保存データの暗号化を有効にすると、vSAN では、vSAN データストア内のすべてを暗号化します。

すべてのファイルが暗号化されるため、すべての仮想マシンとその対応するデータが保護されます。この暗号化および復号化タスクを実行できるのは、暗号化権限が付与されている管理者だけです。 vSAN では、次のように暗号化キーを使用します。
  • vCenter Server から KMS に AES-256 キー暗号化キー (KEK) が要求されます。vCenter Server では KEK の ID のみが保存されます。キー自体は保存されません。
  • ESXi ホストでは、業界標準の AES-256 XTS モードを使用して、ディスクのデータを暗号化します。各ディスクでは、ランダムに生成された異なるデータ暗号化キー (DEK) が使用されます。

  • ESXi ホストでは、KEK を使用して、その DEK を暗号化し、暗号化された DEK をディスクに保存します。ホストでは KEK はディスクに保存されません。ホストは再起動すると、対応する ID を持つ KEK を KMS に要求します。その後、ホストは必要に応じて DEK を復号できます。
  • ホスト キーは、データではなく、コア ダンプの暗号化に使用されます。同じクラスタに含まれるすべてのホストで、同じホスト キーが使用されます。サポート バンドルを収集する際に、コア ダンプの再暗号化のためにランダム キーが生成されます。パスワードを指定してランダム キーを暗号化することができます。

ホストが再起動すると、KEK を受け取るまで、ディスク グループをマウントしません。このプロセスが完了するには、数分以上かかることがあります。ディスク グループのステータスは、vSAN Health Service の [物理ディスク] > [ソフトウェア状態の健全性] で監視できます。

暗号化キーのパーシステンス

vSAN 7.0 Update 3 以降では、キー サーバが一時的にオフラインまたはアクセス不可の場合でも、保存データの暗号化は引き続き機能します。キーのパーシステンスを有効にすると、ESXi ホストは再起動後も暗号化キーを保持できます。

各 ESXi ホストは最初に暗号化キーを取得し、キー キャッシュに保持します。ESXi ホストに Trusted Platform Module (TPM) がある場合、暗号化キーは再起動後も TPM に保持されます。ホストは、暗号化キーを要求する必要がありません。暗号化キーは TPM に保持されているため、キー サーバに接続できない場合でも、暗号化操作を続行できます。

クラスタ ホストでキー パーシステンスを有効にするには、次のコマンドを使用します。

esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable

暗号化キーのパーシステンスの詳細については、『vSphere セキュリティ』の「キー パーシステンスの概要」を参照してください。

vSphere Native Key Provider の使用

vSAN 7.0 Update 2 では、vSphere Native Key Provider がサポートされています。環境が vSphere Native Key Provider 用に設定されている場合、vSAN クラスタ内の仮想マシンを暗号化できます。詳細については、『vSphere セキュリティ』で「vSphere Native Key Provider の構成と管理」を参照してください。

vSphere Native Key Provider は、外部のキー管理サーバ (KMS) を必要としません。vCenter Server がキー暗号化キーを生成し、それを ESXi ホストに push します。次に、ESXi ホストがデータ暗号化キーを生成します。

注: vSphere Native Key Provider を使用する場合は、再構成タスクがスムーズに実行されるように、Native Key Provider のバックアップを作成してください。

vSphere Native Key Provider は、既存のキー サーバ インフラストラクチャと共存できます。