Ulteriori informazioni sui miglioramenti della sicurezza che il provider di storage vSphere Virtual Volumes versione 5, chiamato anche provider VASA, offre in vSphere 8.0 Update 1 e versioni successive. Sono inoltre disponibili ulteriori informazioni sul modello di sicurezza in vSphere 8.0 e versioni precedenti.
Supporto e sicurezza di VASA 5 con vSphere 8.0 Update 1 e versioni successive
- Per ogni vCenter Server che esegue la registrazione nell'array utilizzando VASA 5 o versioni successive, il provider VASA crea un'istanza del server Web dedicata o un host virtuale che può essere un'istanza del server Web virtuale o un'istanza completamente separata. Il client VASA in vCenter Server utilizza l'autenticazione e l'autorizzazione basate su certificato per accedere al relativo host virtuale dedicato creato nell'array. Tutti i certificati client VASA, inclusi i certificati vCenter Server e ESXi vengono registrati nell'host virtuale. Ciò crea un forte isolamento tra sistemi vCenter Server diversi quando i sistemi vengono autenticati. I provider VASA possono inoltre offrire accesso separato alle risorse e un isolamento migliorato a sistemi vCenter Server diversi.
- Con VASA 5, il client VASA utilizza un certificato dedicato per le comunicazioni VASA. Ogni vCenter Server esegue il provisioning di un certificato per il provider VASA gestito tramite un host virtuale dedicato specifico di vCenter Server. Tutti gli host ESXi che supportano VASA 5 utilizzano l'host virtuale dedicato creato dai rispettivi vCenter Server di gestione.
- vCenter Server esegue il provisioning del certificato client VASA per ogni nuovo host ESXi 8.0 Update 1 o versione successiva e sincronizza la chiave pubblica del certificato con il provider VASA. Diversamente dal modello di sicurezza precedente che eseguiva l'autenticazione dell'emittente CA per il certificato client, il provider VASA ora identifica e autorizza un singolo client utilizzando la chiave pubblica.
- Per essere conforme ai requisiti di sicurezza di VMware, vSphere non considera attendibili i certificati autofirmati per le comunicazioni TLS. L'unica eccezione si verifica durante un breve periodo di tempo in cui il provider VASA viene registrato e per la compatibilità con le versioni precedenti. Un amministratore di array può utilizzare un certificato CA personalizzato per il provider VASA per sostituire il certificato autofirmato nell'array per la compatibilità con le versioni precedenti e il bootstrap.
- Per evitare di perdere l'accesso al provider VASA, attenersi alle seguenti linee guida. Per informazioni, vedere Gestione dei provider di storage per vSphere Virtual Volumes.
- Non annullare la registrazione e registrare nuovamente il provider VASA da aggiornare. Utilizzare invece un meccanismo di aggiornamento appropriato per il provider VASA. Quando vCenter Server segnala che è disponibile una nuova versione di VASA, assicurarsi di accettarla entro un periodo di tempo ragionevole. Per eseguire l'aggiornamento da vSphere Client, utilizzare l'opzione Aggiorna provider di storage.
- Aggiornare regolarmente il certificato del provider VASA. Assicurarsi di aggiornare il certificato entro un periodo di tempo ragionevole dopo che vCenter Server ha segnalato che il certificato assegnato al provider VASA sta per scadere. Utilizzare l'opzione Aggiorna certificato di vSphere Client.
- Quando si rinnova il certificato root di VMCA o il certificato client di vCenter Server, è possibile che SMS perda la connessione con il provider VASA. Se il provider è offline, utilizzare l'opzione Esegui nuovamente autenticazione di vCenter Server.
- Se un host perde l'autenticazione, è possibile correggere l'errore di autenticazione utilizzando l'opzione Esegui nuovamente autenticazione dei client VASA dell'host.
Certificati di sicurezza con vSphere 8.0 e versioni precedenti
vSphere include VMware Certificate Authority (VMCA). Per impostazione predefinita, VMCA crea tutti i certificati interni utilizzati nell'ambiente vSphere. Genera certificati per gli host ESXi e i provider di storage VASA appena aggiunti che gestiscono o rappresentano sistemi di storage Virtual Volumes.
- I certificati possono essere forniti direttamente dal provider VASA per un utilizzo a lungo termine. Possono essere autogenerati e autofirmati o derivati da un'autorità di certificazione esterna.
- I certificati possono essere generati da VMCA per l'uso da parte del provider VASA.
- Quando un provider VASA viene aggiunto per la prima volta al servizio di gestione storage (SMS) vCenter Server, viene prodotto un certificato autofirmato.
- Dopo aver verificato il certificato, l'SMS richiede una richiesta di firma del certificato (CSR) dal provider VASA.
- Dopo aver ricevuto e convalidato la richiesta CSR, l'SMS la presenta a VMCA per conto del provider VASA, richiedendo un certificato firmato dall'autorità di certificazione.
VMCA può essere configurata per funzionare come CA autonoma o come subordinata a una CA aziendale. Se si configura VMCA come CA subordinata, VMCA firma la richiesta CSR con la catena completa.
- Il certificato firmato con i certificati root viene passato al provider VASA. Il provider VASA può autenticare tutte le future connessioni sicure provenienti dall'SMS su vCenter Server e su host ESXi.