Para obtener una descripción general de alto nivel de las capacidades de los proveedores de claves de vSphere, se requiere su atención para ayudar a planificar la estrategia de cifrado.
En general, hay poca diferencia en la compatibilidad de características o productos entre el funcionamiento diario del proveedor de claves. A pesar de que los proveedores de claves tienen una apariencia y comportamiento similares, es posible que tenga en cuenta los requisitos y las normas al elegir un proveedor de claves, como se muestra en la siguiente tabla.
Proveedor de claves | ¿Se requiere el servidor de claves externo? | ¿Configuración rápida? | ¿Funciona solo con vSphere? | ¿Claves de cifrado almacenadas permanentemente en el host? | ¿Regenerar clave durante la clonación? |
---|---|---|---|---|---|
Proveedor de claves estándar | Sí | No | No | No | Sí |
Proveedor de claves de confianza | Sí | No | No | No | Sí |
vSphere Native Key Provider | No | Sí | Sí | Sí | Sí |
Funciones de cifrado del proveedor de claves
Las siguientes funciones de cifrado son compatibles con cada tipo de proveedor de claves.
- Vuelva a crear claves con el mismo proveedor de claves o con otro.
- Rote las claves
- Módulo de plataforma de confianza virtual (Virtual Trusted Platform Module, vTPM)
- Cifrado de discos
- Cifrado de máquinas virtuales de vSphere
- Coexistencia con otros proveedores de claves
- Actualizar a otro proveedor de claves
Compatibilidad del proveedor de claves con funciones de vSphere
A continuación, se describen las funciones importantes que se admiten en el proveedor de claves de vSphere.
- vSphere vMotion encriptadas: compatibles con todos los tipos de proveedores de claves. El mismo proveedor de claves debe estar disponible en el host de destino. Consulte Qué es vSphere vMotion cifrado.
- Copia de seguridad y restauración basada en archivos de vCenter Server: el proveedor de claves estándar y vSphere Native Key Provider admiten vCenter Server copia de seguridad y restauración basada en archivos. Debido a que la mayor parte de la información de configuración de vSphere Trust Authority se almacena en los hosts ESXi, el mecanismo de copia de seguridad basada en archivo vCenter Server no hace la copia de seguridad de esta información. de . Para garantizar que se hayan guardado los datos de configuración de la implementación de vSphere Trust Authority, consulte Realizar una copia de seguridad de la configuración de vSphere Trust Authority.
Soporte de proveedores de claves para productos VMware
En la siguiente tabla, se compara la compatibilidad del proveedor de claves con algunos productos VMware.
Proveedor de claves | Cifrado de datos en reposo de vSAN | Site Recovery Manager | vSphere Replication |
---|---|---|---|
Proveedor de claves estándar | Sí | Sí | Sí |
Proveedor de claves de confianza | No | Sí Si la misma configuración de servicios vSphere Trust Authority está disponible en el lado de la recuperación, se admite SRM con replicación basada en matrices. |
No |
vSphere Native Key Provider | Sí | Sí | Sí |
El proveedor de claves estándar, el proveedor de claves de confianza y vSphere Native Key Provider admiten el cifrado de máquinas virtuales de vSphere sobre vSAN.
Hardware requerido para proveedores de claves
En la siguiente tabla se comparan algunos requisitos mínimos de hardware del proveedor de claves.
Proveedor de claves | TPM en host ESXi |
---|---|
Proveedor de claves estándar | No son obligatorias |
Proveedor de claves de confianza | Se requiere en hosts de confianza (hosts en el clúster de confianza).
Nota: Actualmente, los hosts
ESXi del clúster de Trust Authority no requieren un TPM. Sin embargo, como práctica recomendada, considere la posibilidad de instalar nuevos hosts
ESXi con TPM.
|
vSphere Native Key Provider | No son obligatorias La disponibilidad de vSphere Native Key Provider puede limitarse opcionalmente a los hosts con un TPM. |
Nomenclatura de proveedor de claves
vSphere utiliza un nombre de proveedor de claves para buscar un identificador de clave. Si dos proveedores de claves tienen el mismo nombre, vSphere asume que son equivalentes y tienen acceso a las mismas claves. Cada proveedor de claves lógico, independientemente de su tipo (proveedor de claves estándar, de confianza y nativo), debe tener un nombre único en todos los sistemas vCenter Server.
En unos pocos casos, se puede configurar el mismo proveedor de claves en varios sistemas vCenter Server, como:
- Migrar máquinas virtuales cifradas entre sistemas vCenter Server.
- Configurar una instancia de vCenter Server como sitio de recuperación ante desastres.