これらのセキュリティ制御は、vSAN のベスト プラクティスのベースライン セットを提供します。それらは、制御を実装した場合のメリットとトレードオフを説明する形で構成されています。これらのコントロールを変更するには、VMware vSAN の管理のドキュメントを参照してください。
保存データの保護
vSAN は保存データを保護する必要があります。
vSAN 保存データの暗号化は、機密データがストレージ デバイスに保管されている間も機密データの機密性を維持し、物理的な盗難や損失が発生した場合の不正アクセスや漏洩のリスクを軽減するのに役立ちます。
この構成パラメータは、クラスタの動作中に変更できます。保存データの保護を有効にすると、ディスク グループが再フォーマットされ(vSAN OSA の場合)、保存されたオブジェクトが書き換えられます(vSAN ESA の場合)。これには時間がかかる場合がありますが、バックグラウンドで行われます。ワークロードをパワーオフする必要はありません。vSAN ESA 8.0 Update 2 では、既存の vSAN ESA データストアで保存データの保護を有効にする機能が導入されました。vSAN ESA 8.0 Update 3 では、この機能を再度無効にする機能が導入されています。ESA を使用している場合は、最新バージョンの vSAN を実行します。
ネットワークを横断するデータの保護
vSAN は、ストレージ関連のネットワーク通信を含めて、保存データを保護する必要があります。
vSAN の転送中データの暗号化は、ネットワークを通過している機密データの機密性を保持し、不正アクセスや傍受のリスクを軽減するのに役立ちます。
この構成パラメータは、クラスタの動作中に変更できます。
NFS ファイル共有へのアクセスの制限
vSAN ファイル サービスの NFS ファイル共有は、アクセスを制限するように構成する必要があります。
NFS ファイル共有を構成する場合は、[ネット アクセスのカスタマイズ] オプションを選択し、制限付きの権限セットを構成します。
SMB 認証の暗号化
vSAN ファイル サービスの SMB ファイル共有は、暗号化された SMB 認証通信のみを受け入れる必要があります。
SMB ファイル共有を構成する場合は、[プロトコルの暗号化] オプションを有効にします。
双方向/相互 CHAP 認証を有効にする
vSAN iSCSI ターゲットで双方向/相互 CHAP 認証を有効にする必要があります。
相互 CHAP は、イニシエータ(クライアント)とターゲット(サーバ)の両方が相互に ID を検証するように要求することで、追加の保護レイヤーを提供します。これにより、両者の間で送信されるデータが許可されていないエンティティによって傍受または変更されないようにします。
内部メンテナンス操作を完了するための容量を予約する
vSAN が内部メンテナンス操作を完了するための容量を予約する必要があります。
vSAN の操作予約機能を設定すると、vSAN に常に十分な空き容量が確保され、vSAN データストアの可用性と信頼性を維持するとともに、ポリシーの変更などの操作中に容量不足が原因でデータ損失やサービス中断が発生する可能性を防ぐことができます。
この構成パラメータは、クラスタの動作中に変更できます。