Quando si abilita la crittografia dei dati inattivi, vSAN crittografa tutti gli oggetti del datastore vSAN.

Tutti i file vengono crittografati, quindi tutte le macchine virtuali e i dati corrispondenti sono protetti. Solo gli amministratori con privilegi di crittografia possono eseguire attività di crittografia e decrittografia. vSAN utilizza le chiavi di crittografia come segue:
  • vCenter Server richiede una chiave KEK (Key Encryption Key) AES-256 a KMS. vCenter Server archivia solo l'ID della chiave KEK, ma non la chiave stessa.

  • L'host ESXi crittografa i dati del disco utilizzando la modalità XTS AES-256 standard di settore. Ogni disco ha una chiave DEK (Data Encryption Key) diversa generata in modo casuale.

  • Ogni host ESXi utilizza la chiave KEK per crittografare le chiavi DEK e archivia le chiavi DEK crittografate nel disco. L'host non archivia la chiave KEK nel disco. Se un host viene riavviato, richiede a KMS la chiave KEK con l'ID corrispondente. L'host può quindi decrittografare le proprie chiavi DEK, se necessario.
  • Una chiave host viene utilizzata per crittografare i core dump, non i dati. Tutti gli host dello stesso cluster utilizzano la stessa chiave host. Quando si raccolgono bundle di supporto, viene generata una chiave casuale per crittografare nuovamente i core dump. È possibile specificare una password per crittografare la chiave casuale.

Quando un host viene riavviato, non monta i suoi gruppi di dischi finché non riceve la chiave KEK. Il completamento di questo processo può richiedere diversi minuti o più tempo. È possibile monitorare lo stato dei gruppi di dischi nel servizio di integrità di vSAN in Dischi fisici > Stato di integrità del software.

Persistenza delle chiavi di crittografia

In vSAN 7.0 Update 3 e versioni successive, la crittografia dei dati inattivi può continuare a funzionare anche quando il server delle chiavi è temporaneamente offline o non disponibile. Se la persistenza delle chiavi è abilitata, gli host ESXi possono conservare le chiavi di crittografia anche dopo un riavvio.

Ogni host ESXi ottiene inizialmente le chiavi di crittografia e le conserva nella cache delle chiavi. Se l'host ESXi dispone di un TPM (Trusted Platform Module), le chiavi di crittografia vengono conservate nel TPM tra un riavvio e l'altro. Non è necessario che l'host richieda le chiavi di crittografia. Le operazioni di crittografia possono continuare quando il server delle chiavi non è disponibile, perché le chiavi sono state conservate nel TPM.

Utilizzare i comandi seguenti per abilitare la persistenza delle chiavi in un host del cluster. 

esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable

Per ulteriori informazioni sulla persistenza delle chiavi di crittografia, vedere "Panoramica della persistenza delle chiavi" in Sicurezza di vSphere.

Utilizzo di vSphere Native Key Provider

vSAN 7.0 Update 2 supporta vSphere Native Key Provider. Se l'ambiente è configurato per vSphere Native Key Provider, è possibile utilizzarlo per crittografare le macchine virtuali nel cluster vSAN. Per ulteriori informazioni, vedere "Configurazione e gestione di vSphere Native Key Provider" in Sicurezza di vSphere.

vSphere Native Key Provider non richiede un server di gestione chiavi (KMS) esterno. vCenter Server genera la chiave KEK (Key Encryption Key) e ne esegue il push negli host ESXi. Gli host ESXi generano quindi chiavi DEK (Data Encryption Key).

Nota: Se si utilizza vSphere Native Key Provider, assicurarsi di eseguire il backup di Native Key Provider per garantire che le attività di riconfigurazione vengano eseguite correttamente.

vSphere Native Key Provider può coesistere con l'infrastruttura di un server di chiavi esistente.