暗号化戦略の計画を立てる場合、vSphere キー プロバイダの機能の概要に注意を払う必要があります。

一般に、日常の操作の中で、キー プロバイダの違いによって機能または製品サポートに違いが生じることはほとんどありません。キー プロバイダの外観と動作はほとんど同じですが、次の表に示すように、キー プロバイダを選択する際には要件と規制についての検討が必要になる場合があります。

表 1. キー プロバイダについての検討事項
キー プロバイダ 外部キー サーバが必要? クイック セットアップ? vSphere でのみ動作? 暗号化キーがホストに永続的に保存されるか? クローン作成中の再キー化?
標準のキー プロバイダ はい なし なし なし はい
信頼済みキー プロバイダ はい なし なし なし はい
vSphere Native Key Provider なし はい はい はい はい
注: ホストの起動時に、vSphere Native Key Provider は常に暗号化キーをクラスタ内の ESXi ホストに書き込みます。クラスタの物理的なセキュリティについて懸念がある場合は、標準のキー プロバイダまたは信頼されているキー プロバイダのいずれかを使用することを検討してください。これらを使用するには、暗号化された仮想マシンを機能させるためのキー サーバが必要です。

キー プロバイダの暗号化機能

次の暗号化機能は、キー プロバイダの各タイプでサポートされています。

  • 同じキー プロバイダまたは別のキー プロバイダを使用して再キー化
  • キーのローテーション
  • 仮想 Trusted Platform Module (vTPM)
  • ディスクの暗号化
  • vSphere 仮想マシンの暗号化
  • 他のキー プロバイダとの共存
  • 別のキー プロバイダへのアップグレード

vSphere 機能に対するキー プロバイダのサポート

以下では、vSphere のいくつかの重要な機能に対するキー プロバイダのサポートについて説明します。

  • 暗号化された vSphere vMotion: すべてのキー プロバイダ タイプでサポートされています。ターゲット ホストで同じキー プロバイダが使用可能である必要があります。暗号化された vSphere vMotionを参照してください。
  • vCenter Server のファイルベースのバックアップとリストア:標準のキー プロバイダと vSphere Native Key Provider は、vCenter Server のファイルベースのバックアップとリストアをサポートします。ほとんどの vSphere 信頼機関 構成情報は ESXi ホストに格納されているため、vCenter Server のファイルベースのバックアップではこの情報のバックアップは行われません。vSphere 信頼機関 デプロイの構成情報が保存されていることを確認するには、vSphere 信頼機関構成のバックアップを参照してください。

VMware 製品に対するキー プロバイダのサポート

次の表は、一部の VMware 製品に対するキー プロバイダのサポートを比較したものです。

表 2. VMware 製品のサポートの比較
キー プロバイダ vSAN Site Recovery Manager vSphere Replication
標準のキー プロバイダ はい はい はい
信頼済みキー プロバイダ はい はい

リカバリ側で同じ vSphere 信頼機関 サービス構成が使用可能な場合は、アレイ ベースのレプリケーションを伴う SRM がサポートされます。

いいえ
vSphere Native Key Provider はい はい はい

キー プロバイダに必要なハードウェア

次の表は、キー プロバイダ ハードウェアのいくつかの最小要件を比較したものです。

表 3. キー プロバイダに必要なハードウェアの比較
キー プロバイダ ESXi ホスト上の TPM
標準のキー プロバイダ 必須ではない
信頼済みキー プロバイダ 信頼済みホスト(信頼済みクラスタ内のホスト)で必要です。

注: 現在、Trust Authority クラスタ内の ESXi ホストでは、TPM は必要ありません。ただし、ベスト プラクティスとして、TPM を使用して新しい ESXi ホストをインストールすることを検討してください。
vSphere Native Key Provider 必須ではない

vSphere Native Key Provider の可用性は、オプションで TPM を備えたホストに制限できます。

キー プロバイダの名前の指定

vSphere では、キー プロバイダ名を使用して、キー識別子を検索します。2 つのキー プロバイダの名前が同じ場合、vSphere ではこれらのキー プロバイダは同等で、同じキーにアクセスできるとみなされます。各論理キー プロバイダには、そのタイプ(標準、信頼済み、ネイティブの各キー プロバイダ)に関係なく、すべての vCenter Server システムで一意の名前が付いている必要があります。

場合によっては、以下のような複数の vCenter Server システムで、同じキー プロバイダを構成します。

  • vCenter Server システム間の暗号化された仮想マシンの移行
  • vCenter Server をディザスタ リカバリ サイトとして設定