想要有效保護主機中各類重要的敏感資料,可藉由各種安全加密機制來做防護。只是當需要保護的對象是虛擬機器而非實體主機時,該怎麼辦呢?且看本文以實戰講解方式說明如何運用vSphere 6.7對於vTPM技術的支援,解決極機密虛擬機器資料的保護需求。
無論任何規模與型態的組織,只要有使用到資訊系統與網路連線,皆需要一定程度的安全防護措施。在眾多資訊安全的防護措施當中,除了人員出入管制、身分認證、防火牆、防毒、入侵偵測系統外,IT人員對於「加密」這個專有名詞肯定不陌生,因為它的主要目的就是保護資料的安全,讓資料不易被外流或讓有心人士取得。
只是在整個IT運作環境中,不同的服務類型與存取方式,皆有不同的加密保護方案,必須完全弄清楚組織現階段所迫切需要的是哪一種解決方案,才能對症下藥有效地預防可能的資料外洩事件發生。此外,還必須注意所選擇的解決方案,是否會嚴重影響用戶端或管理端平日工作上的不便,否則又會引發另一項IT管理上的難題。
究竟加密保護的方案有哪些,以下依照不同的四大保護目標來加以分類說明:
‧網路與服務連接:為了確保用戶從登入的帳號密碼到操作過程中的各種資料傳遞不會遭到竊取,通常都必須針對用戶端的網路或服務連線,要求使用所選定的加密保護措施,常見的有Wi-Fi網路的WPA加密、網站的HTTPS(SSL)連線、E-mail服務的TLS以及VPN網路的IPSec連線。
‧檔案:為了避免檔案被未經授權的開啟,除了檔案權限配置外,就是要針對其內容進行加密,常見有Windows內建的EFS。當然也可以僅針對文件設定讀取或寫入的密碼,常見的就是Office內建的功能。此外,還有支援Office與PDF文件內容進階保護的AD RMS。關於這一類的加密保護方案,目前也有許多第三方的解決方案,其目的便是為了限制未經授權的列印、轉寄、存取期限等等。
‧資料庫:現今無論是哪一種資料庫系統,幾乎都有一套自家的機密保護機制,以確保資料表(Table)內存放的各類型資料,必須透過相同的演算法則及相對的解密金鑰,才能取得正確的資料。常見保護的敏感資料包括帳號、密碼以及組織人事資料。
‧設備:當企業允許行動工作者將敏感資料隨著洽公而攜出時,保護整個行動設備(例如筆電)內所有磁碟資料的安全而非特定檔案,以確保用戶無法透過USB磁碟、光碟、硬碟卸除存取、網路等途徑來洩漏檔案資料,並且自動嚴格保存讀寫紀錄,以利於法務單位的稽核,其中以結合TPM晶片的Windows BitLocker,便屬於這類的保護措施。
關於vTPM保護功能
透過電腦主機板內建的TPM(Trusted Platform Module)晶片,來加密保護作業系統中磁碟資料的安全,是早在Windows Vista版本開始便已經提供,也就是結合了大家所熟知的Windows BitLocker功能。
TPM版本的發布與維護,主要是由一個非營利組織的TCG(Trusted Computing Group)機構所負責,目前最新的版本是TPM 2.0,並且被廣泛運用在許多商用的筆記型電腦內。
所謂vTPM(Virtual Trusted Platform Module),顧名思義就是以TPM相同的安全保護機制應用在虛擬機器中,以確保虛擬機器實體檔案外流所造成的資訊安全問題,讓外流的虛擬機器無法在其他VMware的相容平台中啟動或存取。
想要使用VMware vTPM的虛擬機器加密保護功能,必須滿足vSphere架構的六大先決條件,分別是已部署第三方KMS伺服器並完成連接配置、Guest OS必須是Windows Server 2016 (64 bit)或Windows 10 (64 bit)、ESXi主機必須為6.7以上版本、vCenter Server 6.7以上版本、虛擬機器硬體14版本、虛擬機器必須採用EFI Firmware來開機。
TPM與vTPM之間有何差別呢?其實兩者都是執行相同的功能,只是前者採硬體的信賴平台模組來作為認證或金鑰儲存區,後者則是以軟體來完成,也就是使用.nvram檔案做為安全的儲存區,而該檔案便是透過虛擬機器加密功能進行加密。