VMware Workstation的加密特性能够防止非授权用户访问虚拟机的敏感数据。本文带你了解采用Workstation加密技术对虚拟机访问进行控制的配置及其局限性。
加密为虚拟机提供了保护,限制了用户对虚拟机的修改。在生产环境中,你不希望在没有获取正确密码的情况下就能够启动虚拟机,因为非授权用户可能会因此获取敏感数据。
图1. VMware Workstation访问控制链接用于配置虚拟机的加密及限制选项
用户需要输入解密密码才能访问已加密的虚拟机。没有解密密码,就无法访问加密虚拟机的VMDK文件。VMware Workstation加密位于物理计算硬件的启动密码之上。如果是物理计算机,你可以轻松地取出它的硬盘然后安装在任意一个位置就能访问硬盘上的数据。
如何创建加密虚拟机
只有在虚拟机安装完成后,你才能进行加密操作。安装完后,关闭该虚拟机,然后在VMware Workstation的主界面中选中该虚拟机,单击“编辑虚拟机设置”然后打开选项卡。然后选择“访问控制”选项(见图1)。
单击“加密”,然后输入加密密码(需输入两次)。加密时间长短与虚拟机的大小以及主机的处理能力相关。时间可能会很长——有的可能会达到数小时。加密过程完成后,在启动虚拟机之前需要再次输入密码。
有时,你可能想移除虚拟机的加密属性,比如当将虚拟机从Workstation迁移到vSphere的时候。可以对在相对不安全的个人workstation环境中创建的虚拟机进行加密。在被保护的vSphere数据中心环境中使用该虚拟机时再进行解密。VMware不支持将已加密的虚拟机上传至远程服务器,因此在将虚拟机迁移至vSphere之前必须移除虚拟机的加密属性。为了与其他用户共享,你需要移除虚拟机的加密属性,因为加密算法包括了本地计算机的信息。多台计算机并不能共享访问已经加密的虚拟机。
图2. 在Workstation中如何移除加密或更改加密密码
移除加密和给虚拟机加密一样简单。在虚拟机属性中,单击“编辑虚拟机设置”。输入密码并反选加密选项就可以移除虚拟机的加密属性。在这个界面中你同样可以更改加密密码。
有些管理员可能会认为加密会对虚拟机的性能造成不良影响,但是事实并非如此。在你解密虚拟机时,需要进行额外的运算。一旦虚拟机被打开,就可以像访问其它正常的虚拟机一样使用已经解密的虚拟机了。
尽管VMware Workstation加密为更好的保护虚拟机提供了帮助,但是却带来了一些风险同时也存在一些局限性。比如,如果忘记了密码,那么就不能访问该虚拟机了。已经加密的虚拟机同样不能在共享环境中正常使用,共享环境包括将虚拟机从Workstation迁移至vSphere以及Workstation环境中的多用户访问场景。