Tenez compte de ces directives lors de l'utilisation d'un chiffrement des données au repos.

  • Ne déployez pas votre serveur KMS sur la banque de données vSAN que vous prévoyez de chiffrer.
  • Le chiffrement nécessite une utilisation importante du CPU. AES-NI améliore de manière significative les performances du chiffrement. Activez AES-NI dans votre BIOS.
  • L'hôte témoin dans un cluster étendu vSAN ne participe pas au chiffrement vSAN. L'hôte témoin ne stocke pas les données client, uniquement les métadonnées, telles que la taille et l'UUID de l'objet et des composants vSAN.
    Note : Si l'hôte témoin est un dispositif exécuté sur un autre cluster, vous pouvez chiffrer les métadonnées qui y sont stockées. Activez le chiffrement des données au repos sur le cluster qui contient l'hôte témoin.
  • Établissez une stratégie concernant les vidages de mémoire. Les vidages de noyau sont chiffrés, car ils peuvent contenir des informations sensibles. Si vous déchiffrez un vidage de mémoire, traitez avec précaution ses informations sensibles. Les vidages de mémoire ESXi peuvent contenir des clés pour l'hôte ESXi et pour les données qui s'y trouvent.
    • Utilisez toujours un mot de passe lorsque vous collectez un bundle vm-support. Vous pouvez spécifier le mot de passe lorsque vous générez le bundle de support à partir de vSphere Client ou à l'aide de la commande vm-support.

      Le mot de passe rechiffre les vidages de mémoire utilisant des clés internes de façon à utiliser les clés reposant sur le mot de passe. Vous pouvez utiliser ultérieurement le mot de passe pour déchiffrer les vidages de mémoire chiffrés susceptibles d'être intégrés dans le bundle de support. Les vidages de mémoire ou les journaux non chiffrés ne sont pas concernés.

    • Le mot de passe que vous spécifiez pendant la création du bundle vm-support n'est pas conservé dans les composants vSphere. Vous êtes responsable du suivi des mots de passe pour les bundles de support.