Mithilfe einer allgemeinen Übersicht über die Funktionen der vSphere-Schlüsselanbieter können Sie Ihre Verschlüsselungsstrategie planen.
Im Allgemeinen gibt es im Regelbetrieb der einzelnen Schlüsselanbieter nur geringe Unterschiede bei den unterstützten Funktionen und Produkten. Trotz des ähnlichen Aussehens und Verhaltens der verschiedenen Schlüsselanbieter müssen bei der Auswahl eines Schlüsselanbieters unter Umständen Anforderungen und Bestimmungen berücksichtigt werden. Diese werden in der folgenden Tabelle dargestellt:
Schlüsselanbieter | Externer Schlüsselserver erforderlich? | Schnelle Einrichtung? | Funktioniert nur mit vSphere? | Verschlüsselungsschlüssel dauerhaft auf dem Host gespeichert? | Erneute Schlüsselerstellung beim Klonen? |
---|---|---|---|---|---|
Standardschlüsselanbieter | Ja | Nein | Nein | Nein | Ja |
Vertrauenswürdiger Schlüsselanbieter | Ja | Nein | Nein | Nein | Ja |
vSphere Native Key Provider | Nein | Ja | Ja | Ja | Ja |
Schlüsselanbieter-Verschlüsselungsfunktionen
Die folgenden Verschlüsselungsfunktionen werden von jedem Schlüsselanbietertyp unterstützt.
- Erneute Schlüsselerstellung mithilfe desselben oder eines anderen Schlüsselanbieters
- Schlüssel rotieren
- Virtuelles Trusted Platform Module (vTPM)
- Festplattenverschlüsselung
- Verschlüsselung virtueller vSphere-Maschinen
- Koexistenz mit anderen Schlüsselanbietern
- Upgrade auf einen anderen Schlüsselanbieter
Unterstützung von Schlüsselanbietern für vSphere-Funktionen
Im Folgenden wird die Unterstützung der Schlüsselanbieter für bestimmte wichtige vSphere-Funktionen beschrieben.
- Verschlüsselte vSphere vMotion: Wird von allen Schlüsselanbietertypen unterstützt. Derselbe Schlüsselanbieter muss auf dem Zielhost verfügbar sein. Weitere Informationen hierzu finden Sie unter Was ist verschlüsseltes vSphere vMotion.
- Dateibasierte Sicherung und Wiederherstellung in vCenter Server: Standardschlüsselanbieter und vSphere Native Key Provider unterstützen dateibasierte Sicherung und Wiederherstellung in vCenter Server. Da die meisten vSphere Trust Authority-Konfigurationsinformationen auf den ESXi-Hosts gespeichert werden, erfolgt keine Sicherung dieser Informationen durch den dateibasierten Sicherungsmechanismus in vCenter Server. Um sicherzustellen, dass die Konfigurationsinformationen für Ihre vSphere Trust Authority-Bereitstellung gespeichert werden, finden Sie Informationen unter Sichern der vSphere Trust Authority-Konfiguration.
Unterstützung von Schlüsselanbietern für VMware-Produkte
In der folgenden Tabelle wird die Schlüsselanbieterunterstützung für bestimmte VMware-Produkte verglichen.
Schlüsselanbieter | Verschlüsselung ruhender vSAN-Daten | Site Recovery Manager | vSphere Replication |
---|---|---|---|
Standardschlüsselanbieter | Ja | Ja | Ja |
Vertrauenswürdiger Schlüsselanbieter | Nein | Ja Wenn dieselbe Konfiguration der vSphere Trust Authority-Dienste auf der Wiederherstellungsseite verfügbar ist, wird SRM mit Array-basierter Replizierung unterstützt. |
Nein |
vSphere Native Key Provider | Ja | Ja | Ja |
Standardschlüsselanbieter, vertrauenswürdiger Schlüsselanbieter und vSphere Native Key Provider unterstützen zusätzlich zu vSAN die vSphere VM-Verschlüsselung.
Erforderliche Hardware für Schlüsselanbieter
In der folgenden Tabelle werden bestimmte Mindestanforderungen an die Hardware des Schlüsselanbieters verglichen.
Schlüsselanbieter | TPM auf ESXi-Host |
---|---|
Standardschlüsselanbieter | Nicht erforderlich |
Vertrauenswürdiger Schlüsselanbieter | Erforderlich auf vertrauenswürdigen Hosts (Hosts im vertrauenswürdigen Cluster).
Hinweis: Aktuell benötigen die
ESXi-Hosts im Trust Authority-Cluster kein TPM. Es empfiehlt sich jedoch, neue
ESXi-Hosts mit TPMs zu installieren.
|
vSphere Native Key Provider | Nicht erforderlich Die Verfügbarkeit des vSphere Native Key Providers kann optional auf Hosts mit einem TPM beschränkt werden. |
Benennung des Schlüsselanbieters
vSphere verwendet den Schlüsselanbieternamen, um einen Schlüsselbezeichner zu suchen. Wenn zwei Schlüsselanbieter denselben Namen haben, geht vSphere davon aus, dass sie äquivalent sind und Zugriff auf dieselben Schlüssel haben. Jeder logische Schlüsselanbieter muss unabhängig von seinem Typ (Standard-, vertrauenswürdiger und nativer Schlüsselanbieter) über einen eindeutigen Namen in allen vCenter Server-Systemen verfügen.
In einigen Fällen konfigurieren Sie denselben Schlüsselanbieter über mehrere vCenter Server-Systeme hinweg, z. B. den folgenden:
- Migrieren verschlüsselter virtueller Maschinen zwischen vCenter Server-Systemen
- Einrichten eines vCenter Servers als Notfallwiederherstellungsort