Questi controlli di sicurezza forniscono un set di basi di confronto delle procedure consigliate di vSAN. Sono strutturati in modo da spiegare i vantaggi e i compromessi dell'implementazione del controllo. Per apportare modifiche a questi controlli, vedere la documentazione Amministrazione di VMware vSAN.

Protezione dei dati inattivi

vSAN deve proteggere i dati inattivi.

La crittografia dei dati inattivi di vSAN aiuta a mantenere la riservatezza dei dati sensibili mentre risiedono su dispositivi di storage e a ridurre il rischio di accesso o esposizione non autorizzati in caso di furto o perdita fisica.

È possibile modificare questo parametro di configurazione mentre il cluster è operativo. L'abilitazione delle protezioni dei dati inattivi riformatta i gruppi di dischi (per vSAN OSA) e riscrive gli oggetti archiviati (per vSAN ESA), un'operazione che potrebbe richiedere molto tempo, ma viene eseguita in background. Non è necessario spegnere i carichi di lavoro. vSAN ESA 8.0 Update 2 ha introdotto la possibilità di abilitare le protezioni dei dati inattivi in un datastore vSAN ESA esistente. vSAN ESA 8.0 Update 3 introduce la possibilità di disabilitarlo di nuovo. Eseguire la versione più recente di vSAN se si utilizza ESA.

Valori
Valore predefinito installazione: Disattivato
Valore base di confronto suggerito: Abilitato
Azione necessaria
Modificare il valore predefinito dell'installazione.
Potenziale impatto funzionale se il valore predefinito viene modificato
Tutta la crittografia comporta il costo dei cicli della CPU e la latenza di storage potenziale. L'impatto di questo sui carichi di lavoro dipende da diversi fattori, come la configurazione dell'hardware sottostante e il tipo e la frequenza dello storage I/O da parte del carico di lavoro.

Protezione dei dati durante l'attraversamento della rete

vSAN deve proteggere i dati inattivi, incluse le comunicazioni di rete correlate allo storage.

La crittografia dei dati di vSAN in transito consente di garantire che i dati sensibili rimangano riservati durante l'attraversamento della rete, riducendo il rischio di accessi non autorizzati o intercettazioni.

È possibile alterare questo parametro di configurazione mentre il cluster è operativo.

Valori
Valore predefinito installazione: Disattivato
Valore base di confronto suggerito: Abilitato
Azione necessaria
Modificare il valore predefinito dell'installazione.
Potenziale impatto funzionale se il valore predefinito viene modificato
Tutta la crittografia comporta il costo dei cicli della CPU e la latenza di storage potenziale. L'impatto di questo sui carichi di lavoro dipende da diversi fattori, come la configurazione dell'hardware sottostante e il tipo e la frequenza dello storage I/O da parte del carico di lavoro.

Limitazione dell'accesso alle condivisioni di file NFS

Le condivisioni di file NFS su Servizi file vSAN devono essere configurate per limitare l'accesso.

Quando si configura una condivisione di file NFS, selezionare l'opzione "Personalizza accesso di rete" e configurare un set di autorizzazioni restrittivo.

Valori
Valore predefinito installazione: Nessun accesso
Valore base di confronto suggerito: Personalizza accesso di rete
Azione necessaria
Modificare il valore predefinito dell'installazione.
Potenziale impatto funzionale se il valore predefinito viene modificato
Perdita di connettività con i client.

Crittografia dell'autenticazione SMB

Le condivisioni di file SMB nei Servizi file vSAN devono accettare solo le comunicazioni di autenticazione crittografate.

Quando si configura una condivisione di ile SMB, attivare l'opzione Crittografia protocollo.

Valori
Valore predefinito installazione: Disattivato
Valore suggerito per la base di confronto: attivato
Azione necessaria
Modificare il valore predefinito dell'installazione.
Potenziale impatto funzionale se il valore predefinito viene modificato
nessuna.

Abilitazione dell'autenticazione CHAP bidirezionale/reciproca

La destinazione iSCSI vSAN deve abilitare l'autenticazione CHAP bidirezionale/reciproca.

Il protocollo CHAP reciproco fornisce un ulteriore livello di protezione richiedendo sia all'iniziatore (client) sia alla destinazione (server) di verificare le loro identità reciprocamente, garantendo in tal modo che i dati trasmessi tra i due non vengano intercettati o alterati da entità non autorizzate.

Valori
Valore predefinito installazione: Disattivato
Valore suggerito per la base di confronto: attivato
Azione necessaria
Modificare il valore predefinito dell'installazione.
Potenziale impatto funzionale se il valore predefinito viene modificato
Potrebbe essere più difficile configurare i client.

Riserva dello spazio per completare le operazioni di manutenzione interna

vSAN deve riservare spazio per completare le operazioni di manutenzione interne.

L'impostazione della capacità della riserva operazioni di vSAN consente di garantire che vSAN disponga sempre di spazio libero sufficiente per mantenere la disponibilità e l'affidabilità del datastore vSAN e prevenire potenziali perdite di dati o interruzioni del servizio a causa di capacità insufficiente durante le operazioni come le modifiche dei criteri.

È possibile modificare questo parametro di configurazione mentre il cluster è operativo.

Valori
Valore predefinito installazione: Disattivato
Valore suggerito per la base di confronto: attivato
Azione necessaria
Modificare il valore predefinito dell'installazione.
Potenziale impatto funzionale se il valore predefinito viene modificato
L'attivazione di questa opzione riduce la capacità utilizzabile del datastore vSAN.