3 preguntas sobre el cifrado vSAN

¿Se puede cifrar a nivel de #vSAN y a nivel de vm al mismo tiempo?

¿Qué impacto tiene cifrar a nivel de vSAN y vm?

¿El cifrado dual es mayor seguridad o es redundante?

Nota: El el cifrado a nivel de vm, #VMware lo llama: VMcrypt

Ventajas técnicas y peligros de seguridad de una vm:

– La portabilidad de una vm a cualquier centro de datos está genial, ya que se puede ejecutar en cualquier ESXi. Pero cualquiera que tenga acceso a la vm, podría tener acceso a los datos.

– La tecnología de vMotion entre ESXi´s también es de calidad. Pero cualquiera que tenga acceso a la red podría tener acceso a la vm y sus datos, incluso en un ambiente con vSAN.

Por lo anterior, muchos VMware Admins desean reforzar la seguridad configurando el cifrado vSAN y con VMcrypt.

En especial, si los departamentos de seguridad preguntan sobre dicha posibilidad, pensando en aumentar la seguridad de los datos que hay dentro de las vm´s.

Respondamos las preguntas a nivel general:

¿Se puede cifrar a nivel de #vSAN y a nivel de vm al mismo tiempo?

La respuesta es si, ambas tecnologías son compatibles, aunque trabajan de manera algo diferente.

Aunque no pregunten, recomendaría a los VMware Admins que hablaran sobre el tema que aborda la siguientes pregunta con el equipo de seguridad.

¿Qué impacto tiene cifrar a nivel de vSAN y vm?

Uno de los impactos significativos es a nivel de procesamiento, ya que la cpu tendrá que procesar el trabajo de cifrar a nivel de almacenamiento (vSAN) y también a nivel de vm.

Si en un clúster vSAN se usa la tecnología de deduplicación, el impacto es negativo, ya que las vm´s que están cifradas no aprovecharán casi nada, por no decir nada la deduplicación. 

La razón es que el proceso de cifrado VMcrypt de datos (como cualquier esquema de cifrado de extremo a extremo) parece tener un componente aleatorio que evita que no se deduplique muy bien.

Por otro lado, en un clúster vSAN, se recibe un flujo de datos no cifrado (no se cifra de extremo a extremo) y el proceso de cifrado se hace en el proceso de escritura.

¿El cifrado dual es mayor seguridad o es redundante?

Es redundancia, ya que la diferencia es la manera de hacer el cifrado con el mismo resultado.

Ejemplo: En un ambiente con deduplicación, VMcrypt se hace antes y a nivel de vSAN después, pero al final se tendrá una vm más segura.

Si tomamos en cuenta que se hace doble trabajo para la cpu, tanto al cifrar como al descifrar, 

parece más recomendable quedarse con un solo método y si es en un ambiente configurado con deduplicación, la mejor opción sería a nivel de almacenamiento vSAN.

William Tellez

William Tellez

Luego de una carrera trabajando en corporaciones con productos de TI*, en el 2016 inició como consultor independiente. Y para finales del 2018, decidió agregar a su vida laboral el compartir información con la comunidad VMware con el objetivo de colaborar con los colegas en crearse oportunidades profesionales con sus conocimientos y experiencia en TI. *(Productos como Novell, Microsoft, Citrix, Veeam, Veritas, Networker y VMware).
Todos los artículos del autor

Otros artículos Increíbles

Comparte este artículo a la vCommunity VMware para que la información pueda ayudar a otros colegas:

LinkedIn

Otros artículos que pueden interesarte

Acompaño a los colegas de TI en el ecosistema VMware a crearse oportunidades profesionales con sus conocimientos y experiencia.

Instagram Youtube Linkedin Facebook

Servicios VMware

  • Implementaciones
  • Upgrade a vSphere 8.0
  • Cursos vSphere 7.0
  • Creación de artículos tech
  • Asesoría personalizada

Otros Servicios

  • Marca personal en TI
  • Emprendimiento en TI
  • Marketing en TI
  • LinkedIn para colegas
  • Negocios en TI

vExpert

  • Obtenerlo
  • Para los negocios
  • Para marca profesional
  • Para el marketing
  • Para potenciar habilidades