Главная
Страница

Шифрование виртуальных машин

Защита данных на виртуальных дисках от злоумышленников

ПопробоватьПолучить консультацию

О продукте

Шифрование виртуальных машин позволяет хранить файлы виртуальной машины (файл конфигурации, файлы виртуальных дисков, снапшоты и т.п.) в зашифрованном виде на СХД. Заказчик может управлять шифрованием в консоли платформы виртуализации, в том числе с использованием Virtual Trusted Platfom Module (vTPM) в связке с Full Disk Encryption (FDE) на уровне операционной системы (ОС), например c Windows BitLocker.

Что шифруем?

Шифруются файлы виртуальной машины, например гостевые данные, файлы NVRAM, VSWP и VMSN, файлы виртуальных дисков (VMDK), дампы ядра.

Что не шифруем?

Не шифруются лог-файлы, конфигурационные файлы виртуальной машины, файл дескриптора виртуального диска.

Как шифруем?

Мы предлагаем два варианта:

  • Полное шифрование данных виртуальной машины и дисков средствами платформы виртуализации.
  • Гибридное шифрование — данные виртуальной машины шифруются средствами платформы виртуализации, а диски шифруются средствами гостевой ОС (BitLocker для Windows, LUKS для Linux).

Для шифрования данных используется DEK-ключ с алгоритмом шифрования XTS-AES-256. Ключ дополнительно шифруется ключом KEK с алгоритмом шифрования AES256.

Характеристики

1

Ключи шифрования надёжно защищены от несанкционированного доступа и управляются заказчиком.

2

Реализована схема резервирования, исключающая временную потерю доступности или потерю информации.

3

Зашифрованные ВМ можно переносить между площадками Cloud или экспортировать.

Логическая схема работы

Выберите сценарий:

  • Схема работы

Как работает шифрование

  • vCenter с помощью Native Key Provider (NKP) генерирует Key Encryption Key (KEK) и сохраняет его в своей базе данных.
  • vCenter передает KEK всем ESXi в кластере vSphere High Avalibility. ESXi хранят KEK в оперативной памяти и никогда не записывают его на диск.
  • ESXi, получив KEK, генерирует Data Encryption Key (DEK).
  • ESXi зашифровывает DEK с помощью KEK.
  • ESXi записывает зашифрованный DEK в конфигурационный файл ВМ.
  • ESXi шифрует файлы ВМ с помощью DEK.

Cloud
Шифрование виртуальных машин

Защита данных на виртуальных дисках от злоумышленников

ПопробоватьПолучить консультацию