در بخش اول و دوم امکانات جدید VMware vSphere 6.7 در زمینه معماری VCSA و همچنین حافظه PMEM (نسل جدید ذخیره‌سازی) برای شما تشریح شد. حال در بخش سوم این موضوع قصد دارم جدیدترین تغییرات در زمینه مسائل امنیتی را مرور کنیم.

یکی از ویژگی‌های بارز VMware vSphere امنیت مثال زدنی آن است. ردپای این هایپروایزر بر روی سخت‌افزار سرور آنقدر کوچک است که کمتر نفوذگری به‌طور مستقیم می‌تواند هایپروایزر را مورد حمله قرار دهد یا اثری برروی کارکرد آن داشته باشد. همچنین هایپروایزر ESXi از نسخه 4 از قابلیت SecureBoot و TPM پشتیبانی می‌کند. جدا از مسائل امنیتی هایپروایزر، در نسخه vSphere 6.7 مرکز کنترل زیرساخت یا vCenter Server بر روی PhotonOS ارائه می‌شود که خود یک سیستم عامل لینوکس سفارشی شده و بهینه شده برای مدیریت کل زیرساخت مجازی است. PhotonOS و پایگاه‌داده PostgreSQL عملکرد و امنیت بسیار بالاتری نسبت به نسخه مشابه در سطح ویندوز ارائه می‌دهد.

اما امنیت زیرساخت مجازی در همین دو بخش خلاصه نمی‌شود و بخش سوم آن یعنی امنیت ماشین‌های مجازی نقش برجسته‌ای در پایداری زیرساخت ایفا می‌کند. یکی از نقاط ضعف در تمامی مراکزداده این است که مدیران مراکزداده هیچ‌گونه تسلط یا اشرافی بر روی اتفاقاتی که در درون ماشین مجازی می‌افتد ندارد زیرا هر یک از ماشین‌ها توسط یک مستاجر استفاده می‌شود. در این حالت عدم ایمن‌سازی آن ماشین یا سرویس هم برای مستاجر و هم برای مدیر دیتاسنتر خطراتی می‌آفریند. از یک سو مستاجر نمی‌تواند بدون مشارکت فنی مسئولان دیتاسنتر امنیت ماشین را تضمین کند و از طرفی دیگر این مشتری است که می‌تواند هرگونه که بخواهد سرویسی را ایمن یا غیرایمن در درون ماشین راه‌اندازی کند.

رفع این چالش اساسی با بکارگیری دو قابلیت UEFI و TPM 1.2 جهت رمزگذاری داده‌ها و درایورها در نسخه vSphere 6.5 تسهیل شد. و اکنون در vSphere 6.7 می‌توان از ساختار چندشاخه و الگوریتم‌های چندگانه هویت‌سنجی TPM 2.0 استفاده کرد تا با سطح امنیت ضروری برای نرم‌افزارهای امروزی مطابقت یابد.

برای فعال‌سازی VM Encryption ابتدا بایستی تنظیمات BIOS را به حالت UEFI تنظیم کنید و هایپروایزر را در این حالت نصب کنید. سپس ماژول TPM را فعال کنید. پس از فعال‌سازی، از یک Appliance مدیریت کلید رمز (KMS) استفاده کنید و vCenter Server را به آن متصل کنید. سپس، تنظیمات ماشین‌های مجازی را که می‌خواهید از Secure Boot و vTPM 1.2 یا vTPM 2.0 استفاده کنند در زمان ساخت ماشین اعمال کنید تا سیستم عامل Guest با این تنظیمات نصب شود. برای استفاده از TPM 2.0 بایستی از سیستم‌عامل‌های سرور مدرن مانند ویندوز سرور 2016 استفاده کنید.

با فعال‌سازی این قابلیت اطمینان می‌یابید که حساب کاربری، کلمات عبور، فایل‌های موجود در ماشین مجازی، و دیسک‌های ذخیره‌سازی متصل به ماشین همگی به‌صورت رمزگذاری شده در سرور ذخیره و نگهداری می‌شوند. در این شرایط، حتی در زمان نفوذ و حمله به اطلاعات ماشین امکان بازیابی اطلاعات آن وجود ندارد و اگر امکان شنود خطوط ارتباطی برای نفوذگر محقق شود در زمان انجام vMotion تمامی داده‌ها به‌صورت رمزنگاری شده به دیگر میزبان‌ها منتقل می‌شود. علاوه بر همه این موارد، با بکارگیری نسخه TPM 2.0 امکان استفاده از ماژول‌های هویت‌سنجی جانبی مانند Smart Card، Finger Print و یا استفاده از مکانیزیم‌های امنیتی داخلی سیستم‌عامل جهت رمزگذاری فایل مانند BitLocker مایکروسافت فراهم می‌شود.

در جمع، VMware امنیت ماشین‌های مجازی موجود در مرکزداده را با معماری فوق‌العاده ساده، یکپارچه و کاربردی به‌گونه‌ای تضمین کرده است که نیازی به رمزگذاری داده‌ها در دستگاه‌ها و بخش‌های دیگر مرکزداده وجود نداشته باشد و پروسه رمزگذاری داده همگی در یک محل شروع و پایان پذیرد. و در نسخه vSphere 6.7 نیز با بکارگیری TPM 2.0 این سطح از امنیت را با تناسب با چالش‌های امنیتی روز ارتقا داده است.