Referenz der vSAN-Sicherheitskontrollen

Diese Sicherheitskontrollen stellen einen Baseline-Satz von Best Practices für vSAN bereit. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden. Informationen zum Vornehmen von Änderungen an diesen Steuerungen finden Sie in der Dokumentation zu Verwalten von VMware vSAN.

Schützen von Daten im Ruhezustand

vSAN müssen Daten im Ruhezustand schützen.

Die vSAN-Verschlüsselung für Daten im Ruhezustand hilft dabei, die Vertraulichkeit sensibler Daten zu wahren, während sie sich auf Speichergeräten befinden, und verringert das Risiko eines unbefugten Zugriffs oder einer Offenlegung im Falle von physischem Diebstahl oder Verlust.

Sie können diesen Konfigurationsparameter ändern, während der Cluster betriebsbereit ist. Durch die Aktivierung des Schutzes für Daten im Ruhezustand werden Festplattengruppen (für vSAN OSA) neu formatiert und gespeicherte Objekte (für vSAN ESA) neu geschrieben. Dieser Hintergrundvorgang kann einige Zeit in Anspruch nehmen. Arbeitslasten müssen nicht ausgeschaltet werden. In vSAN ESA 8.0 Update 2 wurde die Funktion eingeführt, den Schutz für Daten im Ruhezustand auf einem vorhandenen vSAN ESA-Datenspeicher zu aktivieren. In vSAN ESA 8.0 Update 3 ist es nun wieder möglich, die Funktion zu deaktivieren. Führen Sie die neueste Version von vSAN aus, wenn Sie ESA verwenden.

Werte: Installationsstandardwert: Deaktiviert; Vorgeschlagener Baseline-Wert: Aktiviert

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Die gesamte Verschlüsselung erfolgt auf Kosten von CPU-Zyklen und potenzieller Speicherlatenz. Wie stark sich dies auf Arbeitslasten auswirkt, hängt von einer Vielzahl von Faktoren ab, etwa der Konfiguration der zugrunde liegenden Hardware und dem Typ sowie der Häufigkeit der Speicher-E/A-Vorgänge durch die Arbeitslast.

Schützen von Daten beim Durchlaufen des Netzwerks

vSAN müssen Daten im Ruhezustand, einschließlich der speicherbezogenen Netzwerkkommunikation, schützen.

Die vSAN-Verschlüsselung in Übertragung begriffener Daten trägt dazu bei, dass sensible Daten beim Durchlaufen des Netzwerks vertraulich bleiben, wodurch das Risiko von unbefugtem Zugriff oder Abfangen reduziert wird.

Sie können diesen Konfigurationsparameter ändern, während der Cluster betriebsbereit ist.

Werte: Installationsstandardwert: Deaktiviert; Vorgeschlagener Baseline-Wert: Aktiviert

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Die gesamte Verschlüsselung erfolgt auf Kosten von CPU-Zyklen und potenzieller Speicherlatenz. Wie stark sich dies auf Arbeitslasten auswirkt, hängt von einer Vielzahl von Faktoren ab, etwa der Konfiguration der zugrunde liegenden Hardware und dem Typ sowie der Häufigkeit der Speicher-E/A-Vorgänge durch die Arbeitslast.

Einschränken des Zugriffs auf NFS-Dateifreigaben

NFS-Dateifreigaben in vSAN-Dateidiensten müssen so konfiguriert sein, dass der Zugriff eingeschränkt wird.

Wählen Sie beim Konfigurieren einer NFS-Dateifreigabe die Option zum Anpassen des Netzwerkzugriffs aus, und konfigurieren Sie einen restriktiven Satz von Berechtigungen.

Werte: Installationsstandardwert: Kein Zugriff; Vorgeschlagener Baseline-Wert: Netzwerkzugriff anpassen

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Verlust der Konnektivität mit Clients.

Verschlüsseln der KMU-Authentifizierung

KMU-Dateifreigaben in vSAN-Dateidiensten dürfen nur die verschlüsselte KMU-Authentifizierungskommunikation akzeptieren.

Aktivieren Sie beim Konfigurieren einer KMU-Dateifreigabe die Option für die Protokollverschlüsselung.

Werte: Installationsstandardwert: Deaktiviert; Empfohlener Baseline-Wert: Aktiviert

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine.

Aktivieren der bidirektionalen/gegenseitigen CHAP-Authentifizierung

Das vSAN iSCSI-Ziel muss die bidirektionale/gegenseitige CHAP-Authentifizierung aktivieren.

Gegenseitiges CHAP bietet eine zusätzliche Schutzebene, da sowohl der Initiator (Client) als auch das Ziel (Server) gegenseitig ihre Identität bestätigen müssen. Dies verhindert, dass zwischen den beiden Instanzen übertragene Daten durch nicht autorisierte Entitäten abgefangen oder geändert werden.

Werte: Installationsstandardwert: Deaktiviert; Empfohlener Baseline-Wert: Aktiviert

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Die Konfiguration von Clients kann schwieriger sein.

Reservieren von Speicherplatz zum Abschließen interner Wartungsvorgänge

vSAN muss Platz reservieren, um die internen Wartungsvorgänge abzuschließen.

Über die vSAN-Kapazitätseinstellung für die Vorgangsreserve wird sichergestellt, dass vSAN immer über ausreichend freien Speicherplatz verfügt, um die Verfügbarkeit und Zuverlässigkeit des vSAN-Datenspeichers aufrechtzuerhalten und potenzielle Datenverluste oder Dienstunterbrechungen aufgrund unzureichender Kapazität während Vorgängen wie Richtlinienänderungen zu verhindern.

Sie können diesen Konfigurationsparameter ändern, während der Cluster betriebsbereit ist.

Werte: Installationsstandardwert: Deaktiviert; Empfohlener Baseline-Wert: Aktiviert

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Durch die Aktivierung dieser Option wird die nutzbare Kapazität des vSAN-Datenspeichers reduziert.