确实提供了以前缺失的功能(加密功能)。”
不安全世界中加密的重要性
近几年最重大的一次数据泄露发生之后,Equifax公司临时CEO在一次国会听证会上承认,他们没有加密静态数据(不活跃的数据)。Burns说,许多组织现在仍然没有加密关键数据,事实上他们应该加密一切数据。(译注: Equifax公司是美国三家最大的征信公司之一,2017年9月该公司被黑客攻击,泄露1.4亿美国人身份信息。)
他说:“数据丢失的方式有太多种,一旦你丢了数据,数据就永远漏出去了。如果我们做了加密,就不再有这个问题。就算数据丢了,数据也不可能被任何人使用。”
加密还可以通过增加干扰信息,使数据只能通过唯一工具阅读,对任何人都变得一文不值,从而降低设备误置和社会工程攻击带来的问题。密钥管理服务(KMS)支持IT控制所有密钥,这些密钥是读取加密数据必须用到的。(译注:社会工程攻击是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。)
vSphere 6.5中VM级加密
Vsphere6.5是2016年发布的,给管理员提供了管理工具实现加密。在此之前,vSphere加密需要第三方硬件或者软件,不能实现统一粒度的安全级别。这一功能使用了动态处理数据的方法,在数据传输到内核存储之前到达虚拟机磁盘时加密I/O。所有虚拟机文件(包括配置文件和快照文件)都存储在加密文件夹里。
Burns说,vSphere本地加密最吸引人的一个特点是它的易用性。
Burns在一个半小时之内就可以启用加密,他说:“只要会操作VMware和vSphere的管理员都可以很容易地使用加密功能。”
加密功能遵从最小授权原则,限制数据只给需要的人可视。Ed Haletky是The Virtualization Practice有限责任公司首席分析师,他说,在vSphere中即使是虚拟化管理员也只能访问到他们需要的数据,这样他们的安全凭证对于黑客攻击和社会工程攻击价值就小了很多。
他还说:“这个功能是必要的补充,解决了虚拟机管理员可以看到所有数据这一问题。”
vSAN 6.6中的加密功能
VSAN6.6在管理程序级别增加了本地静态数据加密功能,内置于vSAN内核加密整个数据存储。与vSphere的动态数据处理方案不同,vSAN加密整个存储卷,而不是单个虚拟机。
VSAN加密功能是硬件独立的,使用混合模式和全闪存配置。还可以利用到其它vSAN特性,比如删除重复数据和压缩。
vSphere和vSAN都使用相同的加密库,IT管理员可以在他们之间使用同一份的KMS。VMware没有提供自己的KMS,不过vSphere和vSAN支持许多KMS供应商的产品。
Burns认为,VMware加密功能特性主要适用于中小型企业,他们期望给现有VMware基础设施中增加此项扩展功能。随着越来越多的这些公司都采用了超融合基础设施,vSAN加密功能可以帮助VMware平台成为非常有吸引力的方案。不过,大部分情况下,组织不可能只因为这一特性就在vSAN上投资。
VMware加密的局限性——性能影响
在实施安全策略时,VM性能是主要的关注点。Haletky说,VMware声称vSphere的加密不会对I/O性能产生太大的影响,现代处理器性能提升很快,这个问题不再是个大问题。
然而,VMware表示,对于一些高性能设备(例如,先进的非易失性内存Express驱动器),VSphere加密会带来瓶颈。不过,Burns说那些设备应用情况并不是很普遍。
他说:“打算使用VMware vSphere加密功能的用户,不是那些将要使用特殊高性能、高I/O、低延时场景的客户。你也不想为了安全放弃一定的性能,除非有其它更好的办法。
当VMware店铺考虑实施这些加密功能时,主要的麻烦是要做好规划。要加密vSphere中的每个虚拟机,管理员需要安排好工作过程。
另一个问题是授权。组织需要有vSphere企业版Plus授权和vSAN企业版授权才能使用本地加密功能。
只是因为VMware加密的缘故,可能并不会驱动企业在vSphere或者vSAN上投资,不过这些功能可以帮助充实安全组合资产,这对IT来说会越来越重要。
Burns说:“数据加密将会变得越来越重要。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
AWS提供具有许可证移动性的原生VMware服务
AWS和Broadcom将为VMware Cloud Foundation客户提供AWS原生版本的VMware […]
-
新对象存储、虚拟机产品可用于HPE GreenLake
本周在HPE Discover Barcelona大会上,惠与公司(Hewlett Packard Enter […]
-
Pure提供全托管VMware迁移到Azure
Pure Storage推出一项新服务,旨在帮助客户将本地VMware环境迁移到Microsoft Azure […]
-
如何解决Java虚拟线程固定问题
虚拟线程是Java的Project Loom项目引入的一种全新线程模型,并随Java 21 LTS正式发布,虚 […]