PQR toont VMware vSphere- en vSAN-encryptie in PEC

Ronald de Jong

Met de release van de laatste versies van vSphere (6.5) en vSAN (6.6) heeft VMware extra beveiligingsmogelijkheden ingebracht om virtuele machines te beschermen tegen ongewenste toegang.

VMware heeft (onder andere) encryptie toegevoegd aan het brede spectrum van functionaliteiten, zowel in de hypervisor laag als in de storage laag. Sinds kort kunnen wij ook deze functionaliteiten tonen in het PQR Experience Center.

Encryptie

Om gebruik te kunnen maken van encryptie, is het nodig dat er gebruik gemaakt wordt van een externe “Key Management Server”. Deze KMS is verantwoordelijk voor het aanmaken en bewaren van de sleutels die nodig zijn om virtuele harde schijven te encrypten. Deze sleutels worden in een externe omgeving opgeslagen en communicatie tussen vSphere/vSAN en de KMS worden ook encrypted uitgevoerd, zodat de beveiliging end-to-end is.

Voor de encryptie met vSphere en vSAN in het PQR Experience Center maken we gebruik van een virtuele oplossing van één van onze partnerorganisaties, te weten Gemalto SafeNet Virtual KeySecure. Deze eenvoudig te implementeren oplossing biedt onder meer precies die functionaliteit die nodig is om vSphere en vSAN encryptie toe te passen. Na de koppeling van de vCenter server en de Virtual KeySecure appliance kan het daadwerkelijke encrypten plaatsvinden.

vSphere Encryptie

Het encrypten van een virtuele machine, of delen daarvan, binnen vSphere is bijzonder eenvoudig. Nadat de koppeling is gemaakt tussen de vCenter server en de KMS oplossing is het encrypten van uit te voeren door het veranderen van de policy[1].

Ook bij het aanmaken van een nieuwe virtuele machine, kan direct worden gekozen voor encryptie.

Uiteraard is het net zo eenvoudig om de virtuele machine of virtuele harde schijf weer te decrypten. Dit gebeurt allemaal op basis van de aangemaakte policies.

Door middel van een configuratie-instelling binnen de virtuele machine is het mogelijk om (per virtuele machine) te bepalen dat tijdens een vMotion de datastroom encrypted wordt verzonden.

Voor virtuele machines die (deels) zijn ingesteld op encryptie zal de standaardinstelling op “Required” staan. Voor virtuele machines waarvoor dit niet geldt is de standaardinstelling “Opportunistic”.

vSAN Encryptie

Ook het encrypten met vSAN is bijzonder eenvoudig. Na het aanzetten van encryptie zijn automatisch alle componenten (virtuele harde schijven en virtuele machine configuratie bestanden) encrypted.

Doordat er op vSAN Datastore niveau encryptie wordt toegepast, is het tevens mogelijk om gebruik te (blijven) maken van compressie en deduplicatie, iets wat niet kan bij het gebruik van vSphere encryptie. Dit is de belangrijkste reden dat VMware beide mogelijkheden naast elkaar biedt. Wanneer enkel gebruik gemaakt wordt van vSphere encryptie, dan is het niet meer mogelijk om op een efficiënte manier de data te dedupliceren en/of te comprimeren. Yellow-Bricks heeft hier een uitstekend artikel over gepubliceerd. 

Interesse?

Interesse in encryptie van virtuele machines of in andere onderdelen van het Software Defined DataCenter? Kom lang in het PQR Experience Center, of laat het PEC bij u op bezoek komen. Neem contact op met uw PQR-accountmanager of met ondergetekende om een afspraak te maken.

Ronald de Jong
Senior Consultant PQR

>> meer blogs

[1] Een vereiste voor het kunnen encrypten van een virtuele harde schijf is dat ook VM home wordt encrypted.