Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas para vSAN. Están estructurados de manera tal que se explican los beneficios y las compensaciones de la implementación del control. Para realizar cambios en estos controles, consulte la documentación de Administrar VMware vSAN.
Proteger datos en reposo
vSAN debe proteger los datos en reposo.
El cifrado de datos en reposo de vSAN ayuda a mantener la confidencialidad de los datos confidenciales mientras residen en dispositivos de almacenamiento y reduce el riesgo de acceso o exposición no autorizados en caso de pérdida o robo físico.
Puede cambiar este parámetro de configuración mientras el clúster está operativo. Al habilitar las protecciones de datos en reposo, se reformatean los grupos de discos (para vSAN OSA) y se vuelven a escribir los objetos almacenados (para vSAN ESA), lo que puede tardar mucho tiempo, pero se realiza en segundo plano. No es necesario apagar las cargas de trabajo. vSAN ESA 8.0 Update 2 introdujo la capacidad de habilitar protecciones de datos en reposo en un almacén de datos vSAN ESA existente. vSAN ESA 8.0 Update 3 introduce la capacidad de volver a deshabilitarla. Ejecute la versión más reciente de vSAN si utiliza ESA.
- Impacto funcional potencial si se cambia el valor predeterminado
- Todo el cifrado se produce a costa de los ciclos de CPU y una posible latencia de almacenamiento. El impacto sobre las cargas de trabajo depende de diversos factores, como la configuración del hardware subyacente y el tipo y la frecuencia de E/S de almacenamiento por parte de la carga de trabajo.
Protección de datos al atravesar la red
vSAN debe proteger los datos en reposo, incluidas las comunicaciones de red relacionadas con el almacenamiento.
El cifrado de datos en tránsito de vSAN ayuda a garantizar que los datos confidenciales permanezcan confidenciales mientras atraviesan la red, lo que reduce el riesgo de interceptaciones o accesos no autorizados.
Puede modificar este parámetro de configuración mientras el clúster está operativo.
- Impacto funcional potencial si se cambia el valor predeterminado
- Todo el cifrado se produce a costa de los ciclos de CPU y una posible latencia de almacenamiento. El impacto sobre las cargas de trabajo depende de diversos factores, como la configuración del hardware subyacente y el tipo y la frecuencia de E/S de almacenamiento por parte de la carga de trabajo.
Restringir el acceso a recursos compartidos de archivos NFS
Los recursos compartidos de archivos NFS en servicios de archivos de vSAN deben configurarse para restringir el acceso.
Al configurar un recurso compartido de archivos NFS, seleccione la opción "Personalizar el acceso a la red" y configure un conjunto restrictivo de permisos.
Cifrar autenticación SMB
Los recursos compartidos de archivos SMB en los servicios de archivos de vSAN solo deben aceptar comunicaciones con autenticación SMB cifradas.
Al configurar un recurso compartido de archivos SMB, active la opción Cifrado de protocolo (Protocol Encryption).
Habilitar autenticación bidireccional/CHAP mutua
El destino iSCSI de vSAN debe habilitar la autenticación bidireccional/CHAP mutua.
El CHAP mutuo proporciona una capa adicional de protección, ya que requiere que tanto el iniciador (cliente) como el destino (servidor) verifiquen sus identidades entre sí, lo que garantiza que las entidades no autorizadas no intercepten ni alteren los datos transmitidos entre los dos.
Reservar espacio para completar operaciones de mantenimiento interno
vSAN debe reservar espacio para completar las operaciones de mantenimiento interno.
El ajuste de capacidad de reserva de operaciones de vSAN ayuda a garantizar que vSAN siempre tenga suficiente espacio libre para mantener la disponibilidad y la confiabilidad del almacén de datos de vSAN y evitar posibles pérdidas de datos o interrupciones del servicio debidas a una capacidad insuficiente durante las operaciones, como cambios de directivas.
Puede cambiar este parámetro de configuración mientras el clúster está operativo.
