Es posible utilizar el cifrado de datos en reposo para proteger los datos en el clúster de vSAN.

vSAN puede realizar cifrado de datos en reposo. Los datos se cifran después de que se llevan a cabo todas las otras operaciones de procesamiento, como la desduplicación. El cifrado de datos en reposo protege los datos de los dispositivos de almacenamiento, en caso de que un dispositivo se quite del clúster.

Para utilizar el cifrado en el clúster de vSAN, se requiere algo de preparación. Una vez que el entorno está configurado, se puede habilitar el cifrado en el clúster de vSAN.

El cifrado de vSAN requiere un servidor de administración de claves (Key Management Server, KMS) externo, el sistema vCenter Server y los hosts ESXi. vCenter Server solicita claves de cifrado desde un KMS externo. El KMS genera y almacena las claves, y vCenter Server obtiene los identificadores de claves del KMS y los distribuye en los hosts ESXi.

vCenter Server no almacena las claves del KMS, pero sí conserva una lista de identificadores de claves.