2018年8月13日月曜日

Nutanixにおける暗号化(Data at Rest Encryption)の紹介(その1)

Nutanixには、仮想マシンからの書き込まれるデーター等をを暗号化する機能を持っています。この機能がAOS5.6以降、徐々に進化しいよいよ最終形に近い形となりました。
今回はこの暗号化機能について紹介したいと思います。

まずは、暗号化(Data at Rest Encryption)を行うパターンの種別を見ていきましょう。

パターン1(SEDとKMS)
これはNutanixで古くから対応している暗号化形式です。
SEDディスクとは、データーを書き込む際に暗号化に対応した専用のディスクとSSDで、暗号化を行う場合、このSED対応のディスクをあらかじめ購入する必要があります。
また、鍵管理サーバーとしてKMSをNutanixの外に展開しておく必要があります。
(SEDとは、Self Encrypted Diskの略です)

このパターン1は、最もコストがかかり、かつNutanixのソリューションだけで完結することができないというのが特徴です。

この課題から生まれたのがパターン2と3になります。


パターン2(SED不要の暗号化)
パータン1は、やはり専用のディスク(SSD)とKMSという、コストがかかると言うことが課題でした。
そのため、AOS5.6でSEDを採用せず、通常のDiskやSSDで暗号化されたデーターを書き込むようにソフトウェアで処理できる機能が搭載されました。
これにより、今まで暗号化していなかったNutanix環境を暗号化したいと思ったときに、SEDディスクに買い換える必要なく、そのまま暗号化できるようなり大変自由度があがる構成ができるようになったと思います。
ここでの課題は、KMSは、まだ外出し(かつサードパーティー製品)が必要であるということでした。


パターン3(SEDもKMSも不要)
パターン2の課題は、KMSを別途用意するということでした。
KMS自身はサードパーティー製がいくつかありますが、どれがどう対応しているかのコンパチビリティの確認や、そもそもNutanixだけで完結しないと言うことは、シンプルではないというNutanixのコンセプトに合わない問題がありました。
そこでKMS機能もAOSの機能として保有し、そもそも気軽に暗号化ができるようにしようという機能がAOS5.8で搭載されました。
暗号化が必要になったタイミングで、Prism画面をちょちょっと操作するだけでデーターの暗号化ができるようになるという、大変自由度の高い機能が搭載されました。


では、このAOS5.8で搭載された暗号化(Data at Rest Encryption)の機能についてもう少し細かく見ていきたいと思います。


  • データーは完全に暗号化され、ディスクを抜いてそれを読み込んでも読める状態にはなりません。
  • 暗号化されていてもパフォーマンスが悪くなることはありません
  • 暗号化機能は、いつでも無効にすることができます
  • 暗号化機能(Data at Rest Encryption)は、UltimateライセンスもしくはAddOnライセンスを手配する必要があります。
  • AHVの場合、クラスター構成後に暗号化設定を行う必要があります。
    (仮想マシンの作成やImageServiceにイメージを登録後の暗号化設定はできません)
  • ESXiやHyperVは、ストレージコンテナ単位で暗号化を行います。
    そのため、新たにからのストレージコンテナを作成し、暗号化設定を行うと、空のストレージコンテナが暗号化されたコンテナとなります。
  • 最低3ノード以上のCVMが稼働するNutanixクラスターが必要
  • ドライブ上にあるデータセキュリティを強化しますが、CVM間の通信など、ネットワークを経由した転送中のデータは保護しません。

ここで重要なことは、まずAHVの場合は、クラスター作成後にすぐに暗号化設定をしないといけないということです。いろんな仮想マシンを稼働させた後、暗号化させたくなったとしてもAHVの場合はそのクラスターで暗号化を有効化させることができません
vSphereやHyper-Vの場合は、途中からの暗号化は可能ですが、その時点で空のストレージコンテナにのみ暗号化してデーターが書き込まれます。
そのため、vSphereやHyperVの場合、暗号化の設定が終わった後に空のストレージコンテナに仮想マシンをストレージライブマイグレーション(Storage vMotion)を行うことで、データーが暗号化されます。AHVの場合、このStorage vMotionに相当する機能が存在しないため、このような仕様制限が出ていると思われます。

あと、2ノードや1ノードで構成されたNutanixにおいては暗号化機能を利用することはできません。

ライセンスもUltimateかAddOnライセンスでSelf Encrypting Drives Passwordのライセンスを購入する必要があります。

設定は簡単ですが、ちょっとした落とし穴もありますので、注意が必要です。

では、次回は具体的な設定について見ていきたいと思います。







投稿者 時刻:
ラベル: , , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)