Une présentation générale des fonctionnalités des fournisseurs de clés vSphere nécessite votre attention pour vous aider à planifier votre stratégie de chiffrement.
En général, il existe peu de différences entre les fournisseurs de clés dans les opérations quotidiennes de prise en charge des fonctionnalités ou des produits. Bien que les fournisseurs de clés se ressemblent et se comportent de manière similaire, vous pouvez avoir des exigences et des réglementations à prendre en compte lors du choix d'un fournisseur de clés, comme indiqué dans le tableau suivant.
Fournisseur de clés | Serveur de clés externe requis ? | Configuration rapide ? | Fonctionne uniquement avec vSphere ? | Clés de chiffrement stockées en permanence sur l'hôte ? | Renouvellement de clés lors du clonage ? |
---|---|---|---|---|---|
Fournisseur de clés standard | Oui | Non | Non | Non | Oui |
Fournisseur de clés approuvé | Oui | Non | Non | Non | Oui |
vSphere Native Key Provider | Non | Oui | Oui | Oui | Oui |
Fonctionnalités de chiffrement du fournisseur de clés
Les fonctionnalités de chiffrement suivantes sont supportées par chaque type de fournisseur de clés.
- Renouvellement de clés à l'aide du même fournisseur de clés ou d'un autre fournisseur de clés
- Rotation des clés
- vTPM (Virtual Trusted Platform Module)
- Chiffrement de disque
- Chiffrement des machines virtuelles vSphere
- Coexistence avec d'autres fournisseurs de clés
- Mise à niveau vers un fournisseur de clés différent
Prise en charge des fonctionnalités de vSphere par le fournisseur de clés
Ce qui suit décrit la prise en charge par le fournisseur de clés de certaines fonctionnalités vSphere importantes.
- Chiffrement vSphere vMotion : pris en charge par tous les types de fournisseurs de clés. Le même fournisseur de clés doit être disponible sur l’hôte de destination. Reportez-vous à la section Présentation de vSphere vMotion chiffré.
- Sauvegarde et restauration basée sur des fichiers vCenter Server : le fournisseur de clés standard et vSphere Native Key Provider prennent en charge la sauvegarde et la restauration basées sur des fichiers vCenter Server. Étant donné que la plupart des informations de configuration de Autorité d'approbation vSphere sont stockées sur les hôtes ESXi, le mécanisme de sauvegarde basé sur des fichiers de vCenter Server ne sauvegarde pas ces informations. Pour vous assurer que les informations de configuration de votre déploiement de Autorité d'approbation vSphere sont enregistrées, reportez-vous à Sauvegarde de la configuration de Autorité d'approbation vSphere.
Prise en charge des fournisseurs de clés pour les produits VMware
Le tableau suivant compare la prise en charge par les fournisseurs de clés de certains produits VMware.
Fournisseur de clés | Chiffrement des données vSAN au repos | Site Recovery Manager | vSphere Replication |
---|---|---|---|
Fournisseur de clés standard | Oui | Oui | Oui |
Fournisseur de clés approuvé | Non | Oui Si la même configuration de services Autorité d'approbation vSphere est disponible côté récupération, SRM avec réplication basée sur la baie est pris en charge. |
Non |
vSphere Native Key Provider | Oui | Oui | Oui |
Le fournisseur de clés standard, le fournisseur de clés approuvé et vSphere Native Key Provider prennent en charge le chiffrement des machines virtuelles vSphere au-dessus de vSAN.
Matériel requis pour les fournisseurs de clés
Le tableau suivant compare certaines exigences matérielles minimales du fournisseur de clés.
Fournisseur de clés | TPM sur hôte ESXi |
---|---|
Fournisseur de clés standard | Non requis |
Fournisseur de clés approuvé | Requis sur les hôtes approuvés (hôtes du cluster approuvé).
Note : Actuellement, les hôtes
ESXi du cluster d'autorité d'approbation ne requièrent pas de TPM. Cependant, il convient d'envisager d'installer de nouveaux hôtes
ESXi disposant de TPM.
|
vSphere Native Key Provider | Non requis La disponibilité de vSphere Native Key Provider peut éventuellement être limitée aux hôtes avec un TPM. |
Dénomination du fournisseur de clés
vSphere utilise un nom de fournisseur de clés pour rechercher un identifiant de clé. Si deux fournisseurs de clés ont le même nom, vSphere suppose qu'ils sont équivalents et qu'ils ont accès aux mêmes clés. Chaque fournisseur de clés logique, quel que soit son type (fournisseur de clés standard, approuvé et natif), doit avoir un nom unique sur tous les systèmes vCenter Server.
Dans de rares cas, vous configurez le même fournisseur de clés sur plusieurs systèmes vCenter Server, de la manière suivante :
- Migration de machines virtuelles chiffrées entre des systèmes vCenter Server
- Configuration d'une instance de vCenter Server en tant que site de reprise