Uma visão geral de alto nível dos recursos dos provedores de chave do vSphere requer sua atenção para ajudar a planejar sua estratégia de criptografia.

Em geral, há pouca diferença no suporte a recursos ou produtos entre a operação diária do provedor principal. Embora os principais provedores pareçam e se comportem de forma semelhante, você pode ter requisitos e regulamentações a serem considerados ao escolher um provedor principal, conforme mostrado na tabela a seguir.

Tabela 1. Considerações do provedor de chave
Provedor de chave Retorno do investimento em hardware? Servidor de chave externo necessário? Configuração rápida? Funciona apenas com o vSphere?
Provedor de chave padrão Não Sim Não Não
Provedor de chave confiável Sim Sim Não Não
vSphere Native Key Provider Não Não Sim Sim

Recursos de criptografia

Os seguintes recursos de criptografia são compatíveis com cada tipo de provedor de chave.

  • Recodificação usando o mesmo provedor de chaves ou para outro provedor de chaves
  • Rodar chaves
  • Virtual Trusted Platform Module (vTPM)
  • Criptografia de disco
  • vSphere Virtual Machine Encryption
  • Coexistência com outros provedores importantes
  • Atualize para um provedor de chaves diferente

Recursos do vSphere

Veja a seguir uma descrição do suporte do provedor principal para alguns recursos importantes do vSphere.

  • Criptografado vSphere vMotion: compatível com todos os tipos de provedores de chave. O mesmo provedor de chaves deve estar disponível no host de destino. Consulte o Criptografado vSphere vMotion.
  • vCenter Server Backup e restauração com base em arquivo: o provedor de chave padrão e o provedor de chave nativo do vSphere oferecem suporte a vCenter Server backup e restauração com base em arquivo. Como a maioria das informações de configuração de vSphere Trust Authority é armazenada nos hosts ESXi, o mecanismo de backup baseado em arquivo vCenter Server não faz backup dessas informações. Para garantir que as informações de configuração de sua implantação do vSphere Trust Authority sejam salvas, consulte Fazendo backup da configuração do vSphere Trust Authority.

Produtos do VMware

A tabela a seguir compara o suporte do provedor principal para alguns produtos do VMware.

Tabela 2. Comparação de suporte para VMware produtos
Provedor de chave vSAN Site Recovery Manager vSphere Replication
Provedor de chave padrão Sim Sim Sim
Provedor de chave confiável Sim Sim

Se a mesma configuração de serviços do vSphere Trust Authority estiver disponível no lado da recuperação, o SRM com replicação baseada em matriz será compatível.

Não
vSphere Native Key Provider Sim Sim Sim

Hardware necessário

A tabela a seguir compara alguns requisitos mínimos de hardware do provedor de chave.

Tabela 3. Comparação de hardware necessário
Provedor de chave TPM no host ESXi
Provedor de chave padrão Não é necessário
Provedor de chave confiável Necessário em hosts confiáveis (hosts no cluster confiável).

Observação: Atualmente, os hosts ESXi no Trust Authority Cluster não exigem um TPM. No entanto, como uma questão de prática recomendada, considere instalar novos hosts ESXi com TPMs.
vSphere Native Key Provider Não é necessário

A disponibilidade do vSphere Native Key Provider pode, opcionalmente, ser restrita a hosts com um TPM.

Nomenclatura do provedor de chave

O vSphere usa um nome de provedor de chave para procurar um identificador de chave. Se dois provedores de chave tiverem o mesmo nome, o vSphere assumirá que eles são equivalentes e têm acesso às mesmas chaves. Cada provedor de chave lógica, independentemente do seu tipo (Padrão, Confiável e Provedor de Chave Nativa), deve ter um nome exclusivo em todos os vCenter Server sistemas.

Em alguns casos, você configura o mesmo provedor de chaves em vários sistemas do vCenter Server, como:

  • Migrando máquinas virtuais criptografadas entre vCenter Server sistemas
  • Configurando um vCenter Server como um site de recuperação de desastre