Découvrez les améliorations de sécurité que le fournisseur de stockage vSphere Virtual Volumes, également appelé fournisseur VASA, version 5, offre dans vSphere 8.0 Update 1 et versions ultérieures. Vous pouvez également en savoir plus sur le modèle de sécurité dans vSphere 8.0 et versions antérieures.

Prise en charge de VASA 5 et sécurité avec vSphere 8.0 Update 1 et versions ultérieures

Tous les fournisseurs de stockage avec VASA 5 et versions ultérieures utilisent un mécanisme d'authentification plus strict, qui nécessite l'authentification d' ESXi dans le contexte de vCenter Server. VASA 5 améliore la sécurité et offre un modèle de gestion considérablement modifié qui inclut les modifications majeures suivantes :
  • Pour chaque système vCenter Server qui s'enregistre dans la baie à l'aide de VASA 5 ou version ultérieure, le fournisseur VASA crée une instance de serveur Web dédié ou un hôte virtuel, qui peut être soit une instance de serveur Web virtuel ou une instance complètement distincte. Le client VASA dans vCenter Server s'appuie sur l'authentification et l'autorisation basées sur les certificats pour accéder à son hôte virtuel dédié créé sur la baie. Tous les certificats clients VASA, y compris les certificats vCenter Server et ESXi, sont enregistrés auprès de l'hôte virtuel. Cela crée une forte isolation entre les différents systèmes vCenter Server lorsque les systèmes sont authentifiés. En outre, les fournisseurs VASA peuvent offrir un accès distinct aux ressources et une meilleure isolation à différents systèmes vCenter Server.
  • Avec VASA 5, le client VASA utilise un certificat dédié pour les communications VASA. Chaque système vCenter Server provisionne un certificat pour le fournisseur VASA, qui est géré via un hôte virtuel dédié spécifique à vCenter Server. Tous les hôtes ESXi qui prennent en charge VASA 5 utilisent l'hôte virtuel dédié créé par leur système vCenter Server de gestion.
  • vCenter Server provisionne le certificat client VASA pour chaque nouvel hôte ESXi 8.0 Update 1 ou version ultérieure et synchronise la clé publique du certificat avec le fournisseur VASA. Contrairement au précédent modèle de sécurité qui authentifie l'émetteur de l'autorité de certification pour le certificat client, le fournisseur VASA identifie et autorise désormais un client individuel à l'aide de la clé publique.
  • Pour respecter les exigences de sécurité de VMware, vSphere n'approuve pas les certificats auto-signés pour les communications TLS. La seule exception se produit pendant une courte période lorsque le fournisseur VASA est enregistré et à des fins de compatibilité descendante. Un administrateur de baie peut utiliser un certificat d'autorité de certification personnalisé pour le fournisseur VASA afin de remplacer le certificat auto-signé au niveau de la baie à des fins de compatibilité descendante et de démarrage.
  • Pour éviter de perdre l'accès au fournisseur VASA, suivez ces directives. Pour plus d'informations, consultez Gérer les fournisseurs de stockage pour vSphere Virtual Volumes.
    • Vous ne devez pas annuler l'enregistrement de votre fournisseur VASA et l'enregistrer à nouveau pour effectuer la mise à niveau. Utilisez plutôt un mécanisme de mise à niveau approprié pour votre fournisseur VASA. Lorsque vCenter Server vous informe qu'une nouvelle version de VASA est disponible, assurez-vous d'accéder à cette version dans un délai raisonnable. Pour effectuer la mise à niveau à partir de vSphere Client, utilisez l'option Mettre à niveau le fournisseur de stockage.
    • Actualisez régulièrement le certificat du fournisseur VASA. Assurez-vous d'actualiser le certificat dans un délai raisonnable après avoir été averti par vCenter Server que le certificat attribué au fournisseur VASA est sur le point d'expirer. Utilisez l'option Actualiser le certificat de vSphere Client.
    • Lorsque vous renouvelez le certificat racine VMCA ou le certificat client vCenter Server, SMS peut perdre la connexion avec le fournisseur VASA. Si le fournisseur est hors ligne. utilisez l'option Nouvelle authentification de vCenter Server.
    • Si un hôte perd l'authentification, vous pouvez corriger cet échec d'authentification à l'aide de l'option Nouvelle authentification des clients VASA de l'hôte.

Certificats de sécurité avec vSphere 8.0 et versions antérieures

vSphere inclut VMware Certificate Authority (VMCA). Par défaut, la VMCA crée tous les certificats internes utilisés dans l'environnement vSphere. Elle génère des certificats pour les hôtes ESXi récemment ajoutés et les fournisseurs VASA de stockage qui gèrent les systèmes de stockage Virtual Volumes.

La communication avec le fournisseur VASA est protégée par des certificats SSL. Ces certificats peuvent être générés par le fournisseur VASA ou par la VMCA.
  • Les certificats peuvent être fournis directement par le fournisseur VASA pour une utilisation à long terme. Ils peuvent être générés automatiquement et signés automatiquement ou bien dérivés d'une autorité de certification externe.
  • Les certificats peuvent être générés par la VMCA en vue d'une utilisation par le fournisseur VASA.
Lorsqu'un hôte ou un fournisseur VASA est inscrit, la VMCA suit automatiquement ces étapes, sans passer par l'administrateur vSphere.
  1. Lorsqu'un fournisseur VASA est ajouté au service de gestion du stockage vCenter Server, un certificat signé automatiquement est généré.
  2. Une fois le certificat vérifié, le service de gestion du stockage requiert une demande de signature de certificat de la part du fournisseur VASA.
  3. Une fois la demande de signature de certificat reçue et validée, le service de gestion du stockage la présente à la VMCA, de la part du fournisseur VASA, et réclame un certificat signé par l'autorité de certification.

    La VMCA peut être configurée pour fonctionner en tant qu'autorité de certification autonome ou comme subordonnée d'une autorité de certification d'entreprise. Si vous configurez la VMCA comme subordonnée, celle-ci signe la demande de signature de certificat avec la chaîne complète.

  4. Le certificat signé avec les certificats racines est transmis au fournisseur VASA. Le fournisseur VASA peut authentifier toutes les connexions sécurisées futures provenant du service de gestion du stockage sur vCenter Server et sur les hôtes ESXi.