Cuando se habilita el cifrado de datos en reposo, vSAN cifra todo el contenido del almacén de datos de vSAN.

Como se cifra la totalidad de los archivos, todas las máquinas virtuales y sus correspondientes datos quedan protegidos. Solo los administradores con privilegios de cifrado pueden realizar tareas de cifrado y descifrado. vSAN utiliza las claves de cifrado de la siguiente manera:
  • vCenter Server solicita a KMS una clave de cifrado de claves (Key Encryption Key, KEK) AES-256. vCenter Server almacena solo el identificador de la KEK, pero no la clave en sí.

  • El host ESXi cifra los datos del disco mediante el modo AES-256 XTS estándar del sector. Cada disco tiene una clave de cifrado de datos (Data Encryption Key, DEK) diferente que se genera al azar.

  • Cada host ESXi usa la KEK para cifrar sus DEK y almacena las DEK cifradas en el disco. El host no almacena la KEK en el disco. Si un host se reinicia, solicita a KMS la KEK con el identificador correspondiente. A continuación, el host puede descifrar sus DEK según lo necesite.
  • La clave de un host no se usa para cifrar datos, sino volcados de núcleos. Todos los hosts de un mismo clúster usan la misma clave de host. Al recopilar paquetes de soporte, se genera una clave al azar para volver a cifrar los volcados de núcleo. Puede especificar una contraseña para cifrar la clave aleatoriamente.

Cuando un host se reinicia, no monta sus grupos de discos hasta recibir la KEK. Este proceso puede tardar varios minutos o más en completarse. Es posible supervisar el estado de los grupos de discos en vSAN Health Service, en Discos físicos > Estado de software.

Persistencia de claves de cifrado

En vSAN 7.0 Update 3 y versiones posteriores, el cifrado de datos en reposo puede seguir funcionando incluso cuando el servidor de claves está temporalmente sin conexión o no disponible. Con la persistencia de claves habilitada, los hosts ESXi pueden conservar las claves de cifrado incluso después de un reinicio.

Cada host ESXi obtiene las claves de cifrado al inicio y las conserva en su memoria caché de claves. Si el host ESXi tiene un módulo de plataforma de confianza (TPM), las claves de cifrado se conservan en el TPM después de reiniciar. El host no necesita solicitar claves de cifrado. Las operaciones de cifrado pueden continuar cuando el servidor de claves no está disponible, ya que las claves han persistido en el TPM.

Utilice los siguientes comandos para habilitar la persistencia de claves en un host de clúster. 

esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable

Para obtener más información sobre la persistencia de claves de cifrado, consulte "Descripción general de la persistencia de claves" en Seguridad de vSphere.

Usar vSphere Native Key Provider

vSAN 7.0 Update 2 admite vSphere Native Key Provider. Si el entorno está configurado para vSphere Native Key Provider, puede usarlo para cifrar las máquinas virtuales de su clúster de vSAN. Para obtener más información, consulte "Configurar y administrar vSphere Native Key Provider" en Seguridad de vSphere.

vSphere Native Key Provider no requiere un servidor de administración de claves (KMS) externo. vCenter Server genera la clave de cifrado de claves y la aplica a los hosts ESXi. A continuación, los hosts ESXi generan claves de cifrado de datos.

Nota: Si utiliza vSphere Native Key Provider, asegúrese de hacer una copia de seguridad del proveedor de claves nativo para garantizar que las tareas de reconfiguración se ejecuten sin problemas.

vSphere Native Key Provider puede coexistir con una infraestructura de servidor de claves ya existente.