Uma visão geral de alto nível dos recursos dos provedores de chave do vSphere requer sua atenção para ajudar a planejar sua estratégia de criptografia.
Em geral, há pouca diferença no suporte a recursos ou produtos entre a operação diária do provedor principal. Embora os principais provedores pareçam e se comportem de forma semelhante, você pode ter requisitos e regulamentações a serem considerados ao escolher um provedor principal, conforme mostrado na tabela a seguir.
| Provedor de chave | Retorno do investimento em hardware? | Servidor de chave externo necessário? | Configuração rápida? | Funciona apenas com o vSphere? |
|---|---|---|---|---|
| Provedor de chave padrão | Não | Sim | Não | Não |
| Provedor de chave confiável | Sim | Sim | Não | Não |
| vSphere Native Key Provider | Não | Não | Sim | Sim |
Recursos de criptografia
Os seguintes recursos de criptografia são compatíveis com cada tipo de provedor de chave.
- Recodificação usando o mesmo provedor de chaves ou para outro provedor de chaves
- Rodar chaves
- Virtual Trusted Platform Module (vTPM)
- Criptografia de disco
- vSphere Virtual Machine Encryption
- Coexistência com outros provedores importantes
- Atualize para um provedor de chaves diferente
Recursos do vSphere
Veja a seguir uma descrição do suporte do provedor principal para alguns recursos importantes do vSphere.
- Criptografado vSphere vMotion: compatível com todos os tipos de provedores de chave. O mesmo provedor de chaves deve estar disponível no host de destino. Consulte o Criptografado vSphere vMotion.
- vCenter Server Backup e restauração com base em arquivo: o provedor de chave padrão e o provedor de chave nativo do vSphere oferecem suporte a vCenter Server backup e restauração com base em arquivo. Como a maioria das informações de configuração de vSphere Trust Authority é armazenada nos hosts ESXi, o mecanismo de backup baseado em arquivo vCenter Server não faz backup dessas informações. Para garantir que as informações de configuração de sua implantação do vSphere Trust Authority sejam salvas, consulte Fazendo backup da configuração do vSphere Trust Authority.
Produtos do VMware
A tabela a seguir compara o suporte do provedor principal para alguns produtos do VMware.
| Provedor de chave | vSAN | Site Recovery Manager | vSphere Replication |
|---|---|---|---|
| Provedor de chave padrão | Sim | Sim | Sim |
| Provedor de chave confiável | Sim | Sim Se a mesma configuração de serviços do vSphere Trust Authority estiver disponível no lado da recuperação, o SRM com replicação baseada em matriz será compatível. |
Não |
| vSphere Native Key Provider | Sim | Sim | Sim |
Hardware necessário
A tabela a seguir compara alguns requisitos mínimos de hardware do provedor de chave.
| Provedor de chave | TPM no host ESXi |
|---|---|
| Provedor de chave padrão | Não é necessário |
| Provedor de chave confiável | Necessário em hosts confiáveis (hosts no cluster confiável).
Observação: Atualmente, os hosts
ESXi no Trust Authority Cluster não exigem um TPM. No entanto, como uma questão de prática recomendada, considere instalar novos hosts
ESXi com TPMs.
|
| vSphere Native Key Provider | Não é necessário A disponibilidade do vSphere Native Key Provider pode, opcionalmente, ser restrita a hosts com um TPM. |
Nomenclatura do provedor de chave
O vSphere usa um nome de provedor de chave para procurar um identificador de chave. Se dois provedores de chave tiverem o mesmo nome, o vSphere assumirá que eles são equivalentes e têm acesso às mesmas chaves. Cada provedor de chave lógica, independentemente do seu tipo (Padrão, Confiável e Provedor de Chave Nativa), deve ter um nome exclusivo em todos os vCenter Server sistemas.
Em alguns casos, você configura o mesmo provedor de chaves em vários sistemas do vCenter Server, como:
- Migrando máquinas virtuais criptografadas entre vCenter Server sistemas
- Configurando um vCenter Server como um site de recuperação de desastre
