Mithilfe einer allgemeinen Übersicht über die Funktionen der vSphere-Schlüsselanbieter können Sie Ihre Verschlüsselungsstrategie planen.

Im Allgemeinen gibt es im Regelbetrieb der einzelnen Schlüsselanbieter nur geringe Unterschiede bei den unterstützten Funktionen und Produkten. Trotz des ähnlichen Aussehens und Verhaltens der verschiedenen Schlüsselanbieter müssen bei der Auswahl eines Schlüsselanbieters unter Umständen Anforderungen und Bestimmungen berücksichtigt werden. Diese werden in der folgenden Tabelle dargestellt:

Tabelle 1. Überlegungen zu Schlüsselanbietern
Schlüsselanbieter Externer Schlüsselserver erforderlich? Schnelle Einrichtung? Funktioniert nur mit vSphere? Verschlüsselungsschlüssel dauerhaft auf dem Host gespeichert? Erneute Schlüsselerstellung beim Klonen?
Standardschlüsselanbieter Ja Nein Nein Nein Ja
Vertrauenswürdiger Schlüsselanbieter Ja Nein Nein Nein Ja
vSphere Native Key Provider Nein Ja Ja Ja Ja
Hinweis: Beim Start des Hosts schreibt vSphere Native Key Provider immer den Verschlüsselungsschlüssel auf die ESXi-Hosts im Cluster. Wenn Sie Bedenken über die physische Sicherheit des Clusters haben, sollten Sie entweder einen Standardschlüsselanbieter oder einen vertrauenswürdigen Schlüsselanbieter verwenden. Beides erfordert, dass der Schlüsselserver für verschlüsselte virtuelle Maschinen verfügbar ist.

Schlüsselanbieter-Verschlüsselungsfunktionen

Die folgenden Verschlüsselungsfunktionen werden von jedem Schlüsselanbietertyp unterstützt.

  • Erneute Schlüsselerstellung mithilfe desselben oder eines anderen Schlüsselanbieters
  • Schlüssel rotieren
  • Virtuelles Trusted Platform Module (vTPM)
  • Festplattenverschlüsselung
  • Verschlüsselung virtueller vSphere-Maschinen
  • Koexistenz mit anderen Schlüsselanbietern
  • Upgrade auf einen anderen Schlüsselanbieter

Unterstützung von Schlüsselanbietern für vSphere-Funktionen

Im Folgenden wird die Unterstützung der Schlüsselanbieter für bestimmte wichtige vSphere-Funktionen beschrieben.

  • Verschlüsselte vSphere vMotion: Wird von allen Schlüsselanbietertypen unterstützt. Derselbe Schlüsselanbieter muss auf dem Zielhost verfügbar sein. Weitere Informationen hierzu finden Sie unter Was ist verschlüsseltes vSphere vMotion.
  • Dateibasierte Sicherung und Wiederherstellung in vCenter Server: Standardschlüsselanbieter und vSphere Native Key Provider unterstützen dateibasierte Sicherung und Wiederherstellung in vCenter Server. Da die meisten vSphere Trust Authority-Konfigurationsinformationen auf den ESXi-Hosts gespeichert werden, erfolgt keine Sicherung dieser Informationen durch den dateibasierten Sicherungsmechanismus in vCenter Server. Um sicherzustellen, dass die Konfigurationsinformationen für Ihre vSphere Trust Authority-Bereitstellung gespeichert werden, finden Sie Informationen unter Sichern der vSphere Trust Authority-Konfiguration.

Unterstützung von Schlüsselanbietern für VMware-Produkte

In der folgenden Tabelle wird die Schlüsselanbieterunterstützung für bestimmte VMware-Produkte verglichen.

Tabelle 2. Vergleich der Unterstützung für VMware-Produkte
Schlüsselanbieter Verschlüsselung ruhender vSAN-Daten Site Recovery Manager vSphere Replication
Standardschlüsselanbieter Ja Ja Ja
Vertrauenswürdiger Schlüsselanbieter Nein Ja

Wenn dieselbe Konfiguration der vSphere Trust Authority-Dienste auf der Wiederherstellungsseite verfügbar ist, wird SRM mit Array-basierter Replizierung unterstützt.

Nein
vSphere Native Key Provider Ja Ja Ja
Hinweis:

Standardschlüsselanbieter, vertrauenswürdiger Schlüsselanbieter und vSphere Native Key Provider unterstützen zusätzlich zu vSAN die vSphere VM-Verschlüsselung.

Erforderliche Hardware für Schlüsselanbieter

In der folgenden Tabelle werden bestimmte Mindestanforderungen an die Hardware des Schlüsselanbieters verglichen.

Tabelle 3. Vergleich der erforderlichen Hardware für Schlüsselanbieter
Schlüsselanbieter TPM auf ESXi-Host
Standardschlüsselanbieter Nicht erforderlich
Vertrauenswürdiger Schlüsselanbieter Erforderlich auf vertrauenswürdigen Hosts (Hosts im vertrauenswürdigen Cluster).

Hinweis: Aktuell benötigen die ESXi-Hosts im Trust Authority-Cluster kein TPM. Es empfiehlt sich jedoch, neue ESXi-Hosts mit TPMs zu installieren.
vSphere Native Key Provider Nicht erforderlich

Die Verfügbarkeit des vSphere Native Key Providers kann optional auf Hosts mit einem TPM beschränkt werden.

Benennung des Schlüsselanbieters

vSphere verwendet den Schlüsselanbieternamen, um einen Schlüsselbezeichner zu suchen. Wenn zwei Schlüsselanbieter denselben Namen haben, geht vSphere davon aus, dass sie äquivalent sind und Zugriff auf dieselben Schlüssel haben. Jeder logische Schlüsselanbieter muss unabhängig von seinem Typ (Standard-, vertrauenswürdiger und nativer Schlüsselanbieter) über einen eindeutigen Namen in allen vCenter Server-Systemen verfügen.

In einigen Fällen konfigurieren Sie denselben Schlüsselanbieter über mehrere vCenter Server-Systeme hinweg, z. B. den folgenden:

  • Migrieren verschlüsselter virtueller Maschinen zwischen vCenter Server-Systemen
  • Einrichten eines vCenter Servers als Notfallwiederherstellungsort