保存データの暗号化の仕組み

保存データの暗号化を有効にすると、vSAN では、vSAN データストア内のすべてを暗号化します。すべてのファイルが暗号化されるため、すべての仮想マシンとその対応するデータが保護されます。この暗号化および復号化タスクを実行できるのは、暗号化権限が付与されている管理者だけです。

vSAN では、次のように暗号化キーを使用します。

vCenter Server から KMS に AES-256 キー暗号化キー (KEK) が要求されます。vCenter Server では KEK の ID のみが保存されます。キー自体は保存されません。
ESXi ホストでは、業界標準の AES-256 XTS モードを使用して、ディスクのデータを暗号化します。各ディスクでは、ランダムに生成された異なるデータ暗号化キー (DEK) が使用されます。
各 ESXi ホストでは、KEK を使用して、その DEK を暗号化し、暗号化された DEK をディスクに保存します。ホストでは KEK はディスクに保存されません。ホストは再起動すると、対応する ID を持つ KEK を KMS に要求します。その後、ホストは必要に応じて DEK を復号できます。
ホストキーは、データではなく、コアダンプの暗号化に使用されます。同じクラスタに含まれるすべてのホストで、同じホストキーが使用されます。サポートバンドルを収集する際に、コアダンプの再暗号化のためにランダムキーが生成されます。パスワードを指定してランダムキーを暗号化することができます。

ホストが再起動すると、KEK を受け取るまで、ディスクグループをマウントしません。このプロセスが完了するには、数分以上かかることがあります。ディスクグループのステータスは、vSAN Health Service の [物理ディスク] > [ソフトウェア状態の健全性] で監視できます。

暗号化キーのパーシステンス

vSAN 7.0 Update 3 以降では、キーサーバが一時的にオフラインまたはアクセス不可の場合でも、保存データの暗号化は引き続き機能します。キーのパーシステンスを有効にすると、ESXi ホストは再起動後も暗号化キーを保持できます。

各 ESXi ホストは最初に暗号化キーを取得し、キーキャッシュに保持します。ESXi ホストに Trusted Platform Module (TPM) がある場合、暗号化キーは再起動後も TPM に保持されます。ホストは、暗号化キーを要求する必要がありません。暗号化キーは TPM に保持されているため、キーサーバに接続できない場合でも、暗号化操作を続行できます。

クラスタホストでキーパーシステンスを有効にするには、次のコマンドを使用します。

esxcli system settings encryption set --mode=TPM

esxcli system security keypersistence enable

暗号化キーのパーシステンスの詳細については、『vSphere セキュリティ』の「キーパーシステンスの概要」を参照してください。

vSphere Native Key Provider の使用

vSAN 7.0 Update 2 では、vSphere Native Key Provider がサポートされています。環境が vSphere Native Key Provider 用に設定されている場合、vSAN クラスタ内の仮想マシンを暗号化できます。詳細については、『vSphere セキュリティ』で「vSphere Native Key Provider の構成と管理」を参照してください。

vSphere Native Key Provider は、外部のキー管理サーバ (KMS) を必要としません。vCenter Server がキー暗号化キーを生成し、それを ESXi ホストに push します。次に、ESXi ホストがデータ暗号化キーを生成します。

注： vSphere Native Key Provider を使用する場合は、再構成タスクがスムーズに実行されるように、Native Key Provider のバックアップを作成してください。

vSphere Native Key Provider は、既存のキーサーバインフラストラクチャと共存できます。