¿Se puede cifrar a nivel de #vSAN y a nivel de vm al mismo tiempo?
¿Qué impacto tiene cifrar a nivel de vSAN y vm?
¿El cifrado dual es mayor seguridad o es redundante?
Nota: El el cifrado a nivel de vm, #VMware lo llama: VMcrypt
Ventajas técnicas y peligros de seguridad de una vm:
– La portabilidad de una vm a cualquier centro de datos está genial, ya que se puede ejecutar en cualquier ESXi. Pero cualquiera que tenga acceso a la vm, podría tener acceso a los datos.
– La tecnología de vMotion entre ESXi´s también es de calidad. Pero cualquiera que tenga acceso a la red podría tener acceso a la vm y sus datos, incluso en un ambiente con vSAN.
Por lo anterior, muchos VMware Admins desean reforzar la seguridad configurando el cifrado vSAN y con VMcrypt.
En especial, si los departamentos de seguridad preguntan sobre dicha posibilidad, pensando en aumentar la seguridad de los datos que hay dentro de las vm´s.
Respondamos las preguntas a nivel general:
¿Se puede cifrar a nivel de #vSAN y a nivel de vm al mismo tiempo?
La respuesta es si, ambas tecnologías son compatibles, aunque trabajan de manera algo diferente.
Aunque no pregunten, recomendaría a los VMware Admins que hablaran sobre el tema que aborda la siguientes pregunta con el equipo de seguridad.
¿Qué impacto tiene cifrar a nivel de vSAN y vm?
Uno de los impactos significativos es a nivel de procesamiento, ya que la cpu tendrá que procesar el trabajo de cifrar a nivel de almacenamiento (vSAN) y también a nivel de vm.
Si en un clúster vSAN se usa la tecnología de deduplicación, el impacto es negativo, ya que las vm´s que están cifradas no aprovecharán casi nada, por no decir nada la deduplicación.
La razón es que el proceso de cifrado VMcrypt de datos (como cualquier esquema de cifrado de extremo a extremo) parece tener un componente aleatorio que evita que no se deduplique muy bien.
Por otro lado, en un clúster vSAN, se recibe un flujo de datos no cifrado (no se cifra de extremo a extremo) y el proceso de cifrado se hace en el proceso de escritura.
¿El cifrado dual es mayor seguridad o es redundante?
Es redundancia, ya que la diferencia es la manera de hacer el cifrado con el mismo resultado.
Ejemplo: En un ambiente con deduplicación, VMcrypt se hace antes y a nivel de vSAN después, pero al final se tendrá una vm más segura.
Si tomamos en cuenta que se hace doble trabajo para la cpu, tanto al cifrar como al descifrar,
parece más recomendable quedarse con un solo método y si es en un ambiente configurado con deduplicación, la mejor opción sería a nivel de almacenamiento vSAN.