Cuando se habilita el cifrado, vSAN cifra todo el contenido del almacén de datos de vSAN. Como se cifra la totalidad de los archivos, todas las máquinas virtuales y sus correspondientes datos quedan protegidos. Solo los administradores con privilegios de cifrado pueden realizar tareas de cifrado y descifrado.

vSAN utiliza las claves de cifrado de la siguiente manera:

  • vCenter Server solicita a KMS una clave de cifrado de claves (Key Encryption Key, KEK) AES-256. vCenter Server almacena solo el identificador de la KEK, pero no la clave en sí.

  • El host ESXi cifra los datos del disco mediante el modo AES-256 XTS estándar del sector. Cada disco tiene una clave de cifrado de datos (Data Encryption Key, DEK) diferente que se genera al azar.

  • Cada host ESXi usa la KEK para cifrar sus DEK y almacena las DEK cifradas en el disco. El host no almacena la KEK en el disco. Si un host se reinicia, solicita a KMS la KEK con el identificador correspondiente. A continuación, el host puede descifrar sus DEK según lo necesite.

  • La clave de un host no se usa para cifrar datos, sino volcados de núcleos. Todos los hosts de un mismo clúster usan la misma clave de host. Al recopilar paquetes de soporte, se genera una clave al azar para volver a cifrar los volcados de núcleo. Use una contraseña al cifrar la clave al azar.

Cuando un host se reinicia, no monta sus grupos de discos hasta recibir la KEK. Este proceso puede tardar varios minutos o más en completarse. Es posible supervisar el estado de los grupos de discos en vSAN Health Service, en Discos físicos > Estado de software.