虚拟化管理员需要在数据保护工具中实现安全、性能、可用性之间的平衡，VMware在vSphere 6.5和vSan6.6中提供了加密功能来解决这个问题。

在这个安全意识持续提升的世界里，数据保护已成为当务之急。其中一项关键措施就是加密，事实上，根据TechTarget公司2018年IT优先任务调查发现，38%的IT管理者们在今年都有计划采取加密安全策略。在vSphere 6.5和vSan 6.6中，VMware软件提供了可以满足此需求的加密功能。专家们表示，尽管VMware加密功能不可能直接推动vSphere和vSAN的采购，但这些功能确实极大地满足了IT管理人员的需求。

Stuart Burns是Marsh公司（纽约一家保险经纪和风险管理公司）虚拟化工程师，他说：“不能说管理员对此疯狂期盼，但是这确实提供了以前缺失的功能（加密功能）。”

不安全世界中加密的重要性

近几年最重大的一次数据泄露发生之后，Equifax公司临时CEO在一次国会听证会上承认，他们没有加密静态数据（不活跃的数据）。Burns说，许多组织现在仍然没有加密关键数据，事实上他们应该加密一切数据。（译注： Equifax公司是美国三家最大的征信公司之一，2017年9月该公司被黑客攻击，泄露1.4亿美国人身份信息。）

他说：“数据丢失的方式有太多种，一旦你丢了数据，数据就永远漏出去了。如果我们做了加密，就不再有这个问题。就算数据丢了，数据也不可能被任何人使用。”

加密还可以通过增加干扰信息，使数据只能通过唯一工具阅读，对任何人都变得一文不值，从而降低设备误置和社会工程攻击带来的问题。密钥管理服务（KMS）支持IT控制所有密钥，这些密钥是读取加密数据必须用到的。（译注：社会工程攻击是黑客米特尼克悔改后在《欺骗的艺术》中所提出的，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。）

vSphere 6.5中VM级加密

Vsphere6.5是2016年发布的，给管理员提供了管理工具实现加密。在此之前，vSphere加密需要第三方硬件或者软件，不能实现统一粒度的安全级别。这一功能使用了动态处理数据的方法，在数据传输到内核存储之前到达虚拟机磁盘时加密I/O。所有虚拟机文件（包括配置文件和快照文件）都存储在加密文件夹里。

Burns说，vSphere本地加密最吸引人的一个特点是它的易用性。

Burns在一个半小时之内就可以启用加密，他说：“只要会操作VMware和vSphere的管理员都可以很容易地使用加密功能。”

加密功能遵从最小授权原则，限制数据只给需要的人可视。Ed Haletky是The Virtualization Practice有限责任公司首席分析师，他说，在vSphere中即使是虚拟化管理员也只能访问到他们需要的数据，这样他们的安全凭证对于黑客攻击和社会工程攻击价值就小了很多。

他还说：“这个功能是必要的补充，解决了虚拟机管理员可以看到所有数据这一问题。”

vSAN 6.6中的加密功能

VSAN6.6在管理程序级别增加了本地静态数据加密功能，内置于vSAN内核加密整个数据存储。与vSphere的动态数据处理方案不同，vSAN加密整个存储卷，而不是单个虚拟机。

VSAN加密功能是硬件独立的，使用混合模式和全闪存配置。还可以利用到其它vSAN特性，比如删除重复数据和压缩。

vSphere和vSAN都使用相同的加密库，IT管理员可以在他们之间使用同一份的KMS。VMware没有提供自己的KMS，不过vSphere和vSAN支持许多KMS供应商的产品。

Burns认为，VMware加密功能特性主要适用于中小型企业，他们期望给现有VMware基础设施中增加此项扩展功能。随着越来越多的这些公司都采用了超融合基础设施，vSAN加密功能可以帮助VMware平台成为非常有吸引力的方案。不过，大部分情况下，组织不可能只因为这一特性就在vSAN上投资。

VMware加密的局限性——性能影响

在实施安全策略时，VM性能是主要的关注点。Haletky说，VMware声称vSphere的加密不会对I/O性能产生太大的影响，现代处理器性能提升很快，这个问题不再是个大问题。

然而，VMware表示，对于一些高性能设备（例如，先进的非易失性内存Express驱动器），VSphere加密会带来瓶颈。不过，Burns说那些设备应用情况并不是很普遍。

他说：“打算使用VMware vSphere加密功能的用户，不是那些将要使用特殊高性能、高I/O、低延时场景的客户。你也不想为了安全放弃一定的性能，除非有其它更好的办法。

当VMware店铺考虑实施这些加密功能时，主要的麻烦是要做好规划。要加密vSphere中的每个虚拟机，管理员需要安排好工作过程。

另一个问题是授权。组织需要有vSphere企业版Plus授权和vSAN企业版授权才能使用本地加密功能。

只是因为VMware加密的缘故，可能并不会驱动企业在vSphere或者vSAN上投资，不过这些功能可以帮助充实安全组合资产，这对IT来说会越来越重要。

Burns说：“数据加密将会变得越来越重要。”