vSphere Security Features
vSphere 플랫폼에는 DBA 관리자가 가상화된 환경에서 보안 위험을 완화하는 데 도움이 될 수 있는 광범위한 보안 기능이 있습니다.
가상 머신 암호화[77]
VM 암호화는 가상 디스크 파일에 저장되기 전에 VM의 I/O를 암호화할 수 있습니다. 가상 머신은 데이터를 파일에 저장하기 때문에 가상화 초기부터 우려했던 것 중 하나는 권한이 없는 주체가 데이터에 액세스하거나 스토리지에서 가상 머신의 디스크 파일을 가져와 데이터를 도난당할 수 있다는 것입니다. 가상 머신 암호화는 가상 머신 단위로 제어되며 IOFilter API를 사용하여 가상 vSCSI 계층에서 구현됩니다. 이 프레임워크는 전적으로 사용자 공간에서 구현되므로 I/O를 하이퍼바이저의 핵심 아키텍처로부터 깔끔하게 격리할 수 있습니다.
VM 암호화는 특정 하드웨어 요구 사항을 부과하지 않으며, AES-NI 명령어 세트를 지원하는 프로세서를 사용하면 암호화/복호화 작업 속도가 빨라집니다.
모든 암호화 기능은 CPU 주기를 소비하며, 모든 I/O 필터링 메커니즘은 최소한의 I/O 지연 시간 오버헤드를 소비합니다.
이러한 오버헤드의 영향은 크게 두 가지 측면에 따라 달라집니다:
- 기능/알고리즘 구현의 효율성.
- 기본 스토리지의 성능.
스토리지가 느린 경우(예: 로컬에 연결된 스피닝 드라이브) I/O 필터링으로 인한 오버헤드는 최소화되며 전체 I/O 지연 시간 및 처리량에 거의 영향을 미치지 않습니다. 그러나 기본 스토리지의 성능이 매우 높은 경우, 필터링 계층에 의해 추가되는 오버헤드가 I/O 레이턴시 및 처리량에 적지 않은 영향을 미칠 수 있습니다. 이러한 영향은 AES-NI 명령어 집합을 지원하는 프로세서를 사용하여 최소화할 수 있습니다.
vSphere 보안 기능[78]
vSphere 6.7에는 SQL Server를 호스팅하는 가상 머신을 위한 vSphere 인프라의 보안 위험을 낮추는 데 도움이 되는 여러 가지 향상된 기능이 도입되었습니다. 여기에는 다음이 포함됩니다:
- 가상 머신에 대한 vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 지원
- Microsoft Virtualization Based Security 지원[79]
- ESXi “보안 부팅"을 위한 개선 사항
- 가상 머신 UEFI Secure Boot
- 모든 작업에 대해 기본적으로 FIPS 140-2 인증된 암호화 모듈 사용 설정됨
vSphere 8.0 릴리스와 함께 ESXi 중요 파일의 자동 암호화, ESXi 호스트의 보안 부팅, TLS 1.0 및 1.1 지원 중단, 자동 SSH 세션 시간 초과, TPM1.2 지원 중단 등 플랫폼에 추가적인 보안 개선 사항이 계속 추가되었습니다.