HyTrust DataControlはエージェントによる暗号化(NIST認定のAES-128/256暗号化)を提供します。エージェントのインストールは数秒しかかからず、再起動などのダウンタイムなしで、GUIからのクリック操作により簡単に暗号化を提供します(APIによる統合も可能)。エージェントはVMの一部として動作するため、別ホストへの移動やプライベートクラウドからパブリッククラウドに移動したとしても永続的に保護可能であり、ユーザのエクスペリエンスやVMの管理方法に影響しません。また、IntelおよびAMDチップセットのAES-NIハードウェアアクセラレーションにより最高のパフォーマンスと透過性を提供します。さらに、仮想マシン内のデバイスごとに暗号化キーを適用できるため、データパーティションやWindowsのブート、Linuxのルート、スワップパーティション、ファイル、オブジェクトというように細かく暗号化を行うことも可能です。
HyTrust DataControlはHyTrust KeyControlによりシンプルなキー(暗号化鍵)管理を提供します(FIPS 140-2 Level 1 認証/HSMによるFIPS 140-2 Level 3準拠)。ウェブブラウザやAPI(RESTful APIによる運用タスクの簡素化)からポリシーを設定でき、ポリシーに合わせて、自動でキーを追跡し、必要に応じてキーを作成、割り当て、破棄します。また、マルチテナントにも対応しており、各テナントで独立した管理者アカウントを使用し、システム管理を複数に分化、必要に応じた情報共有や業務の分担、人事評価をグループごとに設定可能であり、このような際に重要となる管理設定やシステムの変更を幅広く検知し、記録・通知するフォレンジック(不正証跡)ログも可能です。さらにHyTrust KeyControlは複数ノードで構成でき、環境規模に合わせて、クラスタあたり最大8ノードまで拡張できます。これによりエンタープライズレベルの環境でも利用でき、アクティブ-アクティブの高可用性な構成を実装できます。
HyTrust KeyControlは、以下のパブリッククラウドおよびプライベートクラウドで展開でき、
HyTrust DataControlポリシーエージェントでの暗号化、vSphere 6.5より登場したVMware Encryptionの暗号化キー管理、
vSAN Encryptionの暗号化キー管理、仮想Trusted Platform Module(vTPM)による暗号化、
Nutanix標準の暗号化(Data at Rest Encryption)など、様々な暗号化方式のキーを管理できます。
参考記事:https://www.climb.co.jp/blog_veeam/hytrust-16236
また、HyTrust KeyControlは、VMware標準の暗号化に必要なKMS (Key Management Server)としてVMwareより認定を受けており、
暗号化がサポートされている1.1から1.4までのKMIPプロトコルすべてで動作が保証されています。
HyTrust KeyControlは、オンプレミス環境の鍵管理だけでなく、Amazon Web Service (AWS)およびMicrosoft Azure (Azure)環境へKeyContorlが生成したセキュアな暗号鍵を持ち込み(BYOK)、クラウドネイティブに提供されている暗号化機能に利用できます。
クラウドネイティブに提供されている鍵管理サービスでは対応できない、細かな暗号鍵のライフサイクルを実現でき、クラウド上に展開されたデータの安全性を高めます。
参考記事:https://www.climb.co.jp/blog_veeam/hytrust-20534
HyTrust KeyControlは、HyTrust組み込み機能を使用し、複数KeyControlノードをクラスタとして構成でき、万が一どれかのノードが破損し起動できなくなった場合でも、残りのKeyControlノードが暗号化/復号化リクエストを処理可能です。
この時、高価な共有ストレージは不要で、設定としても各KeyControlノードをペアリングするのみで問題なく、設定の負担やコストを抑えて可用性のある運用が可能です。
※クラスタは最大8ノードまで拡張可能です。
参考記事:https://www.climb.co.jp/blog_veeam/hytrust-18916
