Wenn Sie die Verschlüsselung ruhender Daten aktivieren, verschlüsselt vSAN alles, was sich im vSAN-Datenspeicher befindet. Alle Dateien werden verschlüsselt, sodass alle virtuellen Maschinen und ihre entsprechenden Daten geschützt sind. Nur Administratoren mit Berechtigungen zum Verschlüsseln können Verschlüsselungs- und Entschlüsselungsaufgaben durchführen.

vSAN verwendet Verschlüsselungsschlüssel wie folgt:
  • vCenter Server fordert einen AES-256-KEK vom KMS an. vCenter Server speichert nur die ID des KEK, nicht jedoch den Schlüssel selbst.

  • Der ESXi-Host verschlüsselt die Datenträgerdaten im branchenüblichen AES-256-XTS-Modus. Jeder Datenträger verfügt über einen anderen zufällig erzeugten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK).

  • Jeder ESXi-Host verwendet den KEK, um seine DEKs zu verschlüsseln, und speichert den verschlüsselten DEKs auf dem Datenträger. Der Host speichert den KEK nicht auf dem Datenträger. Wenn ein Host neu gestartet wird, fordert er vom KMS den KEK mit der entsprechenden ID an. Der Host kann dann seine DEKs nach Bedarf entschlüsseln.
  • Ein Hostschlüssel wird zum Verschlüsseln von Core-Dumps, nicht von Daten, verwendet. Alle Hosts im selben Cluster verwenden denselben Hostschlüssel. Beim Erfassen von Support-Paketen wird zur Neuverschlüsselung der Core-Dumps ein Zufallsschlüssel erzeugt. Sie können ein Kennwort zum Verschlüsseln des Zufallsschlüssels angeben.

Wenn ein Host neu gestartet wird, werden dessen Datenträgergruppen erst dann gemountet, wenn er den KEK erhalten hat. Dieser Vorgang kann einige Minuten oder länger dauern. Sie können im vSAN-Integritätsdienst unter Physische Datenträger > Softwarezustand-Integrität den Status der Datenträgergruppen überwachen.

Verschlüsselungsschlüsselpersistenz

In vSAN 7.0 Update 3 und höher kann die Verschlüsselung ruhender Daten auch dann weiter funktionieren, wenn der Schlüsselserver vorübergehend offline oder nicht verfügbar ist. Wenn die Schlüsselpersistenz aktiviert ist, bleiben die Verschlüsselungsschlüssel auf den ESXi-Hosts auch nach einem Neustart persistent.

Jeder ESXi-Host erhält die Verschlüsselungsschlüssel anfänglich und speichert sie in seinem Schlüssel-Cache. Wenn der ESXi-Host über ein vertrauenswürdiges Plattformmodul (Trusted Platform Module, TPM) verfügt, werden die Verschlüsselungsschlüssel im TPM über Neustarts hinweg beibehalten. Der Host muss keine Verschlüsselungsschlüssel anfordern. Verschlüsselungsvorgänge können fortgesetzt werden, wenn der Schlüsselserver nicht verfügbar ist, da die Schlüssel im TPM beibehalten wurden.

Verwenden Sie die folgenden Befehle, um die Schlüsselpersistenz auf einem Clusterhost zu aktivieren. 

esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable

Weitere Informationen zur Persistenz von Verschlüsselungsschlüsseln finden Sie unter „Schlüsselpersistenz – Übersicht“ in vSphere-Sicherheit.

Verwenden von vSphere Native Key Provider

vSAN 7.0 Update 2 unterstützt vSphere Native Key Provider. Wenn Ihre Umgebung für einen vSphere Native Key Provider eingerichtet ist, können Sie ihn zum Verschlüsseln virtueller Maschinen in Ihrem vSAN-Cluster verwenden. Weitere Informationen finden Sie unter „Konfigurieren und Verwalten von vSphere Native Key Provider“ in vSphere-Sicherheit.

vSphere Native Key Provider benötigt keinen externen Schlüsselverwaltungsserver (Key Management Server, KMS). vCenter Server generiert den Verschlüsselungsschlüssel und sendet ihn an die ESXi-Hosts. Die ESXi-Hosts generieren dann Datenverschlüsselungsschlüssel.

Hinweis: Wenn Sie vSphere Native Key Provider verwenden, stellen Sie sicher, dass Sie den nativen Schlüsselanbieter sichern, um sicherzustellen, dass die Neukonfigurationsaufgaben reibungslos ausgeführt werden.

vSphere Native Key Provider kann mit einer bestehenden Schlüsselserver-Infrastruktur koexistieren.