21. ESX Host
VM 暗号化モジュール
VM
Datastore
VMDK
- KEK id
DEK
コンテンツ
vSphereネイティブ暗号化のアーキテクチャ
Confidential and Proprietary
KeyControl
KMIP
Object Store
KEK Id
KEK
vCenter
暗号化ポリシー
KMS List
HyTrust
KEK = Key Encryption Key
DEK = Data Encryption Key
KMIP = Key Management Interface Protocol
BLUE = HyTrust コンポーネント ORANGE = VMware/Customer コンポーネント
1. 管理者が暗号化ポリシーを作成し、VMへ適用
2. vCenterがHyTrust KeyControlにKEKをリクエスト
3. vCneterのDEKは、HyTrust KeyControlのKEKによって暗号化
22. VMware vSAN暗号化のアーキテクチャ
Confidential and Proprietary
コンテンツ
KeyControl
KEK Id
KEK
vCenter
暗号化ポリシー
KMS List
HyTrust
KEK = Key Encryption Key
DEK = Data Encryption Key
KMIP = Key Management Interface Protocol
BLUE = HyTrust コンポーネント ORANGE = VMware/Customer コンポーネント
vSAN Datastore
DEK DEK DEK
KMIP
Object Store
1. 管理者がvSAN暗号化を有効にする
2. vCenterがHyTrust KeyControlにKEKをリクエスト
3. vCenterのDEKは、HyTrust KeyControlのKEKによって暗号化
4. vSAN再起動時に、ESXiホストがHyTrust KeyControlへKEKリク
エスト
23. ESX Host
VM
vTPM連携時のアーキテクチャ
KeyControl
KMIP
Object Store
vCenter
VMware Certificate
Authority
Or 3rd Party CA
KMS List
HyTrust
BLUE = HyTrust Components GREEN = VMware/Customer Components
1. vCenterはHyTrust KeyControlから鍵を要求
2. vTPMデバイスが追加されると、VMCAからエンドースメント・キー・
サーティフィケートが発行
3. VMware Certificate Authority(VMCA)のキーペアは、サードパーティのCA
(Certificate Authority)で置き換えることができます。
4. ゲストOSがvTPMに書き込んだデータはすべて.nvramファイルに保存され
ます。
5. vTPMはvMotionに影響しません。
VM Home Files
.nvram file
Parts of VMX file
Sw ap
.vmss
.vmsn
namespacedb
DeployPackage
vTPM
Endorsement Key
Certificate
Windows 11