面對越來越猖獗的黑客攻擊，企業(yè)數(shù)據(jù)安全已經(jīng)成為 CIO 們?nèi)粘瘫碇蓄^等重要的大事。數(shù)據(jù)安全是一個系統(tǒng)性的工程，從用戶終端到后臺數(shù)據(jù)中心有著幾十個環(huán)節(jié)，防火墻、身份認證、應用數(shù)據(jù)加密每一種技術(shù)都只能解決某些環(huán)節(jié)的安全問題，只要有一個環(huán)節(jié)沒有做好安全防護，還是會留下安全隱患。 　　指定虛機的存儲策略
　　密鑰管理
　　對稱加密算法 XTS-AES-256 需要兩個密鑰：

• 數(shù)據(jù)密鑰 DEK （Data Encryption Key）：用于加密虛機數(shù)據(jù)文件，每個虛機都有一個唯一的數(shù)據(jù)密鑰，存放在虛機數(shù)據(jù)文件中，為了不讓別人看到這個密鑰，所以我們需要另一個密鑰 KEK 來對數(shù)據(jù)密鑰進行加密。
• 加密密鑰的密鑰 KEK （Key Encryption Key）：用于對上面的數(shù)據(jù)密鑰 DEK 進行加密，這個密鑰是從第三方的密鑰管理服務器 KMS （Key Management Server） 上獲得的。因為 KMS 也支持多租戶架構(gòu)，我們通常把這個密鑰稱為租戶密鑰（Tenant Key）。注意：租戶密鑰只保存在 KMS 服務器上。

　　未加密虛機（必須是處于關(guān)機狀態(tài)）

• 在對應的服務器上隨機生成一個數(shù)據(jù)密鑰 DEK；
• 通過 vCenter 從 KMS 上獲得租戶密鑰 KEK；
• 使用租戶密鑰 KEK 對數(shù)據(jù)密鑰 DEK 進行加密，并寫入虛機的 vmx 文件；
• 使用數(shù)據(jù)密鑰 DEK 來加密整個虛機數(shù)據(jù)文件。

　　已經(jīng)加密的虛機

• 從虛機的 vmx 文件中獲得 KEK ID 和加密的數(shù)據(jù)密鑰
• 通過 vCenter 從第三方密鑰服務器上根據(jù) KEK ID 獲得租戶密鑰 KEK
• 利用 KEK 解密獲得數(shù)據(jù)密鑰 DEK
• 利用數(shù)據(jù)密鑰 DEK 來解密虛機數(shù)據(jù)文件。

　　vSphere 虛機加密采用的是客戶自帶密鑰（Bring-Your-Own-Key）的策略，有這方面要求的客戶大部分都已經(jīng)部署了密鑰管理服務器，我們只需要在 vCenter 中指定客戶現(xiàn)有的 KMS 服務器就可以了。當然必須要考慮 KMS 服務器高可靠和災備的方案，不然一旦發(fā)生故障，取不到 KEK 密鑰，所有的加密虛機可就啟動不起來了。 　　虛機加密了，自然引入了一個新的概念 － “加密的 vMotion”，虛機數(shù)據(jù)不但在存儲里面是加密的，而且在 vMotion 的過程中也是加密的。vCenter 中關(guān)于虛機的配置也多了一個加密的 vMotion 選項，總共有三個選擇：

• Disabled（關(guān)閉）：vMotion 所傳輸?shù)奶摍C數(shù)據(jù)不加密。
• Opportunistic（看情況）：如果源和目標服務器都支持虛機加密，就使用加密 vMotion；只要有一方不支持，vMotion 就不采用加密數(shù)據(jù)。
• Required（強制要求）：僅允許加密的 vMotion，源和目標服務器只要有一方不支持虛機加密，vMotion 就不會發(fā)生，這適用于高安全循規(guī)要求。