Вопросы и ответы
В разделе собраны вопросы и ответы по сервису Шифрование виртуальных машин.
Зачем нужно шифрование ВМ?
Шифрование ВМ защищает файлы и данные на ВМ от несанкционированного доступа. Шифрование ограничивает доступ к конфиденциальным данным со стороны третьих лиц и минимизирует риск извлечения данных из ВМ злоумышленником.
Что входит в состав услуги?
В состав услуги входит возможность шифрования конфигурационных файлов данных и дисков ВМ, предоставление доступа к шаблонам гостевых ОС с возможностью хранения ключей шифрования в vTPM.
Что такое vTPM?
vTPM — виртуальное исполнение криптопроцессора TPM. TPM выполняет операцию шифрования и является хранилищем для ключей. Наличие vTPM позволяет пользоваться шифрованием ВМ без ввода парольной фразы средства шифрования при каждой загрузке ОС ВМ.
Какие ВМ можно зашифровать?
Зашифровать можно как новые создаваемые ВМ, так и уже развернутые рабочие ВМ без шифрования. Для уже рабочих ВМ потребуется выключить данные ВМ. Для ВМ с ОС Linux в рамках ОС потребуется выделить дисковое пространство с поддержкой шифрования.
Что именно шифруется и что не шифруется?
Шифруются файлы ВМ, например гостевые данные, файлы .NVRAM, .VSWP, .VMDK, файлы виртуальных дисков .VMDK и дампы ядра.
Не шифруются лог-файлы, конфигурационные файлы ВМ и файл дескриптора виртуального диска.
Какие сценарии шифрования ВМ возможны?
Cloud.ru предлагает два варианта шифрования:
Полное шифрование данных ВМ и дисков средствами платформы виртуализации.
Гибридное шифрование: данные ВМ шифруются средствами платформы виртуализации, диски шифруются средствами гостевой ОС (например, BitLocker для Windows, LUKS для Linux). Предоставляется возможность хранения ключей в vTPM для автоматического шифрования/расшифрования.
Какое шифрование используется?
Для шифрования данных на уровне облачной платформы используется DEK-ключ с алгоритмом шифрования XTS-AES-256. Сам ключ дополнительно шифруется ключом KEK с алгоритмом шифрования AES256.
Какие требования предъявляются к использованию vTPM?
Требования к ВМ:
EFI firmware
ВМ выключена
Поддерживаемые гостевые ОС:
Linux
Windows Server 2008 и старше
Windows 7 и старше
- Зачем нужно шифрование ВМ?
- Что входит в состав услуги?
- Что такое vTPM?
- Какие ВМ можно зашифровать?
- Что именно шифруется и что не шифруется?
- Какие сценарии шифрования ВМ возможны?
- Какое шифрование используется?
- Какие требования предъявляются к использованию vTPM?