Lorsque vous activez le chiffrement des données au repos, vSAN chiffre tout le contenu de la banque de données vSAN. Tous les fichiers sont chiffrés, de telle sorte que toutes les machines virtuelles et leurs données correspondantes sont protégées. Seuls les administrateurs disposant de privilèges de chiffrement peuvent effectuer des tâches de chiffrement et de déchiffrement.
- vCenter Server demande une clé de chiffrement (KEK) AES-256 à partir du serveur KMS. vCenter Server stocke uniquement l'ID de la clé KEK, mais pas la clé proprement dite.
-
L'hôte ESXi chiffre les données du disque en utilisant le mode standard AES-256 XTS. Chaque disque possède une clé DEK (Data Encryption Key) différente générée de façon aléatoire.
- Chaque hôte ESXi utilise la clé pour chiffrer ses clés DEK et stocke les clés DEK chiffrées sur disque. L'hôte ne stocke pas la clé KEK sur disque. Si un hôte redémarre, il demande la clé KEK avec l'ID correspondant au serveur KMS. L'hôte déchiffre ensuite ses clés DEK si nécessaire.
- Une clé d'hôte est utilisée pour chiffrer les vidages de mémoire, pas les données. Tous les hôtes d'un même cluster utilisent la même clé d'hôte. Lors de la collecte de bundles de support, une clé aléatoire est générée pour rechiffrer les vidages de mémoire. Vous pouvez spécifier un mot de passe pour chiffrer la clé aléatoire.
Lorsqu'un hôte redémarre, il ne monte pas ses groupes de disques tant qu'il n'a pas reçu la clé KEK. Ce processus peut durer plusieurs minutes, voire davantage. Vous pouvez surveiller l'état des groupes de disques dans vSAN Health Service, sous Disques physiques > Santé de l'état du logiciel.
Persistance de la clé de chiffrement
Dans vSAN 7.0 Update 3 et versions ultérieures, le chiffrement des données au repos peut continuer à fonctionner même lorsque le serveur de clés est temporairement hors ligne ou inaccessible. Lorsque la persistance des clés est activée, les hôtes ESXi peuvent conserver les clés de chiffrement, même après un redémarrage.
Chaque hôte ESXi obtient initialement les clés de chiffrement et les conserve dans son cache de clés. Si l'hôte ESXi dispose d'un module TPM (Trusted Platform Module, module de plate-forme sécurisée), les clés de chiffrement sont persistantes sur le module TPM lors des redémarrages. L'hôte n'a pas besoin de demander des clés de chiffrement. Les opérations de chiffrement peuvent se poursuivre lorsque le serveur de clés n'est pas disponible, car les clés sont persistantes dans le TPM.
Utilisez les commandes suivantes pour activer la persistance de clé sur un hôte de cluster.
esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable
Pour plus d'informations sur la persistance des clés de chiffrement, reportez-vous à la section « Présentation de la persistance des clés » dans Sécurité vSphere.
Utilisation de vSphere Native Key Provider
vSAN 7.0 Update 2 prend en charge vSphere Native Key Provider. Si votre environnement est configuré pour vSphere Native Key Provider, vous pouvez l'utiliser pour chiffrer les machines virtuelles dans votre cluster vSAN. Pour plus d'informations, reportez-vous à la section « Configuration et gestion de vSphere Native Key Provider » dans Sécurité vSphere.
vSphere Native Key Provider ne nécessite aucun serveur de gestion de clés (KMS) externe. vCenter Server génère la clé de chiffrement des clés et la transfère vers les hôtes ESXi. Les hôtes ESXi peuvent générer ensuite des clés de chiffrement de données.
vSphere Native Key Provider peut coexister avec une infrastructure de serveur de clés existante.