В блоге VirtualPad появилась интересная статья о технологии VMware vSAN Encryption. Шифрование vSAN поддерживает и гибридные, и All-Flash кластеры vSAN. Это относится к архитектуре OSA, поскольку ESA поддерживает только All-Flash для всего пула хранения.
Сейчас поддерживаются следующие методы шифрования vSAN: шифрование данных в состоянии покоя (Data-at-Rest Encryption) и шифрование данных в процессе передачи (Data-in-Transit Encryption). Оба конфигурируются независимо друг от друга и на уровне кластера. vSAN OSA выполняет шифрование на уровне всего кластера. Архитектура HCI Mesh не поддерживает шифрование данных в состоянии покоя.
Шифрование данных в процессе передачи (Data-in-Transit)
vSAN может шифровать данные в процессе передачи, когда они перемещаются между хостами в вашем кластере vSAN. Когда вы включаете такое шифрование, vSAN шифрует все данные и метаданные, передаваемые между хостами. Шифрованный трафик vSAN, проходящий между узлами vSAN, использует код аутентификации сообщений для обеспечения аутентификации и целостности, а затем применяет собственную технику для шифрования трафика vSAN.
Процесс шифрования трафика между узлами в кластере vSAN можно свести к трем основным шагам:
Создается TLS-соединение между узлами vSAN для обмена трафиком
Узлы vSAN создают общий пароль (secret) и прикрепляют его к текущей сессии
Общий секрет используется для установления сессии шифрования с аутентификацией между узлами
Шифрование данных в состоянии покоя (Data-at-Rest)
Шифрование данных в состоянии покоя vSAN надежно шифрует данные vSAN с использованием AES-256, когда они записываются на кэш и устройства емкости. При использовании этого метода мы получаем следующее:
Шифруются данные, находящиеся на устройствах кэша и дисковой емкости
Поддерживаются конфигурации All-Flash и Hybrid
Исключается необходимость в самошифрующихся дисках
Проверено на соответствие FIPS 140-2
Разумеется, выбор шифрования данных в состоянии покоя требует либо сервис управления ключами (Key Manager Service, KMS), либо собственного провайдера ключей vSphere (Native Key Provider, NKP) и конфигурируется на уровне кластера.
Шифрование данных vSAN в состоянии покоя (D@RE) помогает защищаться от ситуаций потери или кражи устройства. Шифрование D@RE в vSAN работает отдельно от шифрования виртуальных машин vSphere (VM Encryption).
Шифрование D@RE в vSAN является процессом реального времени, который шифрует данные до того, как они попадают на диск. Данные никогда не хранятся на диске в незашифрованном состоянии. Если в среде используется дедупликация и сжатие или только сжатие, шифрование происходит после операций дедупликации и сжатия или только сжатия, что позволяет клиенту использовать преимущества экономии места перед шифрованием. Когда данные читаются, они расшифровываются в процессе передачи и возвращаются в гостевую операционную систему. Ну а данные на диске остаются в зашифрованном состоянии.
RSS
