虚拟SAN-Hytrust

’围绕运营效率,易于管理和灵活性的不可否认的价值。

这些客户中有一些来自金融,医疗保健和政府机构,他们的业务在受法规遵从性法律约束的领域,例如HIPPA,PCI-DSS,FedRAMP,Sarbanes-Oxley等。这些法律要求遵守多种安全措施,其中之一就是通过使用某种形式的加密保护数据来保证数据完整性的能力。

如今,Virtual SAN并未将加密作为其数据服务之一,因为此功能目前正在开发中,以用于将来的版本。现在,当根据法规遵从法规将Virtual SAN视为可能需要数据加密的潜在解决方案时,了解当前可用的选项非常重要。

在Virtual SAN中,加密数据服务功能已转移到可通过Virtual SAN Ready节点使用的基于硬件的产品上。数据加密数据服务在Virtual SAN Ready Node设备上独家受支持,该设备由所有提供加密功能的经过认证和兼容的硬件设备组成,例如自加密驱动器和/或存储控制器。 的VMware的几乎所有OEM硬件供应商都提供Virtual SAN Ready Node设备’s ecosystem.

虚拟SAN Ready Nodes的另一种选择是由一家名为Hytrust的公司开发和提供的基于软件的解决方案。 Hytrust是VMware的成员之一’的合作伙伴生态系统,其业务重点是为私有和公共云基础架构提供数据安全服务。我要特别强调的解决方案称为Hytrust DataControl。

Hytrust DataControl是一种基于软件的解决方案,旨在保护虚拟机及其数据在整个生命周期中(从创建到停用)的功能。 Hytrust DataControl提供加密和密钥管理服务。

该解决方案专为满足私有云,混合云和公共云的独特要求而构建,结合了强大的安全性,易于部署,出色的性能,基础架构独立性和操作透明性。 Hytrust DataControl易于部署和管理的功能符合Virtual SAN的主要原则之一,即简便易管理。

Hytrust DataControl虚拟机版本基于一个软件代理,该代理对虚拟机的Windows或Linux操作系统中的数据进行加密,从而确保任何基础架构中的数据都受到保护和多租户。 DataControl还允许您在VM之间传输文件,因此可以安全地将存储的数据从私有云迁移到公共云。

Hytrust DataControl解决方案的部署以及软件的安装和配置只需几个简单的步骤,只需几分钟即可完成。驻留软件后,由应用程序写入存储的任何数据都将在移动过程中进行加密,因为它们可以安全地通过虚拟机管理程序和网络传输,也可以在Virtual SAN数据存储中安全地传输。

HT部署

注意: 可以通过使用虚拟机模板来减轻代理的下载和配置步骤。同样,整个配置也可以通过Hytrust命令行界面(hlc)自动化。

下面的演示展示了在单个虚拟机上启用Hytrust DataControl加密服务的过程。受保护的应用程序是第1层数据库服务器(SQL Server 2014),当前位于Virtual SAN数据存储上,可用性要求为FTT = 1。虚拟机正在利用Virtual SAN提供的性能和可用性功能。该演示还强调了从密钥管理器注册到驱动器实际加密的解决方案的管理和配置简便性。该演示还展示了集中和控制管理功能,用于管理加密资源的添加和删除。

Hytrust DataControl支持的操作系统

 • Windows 2012 Server R2 Service Pack 1
 • Windows 2008服务器
 • Windows 7 64位Service Pack 1
 • Centos 5.8、6.2和6.3
 • Ubuntu 10.04服务器和桌面
 • Ubuntu 12.04服务器
 • Ubuntu 12.10服务器
 • 红帽企业Linux服务器6
 • Debian 6.0.7(需要cryptsetup)
 • Savvis Linux–红帽企业版Linux Server 5.3和6.1

一些Hytrust’DataControl的功能和优势包括:

强大的FIPS批准的加密 –Hytrust DataControl使用AES-128 / 256加密数据,确保从创建虚拟机到安全停用虚拟机之间的安全。

密钥管理 –Hytrust KeyControl提供了一个高度可用的,经过安全加固的密钥管理系统,该系统易于部署且易于使用。 KeyControl是一个锁定的虚拟设备(尽管它也可以安装在物理硬件上)。 KeyControl是完全多租户的,并支持主动-主动群集以提高可用性。该设备可以安装在您的房屋或服务提供商(vCloud Air)上。管理员根据合规性或其他要求定义用于密钥保留或零停机时间重新生成密钥的策略。

硬件加速性能 –Hytrust DataControl自动检测并利用大多数现代Intel和AMD芯片组中内置的AES-NI硬件加速,从而确保最小的延迟。

透明度 –Hytrust DataControl部署到虚拟机的操作系统中,并且对应用程序和用户完全透明。管理员可以使用始终拥有的相同工具来管理其基础结构,而无需更改流程。

当组织寻求建立多租户和私有云基础架构以及采用混合云和公共云时,Hytrust DataControl可以通过以优化的方式锁定数据以与高度集成一起使用,从而减轻数据暴露的风险。虚拟基础架构的动态性质。

Hytrust DataControl解决方案由以下主要组件组成:

HyTrust KeyControl节点和群集 –为了支持双主动群集,KeyControl群集存储与群集或安装了HyTrust DataControl策略代理的任何数量的虚拟机有关的密钥,策略和配置数据。通过基于Web浏览器的GUI或一组基于REST的API来管理系统。浏览器和KeyControl群集之间的通信是通过HTTPS进行的。由于这是一个完整的双活群集,因此浏览器可以指向群集中的任何KeyControl节点。所做的任何更改都会立即反映在所有群集节点上。

HyTrust DataControl策略代理 –HyTrust DataControl策略代理(DataControl代理)是一个软件模块,可在Windows和Linux虚拟机(本地或私有,公共或混合云)中运行,提供虚拟磁盘和单个文件的加密。 DataControl代理通常用于提供数据中心中虚拟机(或物理服务器)的加密。安装了DataControl代理的所有VM也可以安全地共享加密文件。选定的VM可以使用加密密钥(keyID)来加密和解密文件。加密文件也可以发送到vCloud Air等云存储,并且只能由安装了DataControl代理的选定VM访问。

Hytrust DataControl解决方案功能包括:

 • 基于Hytrust的Hytrust设备强化了FreeBSD OS
 • Hytrust KeyControl节点和群集
 • 基于Web的管理界面
 • 基于REST的API
 • 适用于小型和大型组织的灵活管理框架
 • 密钥管理能力服务
 • 新节点的安全身份验证
 • 节点之间的安全协议支持
 • 使用Hytrust DataControl策略代理支持VM来宾内加密
 • 安全的数据迁移

Hytrust KeyControl虚拟设备特征:

 • Hytrust SecureOS
 • 单vCPU
 • 1 GB的RAM
 • 1个虚拟磁盘
 • 1个网络适配器

总体而言,Hytrust DataControl解决方案提供的数据加密特性和功能可以很容易地用于存储在私有数据中心的VMware 虚拟SAN中的虚拟机及其应用程序,并可以扩展到vCloud Air等混合云服务。有关Hytrust DataControl的更多详细信息,请访问Hytrust产品页面。

Hytrust DataControl产品页面

- 请享用

有关Virtual SAN(VSAN),vSphere虚拟卷(VVol)和其他软件定义的存储技术以及vSphere + OpenStack的的将来更新,请确保在Twitter上关注我:@PunchingClouds。

.

X