これらのセキュリティ制御は、vSAN のベスト プラクティスのベースライン セットを提供します。それらは、制御を実装した場合のメリットとトレードオフを説明する形で構成されています。これらのコントロールを変更するには、VMware vSAN の管理のドキュメントを参照してください。

保存データの保護

vSAN は保存データを保護する必要があります。

vSAN 保存データの暗号化は、機密データがストレージ デバイスに保管されている間も機密データの機密性を維持し、物理的な盗難や損失が発生した場合の不正アクセスや漏洩のリスクを軽減するのに役立ちます。

この構成パラメータは、クラスタの動作中に変更できます。保存データの保護を有効にすると、ディスク グループが再フォーマットされ(vSAN OSA の場合)、保存されたオブジェクトが書き換えられます(vSAN ESA の場合)。これには時間がかかる場合がありますが、バックグラウンドで行われます。ワークロードをパワーオフする必要はありません。vSAN ESA 8.0 Update 2 では、既存の vSAN ESA データストアで保存データの保護を有効にする機能が導入されました。vSAN ESA 8.0 Update 3 では、この機能を再度無効にする機能が導入されています。ESA を使用している場合は、最新バージョンの vSAN を実行します。

インストールのデフォルト値︰無効
ベースラインの推奨値︰有効
必要なアクション
インストールのデフォルト値を変更します。
デフォルト値を変更した場合の潜在的な機能上の影響
すべての暗号化には、CPU サイクルと潜在的なストレージ遅延に関するコストがかかります。暗号化がワークロードに与える影響は、基盤となるハードウェアの構成、ワークロードごとのストレージ I/O のタイプと頻度など、さまざまな要因によって決まります。

ネットワークを横断するデータの保護

vSAN は、ストレージ関連のネットワーク通信を含めて、保存データを保護する必要があります。

vSAN の転送中データの暗号化は、ネットワークを通過している機密データの機密性を保持し、不正アクセスや傍受のリスクを軽減するのに役立ちます。

この構成パラメータは、クラスタの動作中に変更できます。

インストールのデフォルト値︰無効
ベースラインの推奨値︰有効
必要なアクション
インストールのデフォルト値を変更します。
デフォルト値を変更した場合の潜在的な機能上の影響
すべての暗号化には、CPU サイクルと潜在的なストレージ遅延に関するコストがかかります。暗号化がワークロードに与える影響は、基盤となるハードウェアの構成、ワークロードごとのストレージ I/O のタイプと頻度など、さまざまな要因によって決まります。

NFS ファイル共有へのアクセスの制限

vSAN ファイル サービスの NFS ファイル共有は、アクセスを制限するように構成する必要があります。

NFS ファイル共有を構成する場合は、[ネット アクセスのカスタマイズ] オプションを選択し、制限付きの権限セットを構成します。

インストールのデフォルト値︰アクセスなし
ベースラインの推奨値︰ネット アクセスのカスタマイズ
必要なアクション
インストールのデフォルト値を変更します。
デフォルト値を変更した場合の潜在的な機能上の影響
クライアントとの接続の切断。

SMB 認証の暗号化

vSAN ファイル サービスの SMB ファイル共有は、暗号化された SMB 認証通信のみを受け入れる必要があります。

SMB ファイル共有を構成する場合は、[プロトコルの暗号化] オプションを有効にします。

インストールのデフォルト値︰無効
ベースラインの推奨値:有効
必要なアクション
インストールのデフォルト値を変更します。
デフォルト値を変更した場合の潜在的な機能上の影響
なし。

双方向/相互 CHAP 認証を有効にする

vSAN iSCSI ターゲットで双方向/相互 CHAP 認証を有効にする必要があります。

相互 CHAP は、イニシエータ(クライアント)とターゲット(サーバ)の両方が相互に ID を検証するように要求することで、追加の保護レイヤーを提供します。これにより、両者の間で送信されるデータが許可されていないエンティティによって傍受または変更されないようにします。

インストールのデフォルト値︰無効
ベースラインの推奨値:有効
必要なアクション
インストールのデフォルト値を変更します。
デフォルト値を変更した場合の潜在的な機能上の影響
クライアントの構成が困難になる場合があります。

内部メンテナンス操作を完了するための容量を予約する

vSAN が内部メンテナンス操作を完了するための容量を予約する必要があります。

vSAN の操作予約機能を設定すると、vSAN に常に十分な空き容量が確保され、vSAN データストアの可用性と信頼性を維持するとともに、ポリシーの変更などの操作中に容量不足が原因でデータ損失やサービス中断が発生する可能性を防ぐことができます。

この構成パラメータは、クラスタの動作中に変更できます。

インストールのデフォルト値︰無効
ベースラインの推奨値:有効
必要なアクション
インストールのデフォルト値を変更します。
デフォルト値を変更した場合の潜在的な機能上の影響
このオプションを有効にすると、 vSAN データストアの使用可能な容量が減少します。