Quando você ativa a criptografia de dados em repouso, o vSAN criptografa tudo no armazenamento de dados do vSAN. Todos os arquivos são criptografados, para que todas as máquinas virtuais e seus dados correspondentes estejam protegidos. Somente administradores com privilégios de criptografia podem executar tarefas de criptografia e descriptografia.

vSAN usa chaves de criptografia da seguinte forma:
  • vCenter Server solicita uma Chave de Criptografia de Chave AES-256 (KEK) do KMS. vCenter Server armazena apenas a ID da KEK, mas não a própria chave.

  • O host ESXi criptografa os dados do disco usando o modo AES-256 XTS padrão do setor. Cada disco tem uma Chave de Criptografia de Dados (DEK) diferente gerada aleatoriamente.

  • Cada host ESXi usa a KEK para criptografar suas DEKs e armazena as DEKs criptografadas no disco. O host não armazena a KEK no disco. Se um host for reinicializado, ele solicitará a KEK com a ID correspondente do KMS. O host pode então descriptografar suas DEKs conforme necessário.
  • Uma chave de host é usada para criptografar despejos de memória, não dados. Todos os hosts no mesmo cluster usam a mesma chave de host. Ao coletar pacotes de suporte, uma chave aleatória é gerada para criptografar novamente os despejos de memória. Você pode especificar uma senha para criptografar a chave aleatória.

Quando um host é reinicializado, ele não monta seus grupos de discos até receber a KEK. Esse processo pode levar vários minutos ou mais para ser concluído. Você pode monitorar o status dos grupos de discos no serviço de integridade vSAN, em Discos físicos > Integridade do estado do software (Physical disks > Software state health).

Persistência da chave de criptografia

No vSAN 7.0 Update 3 e posterior, a criptografia de dados em repouso pode continuar a funcionar mesmo quando o servidor de chaves está temporariamente offline ou indisponível. Com a persistência de chave ativada, os hosts ESXi podem manter as chaves de criptografia mesmo após uma reinicialização.

Cada host ESXi obtém as chaves de criptografia inicialmente e as retém em seu cache de chaves. Se o host ESXi tiver um Trusted Platform Module (TPM), as chaves de criptografia serão mantidas no TPM nas reinicializações. O host não precisa solicitar chaves de criptografia. As operações de criptografia podem continuar quando o servidor de chaves não está disponível, porque as chaves persistiram no TPM.

Use os comandos a seguir para habilitar a persistência de chave em um host de cluster. 

esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable

Para obter mais informações sobre a persistência da chave de criptografia, consulte "Visão geral da persistência da chave" em vSphereSegurança.

Usando vSphere Native Key Provider

vSAN 7.0 Atualização 2 é compatível com vSphere Native Key Provider. Se o seu ambiente estiver configurado para vSphere Native Key Provider, você poderá usá-lo para criptografar máquinas virtuais em seu cluster vSAN. Para obter mais informações, consulte "Configurando e gerenciando vSphere Native Key Provider" em vSphereSegurança.

vSphere Native Key Provider não requer um Key Management Server (KMS) externo. vCenter Server gera a Chave de Criptografia de Chave e a envia por push para os hosts ESXi. Os hosts ESXi então geram Chaves de Criptografia de Dados.

Observação: Se você usar vSphere Native Key Provider, certifique-se de fazer backup do Native Key Provider para garantir que as tarefas de reconfiguração sejam executadas sem problemas.

vSphere Native Key Provider pode coexistir com uma infraestrutura de servidor de chaves existente.