Halten Sie sich beim Arbeiten mit der Verschlüsselung ruhender Daten an die folgenden Richtlinien.

  • Stellen Sie Ihren KMS-Server nicht im selben vSAN-Datenspeicher bereit, den Sie verschlüsseln möchten.
  • Die Verschlüsselung ist CPU-intensiv. Mit AES-NI wird die Verschlüsselungsleistung deutlich gesteigert. Aktivieren Sie AES-NI im BIOS.
  • Der Zeugenhost in einem Stretched Cluster ist nicht Teil der vSAN-Verschlüsselung. Der Zeugenhost speichert keine Kundendaten, sondern nur Metadaten wie Größe und UUID des vSAN-Objekts und der Komponenten.
    Hinweis: Wenn der Zeugenhost eine Appliance ist, die auf einem anderen Cluster ausgeführt wird, können Sie die darauf gespeicherten Metadaten verschlüsseln. Aktivieren Sie die Verschlüsselung ruhender Daten (Data-at-Rest) auf dem Cluster, der den Zeugenhost enthält.
  • Erstellen Sie eine Richtlinie bezüglich Core-Dumps. Core-Dumps sind verschlüsselt, da sie vertrauliche Informationen enthalten können. Gehen Sie sorgfältig mit den vertraulichen Daten um, wenn Sie einen Core-Dump entschlüsseln. ESXi-Core-Dumps können Schlüssel für den ESXi-Host und die sich darauf befindlichen Daten enthalten.
    • Verwenden Sie immer ein Kennwort, wenn Sie ein vm-support-Paket erfassen. Sie können das Kennwort angeben, wenn Sie das Support-Paket vom vSphere Client generieren oder den vm-support-Befehl verwenden.

      Das Kennwort verschlüsselt Core-Dumps erneut, die interne Schlüssel zur Verwendung von auf diesem Kennwort basierenden Schlüsseln verwenden. Sie können das Kennwort zu einem späteren Zeitpunkt zum Entschlüsseln und Verschlüsseln von Core-Dumps verwenden, die möglicherweise im Support-Paket enthalten sind. Nicht verschlüsselte Core-Dumps oder Protokolle sind davon nicht betroffen.

    • Das von Ihnen während der vm-support-Paketerstellung angegebene Kennwort wird in vSphere-Komponenten nicht dauerhaft gespeichert. Sie müssen Ihre Kennwörter für Support-Pakete selbst speichern bzw. diese notieren.