Considere estas diretrizes ao trabalhar com criptografia de dados em repouso.
- Não implante seu servidor KMS no mesmo datastore vSAN que você planeja criptografar.
- A criptografia faz uso intensivo da CPU. O AES-NI melhora significativamente o desempenho da criptografia. Ative o AES-NI no seu BIOS.
- O host testemunha em um cluster estendido não participa da criptografia vSAN. O host testemunha não armazena dados do cliente, apenas metadados, como o tamanho e o UUID do objeto e dos componentes vSAN.
Observação: Se o host testemunha for um appliance em execução em outro cluster, você poderá criptografar os metadados armazenados nele. Habilite a criptografia de dados em repouso no cluster que contém o host testemunha.
- Estabeleça uma política em relação aos despejos de memória. Os dumps principais são criptografados porque podem conter informações confidenciais. Se você descriptografar um despejo de memória, manuseie cuidadosamente suas informações confidenciais. Os dumps principais do ESXi podem conter chaves para o host ESXi e para os dados nele.
- Sempre use uma senha ao coletar um pacote vm-support. Você pode especificar a senha ao gerar o pacote de suporte do vSphere Client ou usando o comando vm-support.
A senha criptografa novamente os despejos principais que usam chaves internas para usar chaves baseadas na senha. Posteriormente, você poderá usar a senha para descriptografar quaisquer despejos de memória criptografados que possam estar incluídos no pacote de suporte. Os despejos de memória ou logs não criptografados não são afetados.
- A senha que você especifica durante a criação do pacote vm-support não é mantida nos componentes vSphere. Você é responsável por rastrear as senhas dos pacotes de suporte.
- Sempre use uma senha ao coletar um pacote vm-support. Você pode especificar a senha ao gerar o pacote de suporte do vSphere Client ou usando o comando vm-support.
