Tenga en cuenta las siguientes directrices al trabajar con el cifrado de datos en reposo.

  • No implemente el servidor KMS en el mismo almacén de datos de vSAN que planea cifrar.
  • El cifrado requiere gran consumo de CPU. AES-NI mejora ampliamente el rendimiento de cifrado. Habilite AES-NI en el BIOS.
  • El host testigo de un clúster ampliado no participa en el cifrado de vSAN. El host testigo no almacena datos del cliente, solo metadatos, como el tamaño y el UUID de objetos y componentes de vSAN.
    Nota: Si el host testigo es un dispositivo que se ejecuta en otro clúster, puede cifrar los metadatos almacenados en él. Habilite el cifrado de datos en reposo en el clúster que contiene el host testigo.
  • Establezca una directiva para los volcados de núcleo. Los volcados de núcleo se cifran debido a que pueden contener información confidencial. Al descifrar un volcado de núcleo, maneje la información confidencial con cuidado. Los volcados de núcleo de ESXi pueden contener claves para el host ESXi y para los datos que este contiene.
    • Siempre utilice una contraseña para recopilar un paquete de vm-support. Puede especificar la contraseña al generar el paquete de soporte desde vSphere Client o puede utilizar el comando vm-support.

      La contraseña vuelve a cifrar los volcados de núcleo que utilizan claves internas de manera que estos volcados empleen claves basadas en la contraseña. Posteriormente, se puede usar la contraseña para descifrar cualquier volcado de núcleo cifrado que pudiera estar incluido en el paquete de soporte. Esto no afecta a los volcados de núcleo ni a los registros sin cifrar.

    • La contraseña que especificó durante la creación del paquete de vm-support no persiste en los componentes de vSphere. Es su responsabilidad llevar un registro de las contraseñas de los paquetes de soporte.