Questi controlli di sicurezza forniscono un set di basi di confronto delle procedure consigliate di vSAN. Sono strutturati in modo da spiegare i vantaggi e i compromessi dell'implementazione del controllo. Per apportare modifiche a questi controlli, vedere la documentazione Amministrazione di VMware vSAN.
Protezione dei dati inattivi
vSAN deve proteggere i dati inattivi.
La crittografia dei dati inattivi di vSAN aiuta a mantenere la riservatezza dei dati sensibili mentre risiedono su dispositivi di storage e a ridurre il rischio di accesso o esposizione non autorizzati in caso di furto o perdita fisica.
È possibile modificare questo parametro di configurazione mentre il cluster è operativo. L'abilitazione delle protezioni dei dati inattivi riformatta i gruppi di dischi (per vSAN OSA) e riscrive gli oggetti archiviati (per vSAN ESA), un'operazione che potrebbe richiedere molto tempo, ma viene eseguita in background. Non è necessario spegnere i carichi di lavoro. vSAN ESA 8.0 Update 2 ha introdotto la possibilità di abilitare le protezioni dei dati inattivi in un datastore vSAN ESA esistente. vSAN ESA 8.0 Update 3 introduce la possibilità di disabilitarlo di nuovo. Eseguire la versione più recente di vSAN se si utilizza ESA.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Tutta la crittografia comporta il costo dei cicli della CPU e la latenza di storage potenziale. L'impatto di questo sui carichi di lavoro dipende da diversi fattori, come la configurazione dell'hardware sottostante e il tipo e la frequenza dello storage I/O da parte del carico di lavoro.
Protezione dei dati durante l'attraversamento della rete
vSAN deve proteggere i dati inattivi, incluse le comunicazioni di rete correlate allo storage.
La crittografia dei dati di vSAN in transito consente di garantire che i dati sensibili rimangano riservati durante l'attraversamento della rete, riducendo il rischio di accessi non autorizzati o intercettazioni.
È possibile alterare questo parametro di configurazione mentre il cluster è operativo.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Tutta la crittografia comporta il costo dei cicli della CPU e la latenza di storage potenziale. L'impatto di questo sui carichi di lavoro dipende da diversi fattori, come la configurazione dell'hardware sottostante e il tipo e la frequenza dello storage I/O da parte del carico di lavoro.
Limitazione dell'accesso alle condivisioni di file NFS
Le condivisioni di file NFS su Servizi file vSAN devono essere configurate per limitare l'accesso.
Quando si configura una condivisione di file NFS, selezionare l'opzione "Personalizza accesso di rete" e configurare un set di autorizzazioni restrittivo.
Crittografia dell'autenticazione SMB
Le condivisioni di file SMB nei Servizi file vSAN devono accettare solo le comunicazioni di autenticazione crittografate.
Quando si configura una condivisione di ile SMB, attivare l'opzione Crittografia protocollo.
Abilitazione dell'autenticazione CHAP bidirezionale/reciproca
La destinazione iSCSI vSAN deve abilitare l'autenticazione CHAP bidirezionale/reciproca.
Il protocollo CHAP reciproco fornisce un ulteriore livello di protezione richiedendo sia all'iniziatore (client) sia alla destinazione (server) di verificare le loro identità reciprocamente, garantendo in tal modo che i dati trasmessi tra i due non vengano intercettati o alterati da entità non autorizzate.
Riserva dello spazio per completare le operazioni di manutenzione interna
vSAN deve riservare spazio per completare le operazioni di manutenzione interne.
L'impostazione della capacità della riserva operazioni di vSAN consente di garantire che vSAN disponga sempre di spazio libero sufficiente per mantenere la disponibilità e l'affidabilità del datastore vSAN e prevenire potenziali perdite di dati o interruzioni del servizio a causa di capacità insufficiente durante le operazioni come le modifiche dei criteri.
È possibile modificare questo parametro di configurazione mentre il cluster è operativo.
