Обзор шифрования виртуальных машин

Защита данных на виртуальных дисках от злоумышленников, которые могут получить доступ к информации на диске, подключив его к другой виртуальной машине.

О продукте

Шифрование виртуальных машин (ВМ) позволяет хранить файлы виртуальной машины (файл конфигурации, файлы виртуальных дисков, снапшоты и т. п.) в зашифрованном виде на СХД. Заказчик может управлять шифрованием в консоли управления Enterprise, в том числе с использованием vTPM в связке с FDE на уровне операционной системы, например c Windows BitLocker.

Что можно зашифровать?

Шифруются файлы ВМ, в том числе:

  • файлы NVRAM, VSWP и VMSN,

  • файлы виртуальных дисков (VMDK),

  • дампы ядра.

Что не шифруется?

Не шифруются:

  • лог-файлы,

  • конфигурационные файлы ВМ,

  • файл дескриптора виртуального диска.

Как шифруем?

Мы предлагаем два варианта шифрования:

  • Полное шифрование данных ВМ и дисков средствами платформы Enterprise.

  • Гибридное шифрование: данные ВМ шифруются средствами платформы Enterprise, диски шифруются средствами гостевой ОС (BitLocker для Windows, LUKS для Linux).

Для шифрования данных используется DEK-ключ с алгоритмом шифрования XTS-AES-256. Ключ дополнительно шифруется ключом KEK с алгоритмом шифрования AES256.

Особенности сервиса

  • Безопасность. Пользовательские ключи защищены от несанкционированного доступа.

  • Управление ключами. Заказчик управляет ключами шифрования.

  • Надежность. Реализована схема резервирования, исключающая временную потерю доступности или потерю информации.

  • Миграция. Возможность переноса зашифрованных ВМ между площадками, а также экспорт ВМ.

Масштабная конференция
GoCloud 2024:
облачные грани будущего