ازاى اقدر اشفر VMs عندى وايه الفرق مابين VM Encryption وال vMotion Encryption وهل مستوى التشفير بيكون على مستوى VM بس ولا ممكن يكون على Storage ايه هو DEK وايه هو KEK عشان نفهم الجزئيه دي هات قهوتك وركز معايا

من اول VSphere 6.5 واحنا نقدر نشفر VMs بتاعتنا بحيث ان VMs تبقى مشفره بمعنى انه لو اى هكر قدر انه يحصل على VM دى وحطها على اي ESXI Host Server مش هتشتغل وبالتالى انا قدرت احمى VM وكمان data اللى جوها

VM Encryption

فكره عمل VM Encryption انه بتشتغل على 2 keys واحد ESXI بيقدر يعمله generate وبنسميه Data Encryption Key (DEK) وده اللى بيستخدمه ESXI فانه يشفر بيه VMs والتانى vCenter بيروح يطلب Key منkey management server (KMS)وبنسميه Key Encryption Key (KEK) وده بيستخدمه انه يشفر بيه Data Encryption Key (DEK) طيب ايه لزمته كده ماكان كفايه Data Encryption Key (DEK)

هقولك لا عشان اضمن ان التشفير ده مايحصلوش اختراق لان Data Encryption Key (DEK) اللى بيستخدم فى تشفير VM بيتسجل فى ESXI Disk لكن Key Encryption Key (KEK) بيبقى موجود فى ESXI Cash وكل مره ESXI هيعمل Reboot هيروح vCenter يدى Key Encryption Key (KEK) لل ESXI يسجله فى Cash عشان اكون ضمنت ان لو Data Encryption Key (DEK) حتى اتسرق الهكر مش هيقدر يعمل بيه حاجه لانه ماعهوش Key Encryption Key (KEK) اللى متشفر بيه Data Encryption Key (DEK)

ومش بس كده اوقات كتير Key Encryption Key (KEK) اللى المفروض يكون متسجل فى Key Management Server (KMS) عشان كل ما vCenter يحتاجه يطلبه منه بنعمل انتجريشن للKMS مع سليشون اسمه HSM وظيفته كلها انه يحتفظ Keys وبيكون restricted لابعد الحدود فى عمليه Login وعمليه Access

هو HSM مش موضوعنا دلوقتى تقدر تقرا عنه ولكن حبيت اخليك تاخود فكره عن الدزين بيكون ماشى ازاى المهم تعرف ان لما احط دزين لل Key Management Server (KMS) لازم يكون Cluster بمعنى يكون فى اكتر من Nodes وكمان يكون فى DR لانه حضرتك لو حصل اى حاجه فى Key Management Server (KMS) عندك ومابقاش متاح مش هتقدر تشغل VMs ولا حتى هتقدر تفك تشفيرها

Key Management Server (KMS)

بختصار وبدون اى تعقيد تقدر تقول ان KMS هو عباره عن Server بيقدر انه Generate Keys وبيحتفظ بيها عشان اقدر من خلالها اشفر الدتا بتاعتى ممكن تكون الدتا دى موجوده على storage او ممكن تكون موجوده على vSAN او ممكن تكون VMs او حتى ممكن تكون الدتا دى عباره عن باكب موجوده على Data Domain
بتقدر من خلاله تتحكم فى خصائص Keys وتقدر تحتفظ كمان keys دى لان فى حاله ضياع key معناه انت فقدت الدتا المشفره وزى ماقولنا ديما بيكون الدزين بتاعه cluster بتحتوى على اكتر من nodes عشان اقدر احافظ على HA وكمان بيكون فى DR Site عشان حتى فى حاله ان Production كلها مش متاحه يبقى اقدر استخدم DR Nodes
فى سليشون كتير بتقدر تقدملك الخدمه دى منها ” Alliance Key Manager, Dell EMC CloudLink ” وغيرها من السليشون تقدر تقرا عنها بالتفصيل

طريقه العمل

بعد ما نعمل implement لل KMS Solution عندى واعمله انتجريشن مع vCenter وخلينى اقولك معظم Products بتكون سهله فى جزئيه installation & configuration الا فى حاله انك هتعمل انتجريشن مع HSM الموضوع بيكون شويه معقد بس المهم بعد ما بنخلص الجزئيه دي بيكون عندك VM storage Policy فى حاله انك عاوز تشفير اى VM موجوده او اى VM انت هتعملها جديد فانت بتسخدم Policy دي اللى بيحصل زى ماقولنا ESXI بيكون عامل Data Encryption Key (DEK) بيستخدمه فى عمليه التشفير والفكره هنا انه بيعمل عمليه التفشير من على مستوى ESXI Hypervisor وده بيخليه يقدر يشتغل مع اى نوع Storage زى (NFS, iSCSI, Fibre Channel, direct-attached storage, and so on) وكمان مع VSAN بس ال VSAN بيكون ليها اعدادت خاصه هنتكلم عليها بعدين

بعديها vCneter بيروح لل KMS يطلب منه Key اللى هيشفر بيه Data Encryption Key (DEK) وزى ماقولنا Key Encryption Key (KEK) مش بيتسجل فى vCenter ولا بيكون متسجل فى ESXI كل اللى بيكون متسجل هو KEK ID بس وكل مرهESXI بيعمل reboot بيروح vCenter يطلب Key Encryption Key (KEK) من Key Management Server (KMS) بناءا على KEK ID اللى موجود عنده وبيديه الى ESXI عشان يسجله فى Cash عشان يقدر يفك تشفير Data Encryption Key (DEK) ويقرا VM المشفره

vMotion Encryption

لما بنعمل vMotionEncryption ال vCenter مابيروحش يستخدم Data Encryption Key (DEK) ولا بيروح يستخدم KEK لا ده بيروح يعمل One Time Key بيكون 256bit بيبعته الى الاتنين Hosts اللى هيحصل مابينهم vMotion عشان ساعتها VM Memory Data هيحصلها تشفير على ESXI اللى هى عليه وال vCenter هيبعتها الى ESXI اللى المفروض هتروح عليه والESXI هيقدر يفك التشفير لانه عنده نسخه من Key ساعتها الداتا هتكون مشيه فى النتورك مشفره

vSAN Encryption

من اول اصدار vSAN 6.6 نقدر نعمل تشفير لل Disks عن طريق AES encryption فكره العمل قريبه جدا من VM Encryption
طبعا احنا عندنا KMS Solution موجود هنعمل بس domain of trust مابين vCenter, KMS, vSNA وده هيتطلب ان فى اعدادت خاصه بالCertificate مابين vCenter وال KMS ساعتها vCenter هيسمح لل vSAN انها تقدر توصل الى Key Management Server (KMS) وتطلب من KEY
وبنفس الفكره اللى قولنها ESXI هيعمل generate لل Data Encryption Key (DEK) جديد لكل vSAN Disk وبعدين vCenter هيروح يطلب Key Encryption Key (KEK) من Key Management Server (KMS) يشفر بيه DEK وال Data Encryption Key (DEK) هيستخدم فى تشفير DISK بالداتا اللى عليه وبنفس الفكره السابقه Data Encryption Key (DEK) بيكون متسجل فى ESXI Disk لكن Key Encryption Key (KEK) بيكون متسجل ID بس اما Key Encryption Key (KEK) بيكون متسجل فى Cash بالطريقه دى بتقدر VMware تعمل Encryption لكل Data اللى موجوده على vSAN

انا ماحبيتش اطول المقال عن كده لو عجبكم الموضوع ده المقال الجى ان شاء الله نتكلم على VMware vSphere Trust Authority (vTA)
اتمنى اكون فيدتكم لو بمعلومه بسيطه