保存データの暗号化を有効にすると、vSAN では、vSAN データストア内のすべてを暗号化します。
- vCenter Server から KMS に AES-256 キー暗号化キー (KEK) が要求されます。vCenter Server では KEK の ID のみが保存されます。キー自体は保存されません。
-
ESXi ホストでは、業界標準の AES-256 XTS モードを使用して、ディスクのデータを暗号化します。各ディスクでは、ランダムに生成された異なるデータ暗号化キー (DEK) が使用されます。
- 各 ESXi ホストでは、KEK を使用して、その DEK を暗号化し、暗号化された DEK をディスクに保存します。ホストでは KEK はディスクに保存されません。ホストは再起動すると、対応する ID を持つ KEK を KMS に要求します。その後、ホストは必要に応じて DEK を復号できます。
- ホスト キーは、データではなく、コア ダンプの暗号化に使用されます。同じクラスタに含まれるすべてのホストで、同じホスト キーが使用されます。サポート バンドルを収集する際に、コア ダンプの再暗号化のためにランダム キーが生成されます。パスワードを指定してランダム キーを暗号化することができます。
ホストが再起動すると、KEK を受け取るまで、ディスク グループをマウントしません。このプロセスが完了するには、数分以上かかることがあります。ディスク グループのステータスは、vSAN Health Service の [物理ディスク] > [ソフトウェア状態の健全性] で監視できます。
暗号化キーのパーシステンス
vSAN 7.0 Update 3 以降では、キー サーバが一時的にオフラインまたはアクセス不可の場合でも、保存データの暗号化は引き続き機能します。キーのパーシステンスを有効にすると、ESXi ホストは再起動後も暗号化キーを保持できます。
各 ESXi ホストは最初に暗号化キーを取得し、キー キャッシュに保持します。ESXi ホストに Trusted Platform Module (TPM) がある場合、暗号化キーは再起動後も TPM に保持されます。ホストは、暗号化キーを要求する必要がありません。暗号化キーは TPM に保持されているため、キー サーバに接続できない場合でも、暗号化操作を続行できます。
クラスタ ホストでキー パーシステンスを有効にするには、次のコマンドを使用します。
esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable
暗号化キーのパーシステンスの詳細については、『vSphere セキュリティ』の「キー パーシステンスの概要」を参照してください。
vSphere Native Key Provider の使用
vSAN 7.0 Update 2 では、vSphere Native Key Provider がサポートされています。環境が vSphere Native Key Provider 用に設定されている場合、vSAN クラスタ内の仮想マシンを暗号化できます。詳細については、『vSphere セキュリティ』で「vSphere Native Key Provider の構成と管理」を参照してください。
vSphere Native Key Provider は、外部のキー管理サーバ (KMS) を必要としません。vCenter Server がキー暗号化キーを生成し、それを ESXi ホストに push します。次に、ESXi ホストがデータ暗号化キーを生成します。
vSphere Native Key Provider は、既存のキー サーバ インフラストラクチャと共存できます。