Halten Sie sich beim Arbeiten mit der Verschlüsselung ruhender Daten an die folgenden Richtlinien.
- Stellen Sie Ihren KMS-Server nicht im selben vSAN-Datenspeicher bereit, den Sie verschlüsseln möchten.
- Die Verschlüsselung ist CPU-intensiv. Mit AES-NI wird die Verschlüsselungsleistung deutlich gesteigert. Aktivieren Sie AES-NI im BIOS.
- Der Zeugenhost in einem vSAN Stretched Cluster nimmt nicht an der vSAN-Verschlüsselung teil. Der Zeugenhost speichert keine Kundendaten, sondern nur Metadaten wie Größe und UUID des vSAN-Objekts und der Komponenten.
Hinweis: Wenn der Zeugenhost eine Appliance ist, die auf einem anderen Cluster ausgeführt wird, können Sie die darauf gespeicherten Metadaten verschlüsseln. Aktivieren Sie die Verschlüsselung ruhender Daten (Data-at-Rest) auf dem Cluster, der den Zeugenhost enthält.
- Erstellen Sie eine Richtlinie bezüglich Core-Dumps. Core-Dumps sind verschlüsselt, da sie vertrauliche Informationen enthalten können. Gehen Sie sorgfältig mit den vertraulichen Daten um, wenn Sie einen Core-Dump entschlüsseln. ESXi-Core-Dumps können Schlüssel für den ESXi-Host und die sich darauf befindlichen Daten enthalten.
- Verwenden Sie immer ein Kennwort, wenn Sie ein vm-support-Paket erfassen. Sie können das Kennwort angeben, wenn Sie das Support-Paket vom vSphere Client generieren oder den vm-support-Befehl verwenden.
Das Kennwort verschlüsselt Core-Dumps erneut, die interne Schlüssel zur Verwendung von auf diesem Kennwort basierenden Schlüsseln verwenden. Sie können das Kennwort zu einem späteren Zeitpunkt zum Entschlüsseln und Verschlüsseln von Core-Dumps verwenden, die möglicherweise im Support-Paket enthalten sind. Nicht verschlüsselte Core-Dumps oder Protokolle sind davon nicht betroffen.
- Das von Ihnen während der vm-support-Paketerstellung angegebene Kennwort wird in vSphere-Komponenten nicht dauerhaft gespeichert. Sie müssen Ihre Kennwörter für Support-Pakete selbst speichern bzw. diese notieren.
- Verwenden Sie immer ein Kennwort, wenn Sie ein vm-support-Paket erfassen. Sie können das Kennwort angeben, wenn Sie das Support-Paket vom vSphere Client generieren oder den vm-support-Befehl verwenden.