這些安全性控制提供了一組基礎的 vSAN 最佳做法。它們的結構化方式說明了實作控制的優勢和權衡。若要對這些控制進行變更,請參閱管理 VMware vSAN說明文件。

保護靜態資料

vSAN 必須保護靜態資料。

vSAN 靜態資料加密有助於在敏感資料位於儲存裝置上時保持其機密性,並降低在發生實體竊取或遺失時帶來未經授權存取或暴露的風險。

可以在叢集正常運作時變更此組態參數。啟用靜態資料保護會重新格式化磁碟群組 (對於 vSAN OSA) 並重寫儲存的物件 (對於 vSAN ESA),這可能需要很長時間,但在背景中完成。工作負載不需要關閉電源。vSAN ESA 8.0 Update 2 引入了在現有 vSAN ESA 資料存放區上啟用靜態資料保護的功能。vSAN ESA 8.0 Update 3 引入了再次停用該設定的功能。如果使用 ESA,請執行最新版本的 vSAN

安裝預設值:已停用
基準建議值:已啟用
需要執行的動作
變更安裝預設值。
預設值已變更時的潛在功能影響
所有加密都以 CPU 週期和潛在儲存延遲為代價。這對工作負載產生的影響程度取決於各種因素,例如基礎硬體的組態以及按工作負載分類的儲存區 I/O 的類型和頻率。

周遊網路時保護資料

vSAN 必須保護靜態資料,包括與儲存區相關的網路通訊。

vSAN 傳輸中資料加密有助於確保在周遊網路時使敏感資料保密,從而降低未經授權的存取或攔截風險。

可以在叢集正常運作時更改此組態參數。

安裝預設值:已停用
基準建議值:已啟用
需要執行的動作
變更安裝預設值。
預設值已變更時的潛在功能影響
所有加密都以 CPU 週期和潛在儲存延遲為代價。這對工作負載產生的影響程度取決於各種因素,例如基礎硬體的組態以及按工作負載分類的儲存區 I/O 的類型和頻率。

限制對 NFS 檔案共用的存取

必須將 vSAN 檔案服務上的 NFS 檔案共用設定為限制存取。

設定 NFS 檔案共用時,請選取「自訂網路存取」選項並設定一組限制性權限。

安裝預設值:無存取
基準建議值:自訂網路存取
需要執行的動作
變更安裝預設值。
預設值已變更時的潛在功能影響
與用戶端中斷連線。

加密 SMB 驗證

vSAN 檔案服務上的 SMB 檔案共用必須僅接受加密的 SMB 驗證通訊。

設定 SMB 檔案共用時,啟用通訊協定加密選項。

安裝預設值:已停用
基準建議值:已啟用
需要執行的動作
變更安裝預設值。
預設值已變更時的潛在功能影響
無。

啟用雙向 CHAP 驗證

vSAN iSCSI 目標必須啟用雙向 CHAP 驗證。

雙向 CHAP 透過要求啟用者 (用戶端) 和目標 (伺服器) 相互驗證其身分來提供額外一層保護,從而確保兩者之間傳輸的資料不被未經授權的實體攔截或變更。

安裝預設值:已停用
基準建議值:已啟用
需要執行的動作
變更安裝預設值。
預設值已變更時的潛在功能影響
設定用戶端可能更困難。

保留空間完成內部維護作業

vSAN 必須保留空間才能完成內部維護作業。

vSAN 作業保留容量設定有助於確保 vSAN 始終具有足夠的可用空間來保持 vSAN 資料存放區的可用性和可靠性,並防止在作業 (例如原則變更) 期間因容量不足而導致的潛在資料遺失或服務中斷。

可以在叢集正常運作時變更此組態參數。

安裝預設值:已停用
基準建議值:已啟用
需要執行的動作
變更安裝預設值。
預設值已變更時的潛在功能影響
啟用此選項可減少 vSAN 資料存放區的可用容量。