Obtenga información sobre las mejoras de seguridad que el proveedor de almacenamiento de vSphere Virtual Volumes, también denominado proveedor de VASA, versión 5 ofrece en vSphere 8.0 Update 1 y versiones posteriores. También puede obtener información sobre el modelo de seguridad en vSphere 8.0 y versiones anteriores.

Compatibilidad con VASA 5 y seguridad con vSphere 8.0 Update 1 y versiones posteriores

Todos los proveedores de almacenamiento de VASA 5 y versiones posteriores utilizan un mecanismo de autenticación más estricto, que requiere que ESXi se autentique en el contexto de vCenter Server. VASA 5 mejora la seguridad y ofrece un modelo de administración modificado significativamente que incluye los siguientes cambios principales:
  • Para cada instancia de vCenter Server que se registra con la matriz mediante VASA 5 o posterior, el proveedor VASA crea una instancia de servidor web dedicada, o host virtual, que puede ser una instancia de servidor web virtual o una instancia completamente aparte. El cliente VASA de vCenter Server se sustenta en autenticación y autorización basada en certificados para acceder a su host virtual dedicado creado en la matriz. Todos los certificados de cliente VASA, incluidos los certificados de vCenter Server y ESXi, se registran en el host virtual. Esto crea un aislamiento sólido entre los distintos sistemas vCenter Server cuando los sistemas se autentican. Además, los proveedores de VASA pueden ofrecer acceso a recursos separados y un aislamiento mejorado a diferentes sistemas vCenter Server.
  • Con VASA 5, el cliente VASA utiliza un certificado dedicado para las comunicaciones de VASA. Cada vCenter Server aprovisiona un certificado para el proveedor VASA, que se administra a través de un host virtual dedicado específico de vCenter Server. Todos los hosts ESXi que admiten VASA 5 utilizan el host virtual dedicado creado por su administración de vCenter Server.
  • vCenter Server aprovisiona el certificado de cliente VASA para cada nuevo host ESXi 8.0 Update 1 o versiones posteriores y sincroniza la clave pública del certificado con el proveedor VASA. A diferencia del modelo de seguridad anterior que autenticaba el emisor de CA para el certificado de cliente, el proveedor VASA ahora identifica y autoriza a un cliente individual mediante la clave pública.
  • Para cumplir con los requisitos de seguridad de VMware, vSphere no confía en certificados autofirmados para las comunicaciones TLS. La única excepción es durante un breve período de tiempo cuando el proveedor VASA se registra y para la compatibilidad con versiones anteriores. Un administrador de matrices puede utilizar un certificado de CA personalizado para que el proveedor VASA reemplace el certificado autofirmado en la matriz para la compatibilidad con versiones anteriores y el arranque.
  • Para evitar perder el acceso al proveedor VASA, siga estas directrices. Para obtener información, consulte Administrar proveedores de almacenamiento de vSphere Virtual Volumes.
    • No cancele el registro del proveedor VASA ni vuelva a registrarlo para actualizar. En su lugar, utilice un mecanismo de actualización adecuado para el proveedor VASA. Cuando vCenter Server le notifique sobre la disponibilidad de una nueva versión de VASA, asegúrese de aceptar esta versión en un plazo razonable. Para actualizar desde vSphere Client, use la opción Actualizar proveedor de almacenamiento.
    • Actualice periódicamente el certificado del proveedor VASA. Asegúrese de actualizar el certificado en un plazo razonable después de que vCenter Server le advierta que el certificado asignado al proveedor VASA está a punto de caducar. Utilice la opción vSphere Client Actualizar certificado.
    • Al renovar el certificado raíz de VMCA o el certificado de cliente vCenter Server; es posible que SMS pierda la conexión con el proveedor VASA. Si el proveedor está sin conexión, utilice la opción Volver a autenticar vCenter Server.
    • Si un host pierde la autenticación, puede corregir el error de autenticación mediante la opción Volver a autenticar clientes VASA del host.

Certificados de seguridad con vSphere 8.0 y versiones anteriores

vSphere incluye VMware Certificate Authority (VMCA). De manera predeterminada, VMCA crea todos los certificados internos que se utilizan en el entorno de vSphere. Genera certificados para los hosts ESXi recientemente agregados y los proveedores VASA de almacenamiento que administran o representan sistemas de almacenamiento de Virtual Volumes.

Los certificados SSL protegen la comunicación con el proveedor VASA. Estos certificados provienen del proveedor VASA o de VMCA.
  • Estos certificados pueden provenir directamente del proveedor VASA para el uso a largo plazo. Pueden ser autogenerados y autofirmados, o bien derivar de una entidad de certificación externa.
  • VMCA puede generar los certificados para que el proveedor VASA los utilice.
Cuando se registran un host o un proveedor VASA, VMCA sigue estos pasos automáticamente, sin avisarle al administrador de vSphere.
  1. Cuando se agrega un proveedor VASA por primera vez al servicio de administración de almacenamiento (Storage Management Service, SMS) de vCenter Server, se genera un certificado autofirmado.
  2. Después de comprobar el certificado, SMS pide una solicitud de firma del certificado (Certificate Signing Request, CSR) del proveedor VASA.
  3. Después de recibir y validar la CSR, SMS la presenta a VMCA en nombre del proveedor VASA y solicita un certificado firmado por una entidad de certificación.

    Es posible configurar VMCA para que funcione como entidad de certificación independiente o como subordinada a una entidad de certificación empresarial. Si se configura VMCA como una entidad de certificación subordinada, VMCA firma la CSR con la cadena completa.

  4. El certificado firmado con el certificado raíz se envía al proveedor VASA. El proveedor VASA puede autenticar todas la conexiones seguras futuras provenientes de SMS en vCenter Server y en los hostsESXi.