簡単一発設定!
VMwareがvSphereとvSANの両方の暗号化をサポートしていて、それを有効化する方法としてはHyTrust KeyControlが推奨されていることは、知っているかたも多いことでしょう。HyTrust KeyControlが推奨されるのにはわけがあります。システムの暗号化を志向する企業が、それをなるべく簡単かつ効率的に実現したいと考えるのは当然ですが、KeyControlがまさにその要件に合致するからです。KeyControlはOVAファイルとしてデプロイされます。まずvCenter\vCVAにOVAファイルをインポートし、そしてvCenterセッティングのKMS(Key Management Server)セクションにKeyControlノードを追加するだけです。これで設定はすべて完了です。えー、たったこれだけ?すごーい、簡単便利!と、もし街角で実演販売でもしたら、 聴衆からもれる感嘆の声が今この耳に聞こえてくるかのようです・・・
DataControlも必要なの?
でもさぁ、vSphereやvSANの暗号化を有効にしたら、HyTrust DataControlの暗号化ソリューション なんていらなくね?
という疑問を投げかけるユーザーがときどきいます(言葉遣いは別として)。その疑問に対する答えは「時と場合による」ということになります。つまり、ユースケース次第です。以下にDataControlを採用してVM(仮想マシン)を暗号化すべきユースケースの代表例をいくつか紹介します。
ユースケース♯1 ― 高可用性(HA)VM:多くのVMワークロードにとっては、vSphereやvSANの暗号化で十分な場合がほとんどです。しかし、企業の業務の根幹を担うミッション クリティカルなVMは、オフラインにしてメンテナンス時間を十分にとることができません。そんなときこそDataControlの出番です。
理由:DataControlならVMの暗号化と再キーも簡単便利に即効で行えるからです。各種規制に対するコンプライアンス要件としては、キーを一年ごと、あるいはより厳しい場合には半年ごとにローテーションすることが義務付けられている場合があります。キーのローテーションには再キーの実行がともないます。しかも、多くの場合は深層データまでも含めた根本的な再キーです。つまり、データ全体の完全な再暗号化が必要とされます。これは、高可用性が求められる環境では、致命的な意味を持ちます。たとえば、米国ではHIPPA(健康保険の携帯性と説明責任に関する法律)やPCI-DSS(ペイメント カード業界データ セキュリティ スタンダード)への準拠が必要となるデータ環境で、VMを稼働中にすばやく再キーすることができなければ、データを手動で再キーするためのメンテナンス時間を取らなければなりません。ITスタッフが週末や時間外に作業することになり、運営コストが嵩むばかりです。DataControlなら、この課題をメンテナンス時間を特別に設けることなく簡単にクリアすることができます。
ユースケース♯2 ― モバイル ワークロード:オンプレミスのデータセンターからクラウドや二次サイトへの「モビリティ」が必要とされるVMは、vSphereまたはvSANのクラスタから出る前に復号化(デクリプション)しなければなりません。そのぶんセキュリティが甘くなり、新たなリスクの要因を生むことになります。ここでも、DataControlの活用が推奨されます。
理由:DataControlはインジェスト型のエンクリプション ソリューションなので、VMがサイト間を移動するとき、同時にポリシー エージェントもVMとともに移動します。したがって、VMは移動中でも常に保護されます。クラスタや環境を出るときに復号化する必要はありません。単にマイグレーションを行うだけで、安心してモビリティを確保することができます。
DataControl、vSAN、vSphereの暗号化ソリューションは相互補完
前述のように、選択はビジネス要件と技術要件次第ですが、忘れてはならないのは、HyTrustとVMwareの暗号化ソリューションは相互補完の関係にあることです。勘違いされているかたもいるので、惑わされないでください。DataControl、vSAN、vSphere、それぞれの暗号化ソリューションが三者三様に異なるユースケースを満たします。もし誰かが、vSANやvSphereの暗号化があるからDataControlは要らないよ、と指摘したら、その人は大局的な見方ができていないか、あるいは単に経験や知識が足りないだけかもしれません。実際には、vSANやvSphereの暗号化ソリューションですべてが事足りる企業はごくわずかで、大半はDataControlも含めた個々の暗号化方式をすべて備えることで大きな恩恵を得るはずです。VMwareユーザーはVMware環境をフル活用し、最大限のROI(投資収益率)を得ることができます。ユーザーとHyTrustとVMwareにとって、まさにウィンウィン、いや、ウィンウィンウィンのシナリオです。vSANとvSphereと言い換えたら、ウィンウィンウィンウィンです。これを読むあなたと書いてる私を加えて、ウ…(強制終了)
関連トピックス
- HyTrustはVMware vSphere VM暗号化の認定KMSです!
- vSphere標準暗号化機能で暗号化されたVMをバックアップする方法
- HyTrust KeyControlおよびVMware標準暗号化機能動画まとめ
- Webセミナー録画とプレゼンテーション『暗号鍵を楽々運用管理!VMware認定のKMS HyTrustなら出来るんです!』:2020/3/13 開催
- HyTrustの技術お問い合わせ時に必要な情報
- HyTrust DataControlを利用して、VDIをもっと使いやすくするコツ!
- VMware vSANの暗号化:HyTrust DataControlで暗号化と重複排除
- HyTrust KeyControlのライセンスファイル入れ替え方法
- Entrust KeyControl Ecosystem
- Veeam Agent for Microsoft Windows: Windows物理マシンの新規バックアップ・ツール