Uma visão geral de alto nível dos recursos dos vSphere provedores de chaves requer sua atenção para ajudar a planejar sua estratégia de criptografia.
Em geral, há pouca diferença no suporte a recursos ou produtos entre a operação diária do principal provedor. Embora os principais provedores pareçam e se comportem de forma semelhante, você pode ter requisitos e regulamentos a serem considerados ao escolher um provedor de chaves, conforme mostrado na tabela a seguir.
| Provedor de chaves | Servidor de Chave Externo Necessário? | Configuração rápida? | Funciona apenas com vSphere? | Chaves de criptografia armazenadas permanentemente no host? | Rekey durante a clonagem? |
|---|---|---|---|---|---|
| Provedor de chaves padrão | Sim | Não | Não | Não | Sim |
| Provedor de chaves confiável | Sim | Não | Não | Não | Não |
| vSphere Native Key Provider | Não | Sim | Sim | Sim | Não |
Recursos de criptografia do provedor de chaves
Os seguintes recursos de criptografia são compatíveis com cada tipo de provedor de chaves.
- Rechavear usando o mesmo provedor de chaves ou para outro provedor de chaves
- Girar teclas
- Módulo de plataforma confiável virtual (vTPM)
- Criptografia de disco
- vSphere Criptografia de máquina virtual
- Coexistência com outros provedores importantes
- Fazer upgrade para um provedor de chaves diferente
Suporte do provedor de chaves para recursos do vSphere
A seguir, descrevemos o suporte do provedor principal para alguns recursos importantes do vSphere.
- Criptografado vSphere vMotion: compatível com todos os tipos de provedor de chaves. O mesmo provedor de chaves deve estar disponível no host de destino. Consulte Criptografado vSphere vMotion.
- vCenter Server Backup e restauração com base em arquivo: o provedor de chaves padrão e o vSphere Native Key Provider oferecem suporte a vCenter Server backup e restauração com base em arquivo. Como a maioria das informações de configuração do vSphere Trust Authority é armazenada nos hosts do ESXi, o mecanismo de backup baseado em arquivo do vCenter Server não faz backup dessas informações. Para garantir que as informações de configuração para sua implantação do vSphere Trust Authority sejam salvas, consulte Fazendo backup da configuração do vSphere Trust Authority.
Suporte do provedor principal para produtos VMware
A tabela a seguir compara o suporte do provedor principal para alguns produtos VMware.
| Provedor de chaves | vSAN | Site Recovery Manager | vSphere Replication |
|---|---|---|---|
| Provedor de chaves padrão | Sim | Sim | Sim |
| Provedor de chaves confiável | Sim | Sim Se a mesma configuração de serviços do vSphere Trust Authority estiver disponível no lado da recuperação, o SRM com replicação baseada em matriz será compatível. |
Não |
| vSphere Native Key Provider | Sim | Sim | Sim |
Hardware necessário para provedores de chaves
A tabela a seguir compara alguns requisitos mínimos de hardware do provedor de chaves.
| Provedor de chaves | TPM no host ESXi |
|---|---|
| Provedor de chaves padrão | Não obrigatório |
| Provedor de chaves confiável | Obrigatório em hosts confiáveis (hosts no cluster confiável).
Observação: Atualmente, os hosts
ESXi no Cluster do Trust Authority não requerem um TPM. No entanto, como prática recomendada, considere a instalação de novos hosts
ESXi com TPMs.
|
| vSphere Native Key Provider | Não obrigatório A disponibilidade de vSphere Native Key Provider pode, opcionalmente, ser restrita a hosts com um TPM. |
Nomenclatura do provedor de chaves
vSphere usa um nome de provedor de chave para pesquisar um identificador de chave. Se dois provedores de chaves tiverem o mesmo nome, vSphere presumirá que eles são equivalentes e têm acesso às mesmas chaves. Cada provedor de chave lógica, independentemente do tipo (Padrão, Confiável e Provedor de Chave Nativo), deve ter um nome exclusivo em todos os sistemas vCenter Server.
Em alguns casos, você configura o mesmo provedor de chaves em vários sistemas vCenter Server, como:
- Migrando máquinas virtuais criptografadas entre sistemas vCenter Server
- Configurando um vCenter Server como um site de recuperação de desastres
