Référence des contrôles de sécurité vSAN

Ces contrôles de sécurité fournissent un ensemble de lignes de base de meilleures pratiques vSAN. Ils sont structurés de manière à expliquer les avantages et les contreparties de la mise en œuvre du contrôle. Pour apporter des modifications à ces contrôles, reportez-vous à la documentation Administration de VMware vSAN.

Protéger les données au repos

vSAN doit protéger les données au repos.

Le chiffrement des données vSAN au repos permet de maintenir la confidentialité des données sensibles lorsqu'elles résident sur des périphériques de stockage et de réduire le risque d'accès ou d'exposition non autorisé en cas de vol ou de perte physique.

Vous pouvez modifier ce paramètre de configuration lorsque le cluster est opérationnel. L'activation de la protection des données au repos reformate les groupes de disques (pour vSAN OSA) et réécrit les objets stockés (pour vSAN ESA), ce qui peut prendre beaucoup de temps, mais s'effectue en arrière-plan. Les charges de travail n'ont pas besoin d'être mises hors tension. vSAN ESA 8.0 Update 2 a introduit la possibilité d'activer des protections de données au repos sur une banque de données vSAN ESA existante. vSAN ESA 8.0 Update 3 permet de le désactiver à nouveau. Exécutez la dernière version de vSAN si vous utilisez ESA.

Valeurs: Valeur d'installation par défaut : Désactivé; Valeur suggérée de la ligne de base : Activé

Action nécessaire: Modifiez la valeur par défaut de l'installation.

Incidence fonctionnelle potentielle si la valeur par défaut est modifiée: Tout le chiffrement s'accompagne du coût des cycles de CPU et de la latence de stockage potentielle. L'incidence de cela sur les charges de travail dépend de divers facteurs, tels que la configuration du matériel sous-jacent et le type et la fréquence des E/S de stockage par charge de travail.

Protéger les données lors de la traversée du réseau

vSAN doit protéger les données au repos, y compris les communications réseau liées au stockage.

Le chiffrement des données vSAN en transit permet de s'assurer que les données sensibles restent confidentielles lorsqu'elles traversent le réseau, ce qui réduit le risque d'accès ou d'interception non autorisé.

Vous pouvez modifier ce paramètre de configuration lorsque le cluster est opérationnel.

Valeurs: Valeur d'installation par défaut : Désactivé; Valeur suggérée de la ligne de base : Activé

Action nécessaire: Modifiez la valeur par défaut de l'installation.

Incidence fonctionnelle potentielle si la valeur par défaut est modifiée: Tout le chiffrement s'accompagne du coût des cycles de CPU et de la latence de stockage potentielle. L'incidence de cela sur les charges de travail dépend de divers facteurs, tels que la configuration du matériel sous-jacent et le type et la fréquence des E/S de stockage par charge de travail.

Limiter l'accès aux partages de fichiers NFS

Les partages de fichiers NFS sur des services de fichiers vSAN doivent être configurés pour restreindre l'accès.

Lors de la configuration d'un partage de fichiers NFS, sélectionnez l'option « Personnaliser l'accès au réseau » et configurez un ensemble restrictif d'autorisations.

Valeurs: Valeur d'installation par défaut : aucun accès; Valeur suggérée de la ligne de base : Personnaliser l'accès au réseau

Action nécessaire: Modifiez la valeur par défaut de l'installation.

Incidence fonctionnelle potentielle si la valeur par défaut est modifiée: Perte de connectivité sur les clients.

Chiffrer l'authentification SMB

Les partages de fichiers SMB sur les services de fichiers vSAN doivent accepter uniquement les communications d'authentification SMB chiffrées.

Lors de la configuration d'un partage de fichiers SMB, activez l'option Chiffrement du protocole.

Valeurs: Valeur d'installation par défaut : Désactivé; Valeur suggérée pour la ligne de base : activé

Action nécessaire: Modifiez la valeur par défaut de l'installation.

Incidence fonctionnelle potentielle si la valeur par défaut est modifiée: aucune.

Activer l'authentification de CHAP bidirectionnel/mutuel

La cible iSCSI vSAN doit activer l'authentification de CHAP bidirectionnel/mutuel.

CHAP mutuel fournit une couche supplémentaire de protection en exigeant de l'initiateur (client) et de la cible (serveur) qu'ils vérifient leurs identités mutuellement, garantissant ainsi que les données transmises entre les deux ne sont pas interceptées ou altérées par des entités non autorisées.

Valeurs: Valeur d'installation par défaut : Désactivé; Valeur suggérée pour la ligne de base : activé

Action nécessaire: Modifiez la valeur par défaut de l'installation.

Incidence fonctionnelle potentielle si la valeur par défaut est modifiée: Il peut être plus difficile de configurer des clients.

Réserver de l'espace pour effectuer des opérations de maintenance interne

vSAN doit réserver de l'espace pour effectuer des opérations de maintenance internes.

Le paramètre de capacité de réserve des opérations vSAN permet de s'assurer que vSAN dispose toujours de suffisamment d'espace libre pour maintenir la disponibilité et la fiabilité de la banque de données vSAN et éviter une perte de données potentielle ou des interruptions de service en raison d'une capacité insuffisante lors d'opérations telles que des modifications de stratégie.

Vous pouvez modifier ce paramètre de configuration lorsque le cluster est opérationnel.

Valeurs: Valeur d'installation par défaut : Désactivé; Valeur suggérée pour la ligne de base : activé

Action nécessaire: Modifiez la valeur par défaut de l'installation.

Incidence fonctionnelle potentielle si la valeur par défaut est modifiée: L'activation de cette option réduit la capacité utile de la banque de données vSAN.