vSphere Trust Authority (vSphere 信頼機関)とは

VMware

vSphere Trust Authority (vSphere 信頼機関)とは

免責事項

本記事で取り扱う内容は、基本的に記事の作成時点または更新時点での最新情報となります。
それ故、今後の製品アップデートに伴う機能強化については触れていない可能性があります。

本記事を閲覧頂く際には本記事の作成日時と更新日時を参照し、そのうえでvSphere製品のアップデート更新有無をご確認いただいた上で、機能差分が生じている場合は本記事の内容に加え、それらの更新を必要に応じてご確認ください。

本記事の目的は、vSphere Trust Authorityという機能がどのような機能であるか?をダイジェスト的に説明することを目的としています。

逆に、より読者様のデータセンターのセキュリティ強化のためのベストプラクティスのような設計に対するケーススタディを含んでおりませんので、そうした情報についてはVMware社の公式情報をご確認頂くようお願い申し上げます。

機能の目的

本機能の目的は、SDDC内におけるvSphere環境を安全に保護する事です。
具体的には次の2つの機能が提供されます。

  1. 信頼機関クラスタ(vTA クラスタ)”を使用し、”ワークロードを動かすためのESXiホストが安全であるかどうか?を自動的に判別してくれる(改ざんなどが無いことを証明する)
  2. ”キー管理サーバ”に変わり、”信頼機関クラスタ(vTA クラスタ)”がデータ暗号化用の鍵データをESXiホストに配布する(仮想マシンの暗号化)

こちらはYoutube上にある本機能について解説をしている動画です。

vSphere Trust Authority in vSphere 7

信頼機関クラスタ(vTA クラスタ)とは

上記の説明で既に気になったのではないでしょうか。

信頼機関クラスタ(vTA クラスタ)とは、インフラストラクチャに対するセキュリティチェックや構成を、人間の管理者とキー管理サーバに変わり提供してくれる”ESXiクラスター”です。

ある意味ではこれはセキュリティ管理者として動いてくれるESXiホスト群といってもよいのではないでしょうか。(下図では右側の青いクラスタです)

VMwareが提供する理想的なデータセンターのモデルは、”VMware Validated Design”というページで紹介されますが、例えばこの記事内でも本番環境を動かすクラスターは”ワークロードクラスター”と呼ばれ、管理系仮想マシンを動かすクラスターは、”管理クラスター”と呼ばれますね。いずれも、言ってみれば物理ホストに入ったただのESXiです。

docs.vmware.com

これと同じように信頼機関クラスタ(vTA クラスタ)とは、ただのESXiホストの集まりに過ぎませんので、然程難しく考える必要はありません。ただ、この信頼機関クラスタ(vTA クラスタ)は、通常の仮想マシンを動かす以外にも上述している2つの役割を担っています。

blogs.vmware.com

何を以って”安全”だと判断するのか?

これは信頼機関クラスタ(vTA クラスタ)が、監視対象ESXiクラスターからの検証レポートを受け取り、ワークロードを動作させるのに安全かどうかを判断します。

(ワークロードクラスター内の)ESXiホストは、搭載された物理TPMチップによる保護を受け、その結果をvTAに提出します。

こちらは、PowerEdge R740でのTPMチップの脱着の様子です。

Dell EMC PowerEdge R640: Remove/Install TPM

TPMチップは、Windowsが持つ”BitLocker”という機能で利用されるチップとして有名です。
この機能は記憶媒体を暗号化してくれる機能です。

vSphere Trust AuthorityにおけるTPMは、このような暗号化ではなく”ワークロードが動いて良い安全な場所である”と正当性の検証の役割として動作します。

本記事ではTPMの仕組みや一般的な利用方法については触れませんが、気になる方はこちらのファイルをご覧ください。PC搭載セキュリティチップ(TPM)の概要と最新動向 – 解説

誰が”安全”だと判断するのか?

これは”信頼機関クラスタ(vTA クラスタ)”が判断します。
このクラスターが、”ワークロード クラスタ”から構成情報の提出を受けて、その内容を検証して、安全か否かを判断します。

提出内容というのは、”ワークロード クラスタ”上の物理TPMチップが生成した内容です。
つまり後述しますが、監視対象ホストには物理TPMチップの搭載が前提となります。

blogs.vmware.com

実装のための構成要件

要件は次のリンク内で紹介があります。vSphere 信頼機関の前提条件と必要な権限 – VMware Docs

下図は記事内からの抜粋です。物理的な要件が黒、ソフトウェア的な要件を青で示しました。

物理的要件

ハードウェアとソフトウェア両方に於いて、満たすべき要件があります。
特にESXiホストとしては、UEFIによるブート、セキュアブート有効化、TPM 2.0の搭載が必須です。
TPM 2.0チップは昨今のハードウェアでは搭載オプションとして選択が可能となっています。

Dell EMC PowerEdge R740

TPMチップ単体の価格は、他のエンタープライズ製品用パーツと比べると比較的安価ですね。
TPM自体はよく、記憶媒体の暗号化でお馴染み”BitLocker”での利用で登場しますね。今後も各社のソリューションを有効化するためにこのTPMは活躍するかもしれませんので、購入をしておけば先の機能のための拡張性も維持できそうですね。

なお、VMware Compatibility Guideにて、ESXiで利用可能なTPMチップは検索が可能です。

特定のサーバの詳細を見た場合は、該当のサーバをクリックし、以下の箇所でTPMとBIOSバージョンの組み合わせについて確認が出来ます。

(あれ、TPM 2.0で使うBIOSがやけに古い気がするんだけど…)

ソフトウェア要件

下図は再掲です。vCenter Serverが2つ必要という所に若干のハードルの高さを感じます。

しかしながら、最近ではごく当たり前のように”管理クラスター”と”ワークロードクラスター”は、それぞれ独立したvCenter Serverを持つ構成が、VMware Cloud Foundationでも出てきていますので、今後は1つのインフラで複数のvCenter Serverを管理すること自体も標準化されていくのかもしれません。

(しかしこれは、個人的にはかつてのvCenter ServerとPSCの外部化問題のように、ユーザー目線で言えば管理アプライアンスが増える事は運用計画の複雑化になるので、今後ユーザーの声を聞いた結果変わるかもしれませんね。

また上記以外ですと、データ暗号化機能で用いるKMS(鍵管理サーバ)も構成が必要です。

本機能を利用する際の注意点

各ワークロードは、信頼されたホスト上での動作が必要となります。
vSphere HAやvSANなどの同一クラスターレベルで実装する機能はサポートされています。

例えばこれがvMotionのように、クラスターを超えての移動が発生するケースはどうでしょうか?
クローンのように保護されているワークロードを複製するアクションはどうでしょうか?

これらは保護されている領域で発生するものについては問題ありませんが、そうでない場合はこれらの機能は制限されます。

これらの情報は以下のページに掲載がありますのでご確認ください。

docs.vmware.com

関連リンク

今回この記事を掲載するにあたり参考にしたページをまとめました。

日本語で当該機能についてご覧になりたい方はこのページが非常に良いです。
本ページ内のいくつかのリンクは、以下のページ内からの抜粋です。それらの個別での掲示は本節では取り扱いませんので、各節にて直接確認ください。
docs.vmware.com

機能概要について無駄なく分かりやすく書かれていたのがこちらの記事です。(英語)
blogs.vmware.com

 

コメント