若從資料外洩的角度來評估虛擬化平台架構上的安全問題,只要虛擬機器的實體檔案落在惡意人士手中,一切存在於其中的敏感資料都將岌岌可危。本文將以實戰講解的方式,示範如何在VMware vSphere 6.5以上版本中,有效解除這一個潛在於虛擬化架構下的不定時炸彈。
另一種常見加密管理的情境則是有多組KMS的叢集,並需要針對不同的虛擬機器加密需求設定不同的加密原則及不同的KMS叢集,可參考以下的Script範例:
$EncryptionPolicy01= Get-SpbmStora
gePolicy -name "虛擬機器儲存區原則01"
$EncryptionPolicy02 = Get-SpbmStora
gePolicy -name "虛擬機器儲存區原則02"
Get-VM VM01 | Enable-VMEncryption
-policy $EncryptionPolicy01 -KMSC
lusterID "KMSCluster01"
Get-VM VM02 | Enable-VMEncryption
-policy $EncryptionPolicy01 -KMSC
lusterID "KMSCluster02"
在這個範例中主要先建立好兩個加密原則的變數,然後在最後兩道命令參數中,指定VM01與VM02的相對原則名稱,以及KMS叢集名稱。
學會有關於透過PowerCLI命令方式來管理虛擬機器的加密之後,最後來看看如何同樣使用它來管理KMS的配置。首先是新增KMS連線的方法,可透過以下的命令參數範例來新增一個KMS配置:
New-KMServer -KMServer 192.
168.7.235 -KMSClusterId "KMSCluster01"
-Name "KeyControl"
若是往後需要將上述的KMS配置刪除,可以參考以下命令參數範例:
Remove-KMServer -KMSClusterId
"KMSCluster01" -KMSName "KeyCont
rol"
當有多個KMS叢集在同時運作時,如果想要將選定的叢集設定成預設使用的KMS叢集(例如KMSCluster01),則執行「Set-DefaultKMSCluster -KMSClusterId "KMSCluster01"」。若要查詢目前預設的KMS叢集資訊,則只要執行「Get-DefaultKMSCluster」。其他與KMS管理相關的PowerCLI命令,還包括Get-KMSCluster、Get-KMSClusterInfo、Get-KMServerInfo以及Get-KMServerStatus。
結語
雖然VMware有提供一個測試用的KMIP Server Docker Container,讓IT人員可以在實驗室的環境中體驗一下虛擬機器加密的功能。然而,筆者認為在vCenter之中應當直接內建簡易版的KMIP Server,而不是期望每一位用戶都能夠採用第三方的解決方案來進行整合,畢竟KMS Server並非僅提供虛擬機器的加密保護用途,若沒有其他額外的安全整合需要,如此的投資成本將可能不符合實際的運作效益。
此外,如果能夠再提供一個相容於Microsoft CA(Certificate Authority)憑證的加密整合功能,相信也會更符合現行許多以Active Directory為基礎的網路環境之需要。
<本文作者:顧武雄, Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-218、IBM Unified Communications/Notes/Domino/Connections Certified。>