Вопросы и ответы

В этом разделе приведены вопросы по продукту.

Что входит в состав услуги?

В состав услуги входит возможность шифрования конфигурационных файлов данных и дисков ВМ, предоставление доступа к шаблонам гостевых ОС с возможностью хранения ключей шифрования в vTPM.

Зачем нужно шифрование ВМ?

Шифрование ВМ обеспечивает защиту файлов ВМ и хранимых в ВМ данных от несанкционированного доступа. Включение данной функции позволяет ограничить доступ к конфиденциальным данным со стороны третьих лиц и минимизировать риски извлечения данных из ВМ злоумышленником.

Какие ВМ можно зашифровать?

Зашифровать можно как новые создаваемые ВМ, так и уже развернутые рабочие ВМ без шифрования. Однако, в случае уже рабочих ВМ потребуется выключение данных ВМ.

Что именно шифруется и что не шифруется?

Шифруются файлы ВМ, в том числе:

  • файлы NVRAM, VSWP и VMSN,

  • файлы виртуальных дисков (VMDK),

  • дампы ядра.

Не шифруются:

  • лог-файлы,

  • конфигурационные файлы ВМ,

  • файл дескриптора виртуального диска.

Какие варианты шифрования предлагает Cloud?

Мы предлагаем два варианта шифрования:

  • Полное шифрование данных ВМ и дисков средствами платформы виртуализации.

  • Гибридное шифрование: данные ВМ шифруются средствами платформы виртуализации, диски шифруются средствами гостевой ОС (например, BitLocker для Windows, LUKS для Linux). Ключи шифрования дисков ВМ хранятся при этом в зашифрованном виде vTPM.

Какое шифрование используется на уровне виртуализации?

Для шифрования данных на уровне системы виртуализации используется DEK-ключ с алгоритмом шифрования XTS-AES-256. Сам ключ дополнительно шифруется ключом KEK с алгоритмом шифрования AES256.

Что такое vTPM?

vTPM является виртуальным исполнением криптопроцессора TPM. TPM выполняет операцию шифрования и является хранилищем для ключей. Наличие vTPM позволяет пользоваться шифрованием ВМ без ввода парольной фразы средства шифрования при каждой загрузке ОС ВМ.

Какие требования предъявляются к шифрованию ВМ с возможностью хранения ключей шифрования в vTPM?

Требования, предъявляемые к ВМ:

  • EFI firmware

  • vTPM

  • Secure Boot

  • Перед настройкой убедитесь, что ВМ выключена

Поддерживаемые гостевые ОС:

  • Linux

  • Windows Server 2008 и старше

  • Windows 7 и старше

Возможно ли применить шифрование к уже работающей незашифрованной ВМ?

Да, можно применить шифрование к уже работающей без шифрования ВМ. Однако операция шифрования потребует выключения ВМ. У ВМ должен быть загрузчик типа EFI, чтобы хранить ключи шифрования в vTPM.

Как правильно создать новую ВМ с политикой шифрования и зашифровать уже работающую ВМ?

Правильная настройка шифрования описана в инструкции.

Запустили Evolution free tier
для Dev & Test
Получить