VMware 虚拟机加密的检查与设置方法

在物理数据中心时代，采用双重保险策略来保障数据安全是一种相对简单直接的解决方案。例如，除了对单个文件和目录进行加密外，还可对本地服务器实施全盘加密，从而确保任何因维修或报废而离开数据中心的硬盘都受到保护——消除了客户数据泄露的潜在风险。

然而，在当今超融合基础设施（HCI）与虚拟化的世界中，工作负载具有虚拟性、动态性、可迁移性、可扩展性与脆弱性。所有这些都使数据安全的维护变得更加困难。

为何需要保护虚拟机？

虚拟化与超融合基础设施（HCI）的兴起，使IT团队能够快速在本地及远程位置部署混合工作负载和集成虚拟桌面的基础设施。在此背景下，将计算、网络及管理软件整合于单一设备中的超融合系统，本质上就是“盒装微型云”。这种架构的优势毋庸置疑。

然而，尽管HCI设备仍部署在本地，其工作负载通常运行在虚拟机上，而非直接运行在物理硬件上。这意味着，如今真正的保护重点是虚拟机及其内部的数据，而不是物理设备本身。

IT团队面临的一个重大安全问题是：虚拟机经常被开启和关闭，且常常处于静态数据状态。当虚拟机关闭电源后，它就变成一个大型文件，可能被复制到U盘或通过网络共享，从而带来严重的数据安全风险。

该解决方案虽然简单直接，但需对虚拟机本身进行加密。理想情况下，应采用与虚拟机监控程序无关的客户端加密方式，并由企业自主掌控加密密钥。如此一来，即便虚拟机被迁移至其他超融合基础设施（HCI）节点（例如公有云或不同地理位置的数据中心），企业也能始终掌握自身数据的控制权。

如何检查 VMware 中的虚拟机是否已加密？

要检查 VMware 中的虚拟机是否已加密，若您使用的是 VMware vSphere/ESXi，可按以下步骤操作：

1. 使用 vSphere Web 客户端：

登录 vSphere Web 客户端。选择您要检查的虚拟机。

在虚拟机的“摘要”选项卡中，查找“加密状态”。如果虚拟机已加密，该状态将显示为“已加密”。

2. 命令行（vSphere/ESXi）：

a. 通过 SSH 登录到您的 ESXi 主机。

b. 使用“vim-cmd”命令检查加密状态：

vim-cmd vmsvc/get.summary <VMID>

将“<VMID>”替换为虚拟机的 ID。在输出中查找“encryption”属性。

3. 或者，检查数据存储中的虚拟机配置文件（“.vmx”）：

cat /vmfs/volumes/<datastore>/<vm_folder>/<vm_name>.vmx | grep "encryption"

如何在 VMware 中加密虚拟机？

使用 vSphere Web 客户端加密虚拟机，请按以下详细步骤操作：

先决条件

请确保以下事项：

1. 一台 vCenter Server 正在管理您的 ESXi 主机。

2. 已在 vCenter 中配置密钥管理服务器（KMS）。

3. 您拥有必要的加密权限（例如“加密操作”）。

4. 虚拟机已关机。

使用 vSphere Web 客户端加密虚拟机的步骤：

1. 配置密钥管理服务器（如尚未设置）

• 登录 vSphere Web 客户端。

• 导航至 菜单 > vCenter 设置 > 密钥管理服务器。

• 点击“添加KMS”，输入KMS详细信息，并建立可信连接。

2. 导航到虚拟机。

• 从清单中选择您要加密的虚拟机。如果该虚拟机正在运行，请右键单击它，然后选择电源 > 关闭客户机操作系统或关闭电源。

3. 启用虚拟机加密

• 右键单击虚拟机，然后选择“编辑设置”。转到“虚拟机选项”选项卡，向下滚动至“加密”部分。

• 
  

• 将加密设置为启用。

• 
  

• vCenter 将与密钥管理服务器（KMS）通信，为虚拟机生成并分配加密密钥。

  

4. 加密磁盘（如未自动执行）

• 仍在“编辑设置”对话框中，展开“虚拟硬件”部分。

• 
  

     针对每个虚拟磁盘：

• 点击磁盘设置。

• 
  

• 将磁盘模式设置为“已加密”。

  

单击“确定”以保存您的更改并开始加密过程。

加密过程完成后，右键单击虚拟机，然后选择开机。

验证虚拟机是否能正常启动。然后导航到虚拟机的“摘要”选项卡，查找标有“加密”的字段，以确认该虚拟机已启用加密。

如何保护 VMware 虚拟机？

除了对虚拟机进行加密外，备份虚拟机同样是数据保护中极为重要的一环。保护 VMware 虚拟机对于保障敏感数据安全、确保业务连续性以及抵御潜在威胁、维护系统完整性至关重要。Vinchin 备份与恢复 是一款功能强大的 VMware 环境保护解决方案，提供先进的备份功能，包括自动虚拟机备份、无需代理的备份、局域网内/局域网外备份、异地副本、即时恢复、高效数据缩减、云归档等，并严格遵循“3-2-1 黄金备份架构”，全面保障您在 VMware 环境中的数据安全与完整性。

此外，数据加密和防勒索软件保护为您备份的 VMware 虚拟机提供双重保障。您还可以轻松将数据从 VMware 主机迁移到其他虚拟平台，或反向迁移。

虽然 Vinchin 目前不支持备份加密的虚拟机，但可以备份未加密的虚拟机，整个过程仅需 4 个步骤：

1. 选择备份对象。

2. 选择备份目标位置。

3. 配置备份策略。

4. 审核并提交该任务。

立即试用 Vinchin 备份与恢复软件15天全功能免费试用版，轻松保护您的 VMware 数据，实现自动化备份和快速恢复！

下载免费试用版

适用于多种数据备份

* 15天全功能免费安全下载

VMware 加密常见问题解答

1. 问：什么是密钥管理服务器（KMS）？

KMS 是一种用于管理加密密钥的外部服务器。VMware 要求使用第三方 KMS 来安全地管理加密密钥。

2. 问：我可以解密已加密的虚拟机吗？

是的，只要您拥有必要的权限并能访问密钥管理服务（KMS），即可通过将虚拟机的存储策略更改为非加密策略来对其进行解密。

结论

在虚拟化与超融合基础设施主导现代IT环境的时代，保护虚拟机已成为数据安全的基石。通过对虚拟机进行加密，IT团队可确保敏感数据无论在何处运行——无论是本地、远程数据中心还是云端——均处于安全状态。高度重视虚拟机加密的组织，不仅能够降低面临潜在威胁的风险，还能契合日益虚拟化世界中具备韧性且面向未来的数据安全最佳实践。