Una panoramica di alto livello delle funzionalità dei provider di chiavi vSphere richiede l'attenzione dell'utente per aiutare a pianificare la strategia di crittografia.
In generale, sono presenti scarse differenze nelle funzionalità o nel supporto dei prodotti tra le operazioni giornaliere del provider di chiavi. Sebbene i provider di chiavi abbiano un aspetto simile e si comportino in modo simile, è possibile che l'utente abbia requisiti e normative da prendere in considerazione durante la selezione di un provider di chiavi, come illustrato nella tabella seguente.
Provider di chiavi | È necessario un server chiavi esterno? | Configurazione rapida? | Funziona solo con vSphere? | Chiavi di crittografia archiviate in modo permanente nell'host? | Ridefinizione della chiave durante la clonazione? |
---|---|---|---|---|---|
Provider di chiavi standard | Sì | No | No | No | Sì |
Provider di chiavi attendibile | Sì | No | No | No | Sì |
vSphere Native Key Provider | No | Sì | Sì | Sì | Sì |
Funzionalità di crittografia del provider di chiavi
Le seguenti funzionalità di crittografia sono supportate da ogni tipo di provider di chiavi.
- Ridefinizione della chiave utilizzando lo stesso provider di chiavi o un provider differente
- Rotazione delle chiavi
- Trusted Platform Module virtuale (vTPM)
- Crittografia disco
- Crittografia della macchina virtuale vSphere
- Coesistenza con altri provider di chiavi
- Eseguire l'aggiornamento a un provider di chiavi diverso
Supporto del provider di chiavi per le funzionalità di vSphere
Di seguito viene descritto il supporto del provider di chiavi per alcune funzionalità di vSphere importanti.
- vSphere vMotion crittografato: supportato da tutti i tipi di provider di chiavi. Nell'host di destinazione deve essere disponibile lo stesso provider di chiavi. Vedere Cos'è vSphere vMotion crittografato.
- Backup e ripristino basati su file vCenter Server: il provider di chiavi standard e vSphere Native Key Provider supportano il backup e il ripristino basati su file di vCenter Server. Poiché la maggior parte delle informazioni di configurazione di vSphere Trust Authority sono archiviate negli host ESXi, il meccanismo di backup basato su file di vCenter Server non esegue il backup di queste informazioni. Per assicurarsi che le informazioni sulla configurazione per la distribuzione di vSphere Trust Authority vengano salvate, vedere Backup della configurazione di vSphere Trust Authority.
Supporto del provider di chiavi per i prodotti VMware
La tabella seguente confronta il supporto dei provider di chiavi per alcuni prodotti VMware.
Provider di chiavi | Crittografia dei dati inattivi di vSAN | Site Recovery Manager | vSphere Replication |
---|---|---|---|
Provider di chiavi standard | Sì | Sì | Sì |
Provider di chiavi attendibile | No | Sì Se sul lato del ripristino è disponibile la stessa configurazione dei servizi di vSphere Trust Authority, SRM con replica basata su array è supportato. |
No |
vSphere Native Key Provider | Sì | Sì | Sì |
Il provider di chiavi standard, il provider di chiavi attendibile e vSphere Native Key Provider supportano la crittografia della macchina virtuale vSphere oltre a vSAN.
Hardware richiesto per i provider di chiavi
La tabella seguente confronta alcuni requisiti minimi dell'hardware dei provider di chiavi.
Provider di chiavi | TPM su host ESXi |
---|---|
Provider di chiavi standard | Non necessario |
Provider di chiavi attendibile | Richiesto negli Host attendibili (host nel cluster attendibile).
Nota: Al momento, gli host
ESXi nel cluster di Trust Authority non richiedono un TPM. È tuttavia consigliabile installare nuovi host
ESXi con TPM.
|
vSphere Native Key Provider | Non necessario La disponibilità del vSphere Native Key Provider può essere facoltativamente limitata agli host con un TPM. |
Denominazione provider di chiavi
vSphere utilizza il nome di un provider di chiavi per cercare un identificatore chiave. Se due provider di chiavi hanno lo stesso nome, vSphere presuppone che siano equivalenti e abbiano accesso alle stesse chiavi. Ogni provider di chiavi logico, indipendentemente dal tipo (provider di chiavi standard, attendibile e nativo), deve avere un nome univoco in tutti i sistemi vCenter Server.
In alcuni casi, si configura lo stesso provider di chiavi in più sistemi vCenter Server, ad esempio:
- Migrazione di macchine virtuali crittografate tra sistemi vCenter Server
- Configurazione di un vCenter Server a titolo di sito di Ripristino di emergenza