Sergey Nivens - Fotolia
Wie lassen sich VMware-Umgebungen mit vSAN absichern?
Wenn man eine sichere und resiliente VMware-Umgebung haben möchte, stellt vSAN 6.6 mächtige Funktionen wie Verschlüsselung und Stretched Cluster bereit.
Jede Storage-Plattform der Enterprise-Klasse sollte sowohl leistungsstarke Security-Funktionen als auch Features für die Ausfallsicherheit mitbringen.
VMware vSAN 6.6.0 und 6.6.1 nehmen beide Forderungen ernst und sichern VMWare-Umgebungen mit zahlreichen Funktionen ab.
vSAN-Verschlüsselung
Viele Unternehmen setzen heute Verschlüsselung ein, um die Datensicherheit zu erhöhen oder bestimmte Vorschriften zu erfüllen. VMware vSAN unterstützt sie dabei. Um VMware-Umgebungen abzusichern, enthält vSAN eine native Verschlüsselung, die inaktive Datenspeicher über Advanced Encryption Standard 256 Chiffren schützt.
vSAN aktiviert und konfiguriert die Verschlüsselung auf Data Store Level, so dass alles in einem vSAN-Datenspeicher verschlüsselt wird, sobald Sie das Feature aufrufen. Die Daten werden während des Schreibvorgangs auf Laufwerke verschlüsselt, die für den Cache oder die reguläre Speicherung verwendet werden.
Die Verschlüsselung ist auch mit anderen vSAN-Funktionen kompatibel. Dazu gehören Deduplizierung, Komprimierung, Löschcodierung und der Betrieb von Stretched Clustern. Ebenfalls kompatibel ist die Verschlüsselung mit verwandten vSphere-Funktionen wie Hochverfügbarkeit, vMotion, Distributed Resource Scheduler (DRS) und Replikation.
Die vSAN-Verschlüsselung ist zudem hardwareunabhängig und ermöglicht den Einsatz auf jeder Host-Hardware, die SSDs oder Festplattenlaufwerke verwendet. Um die Verschlüsselung zu nutzen, brauchen Sie auch keine sich selbst verschlüsselnden Laufwerke.
Erforderlich für die Verschlüsselung ist allerdings ein Key Management Server (KMS). Unternehmen können alternativ aber auch einen der vielen verfügbaren KMS-Anbieter nutzen, die konform zum Key Management Interoperability Protocol sind. HyTrust und Vormetric (Thales e-Security) sind bekannte Anbieter hierfür.
Multifaktor-Authentifizierung
Multifaktor-Authentifizierung (MFA) verbessert die Fähigkeit der vSAN-Plattform, VMware-Umgebungen abzusichern. Dazu werden zusätzliche physische Elemente, die über die typischen Anmeldeinformationen eines Benutzers hinausgehen, in den Authentifizierungsprozess integriert.
vSAN ist im Wesentlichen Teil des vSphere-Hypervisors und unterstützt die wichtigsten MFA-Methoden, einschließlich RSA SecurID und Common Access Card.
Stretched Cluster
Cluster können vor dem Ausfall eines oder mehrerer Host-Server schützen, nicht aber vor dem Verlust einer ganzen Site. VMware implementierte das Konzept der Stretched Cluster zunächst in vSAN 6.0. Dabei werden die Daten zwischen zwei oder mehreren geografischen Standort-Clustern gespiegelt, so dass die Ausfallsicherheit von lokalen und geografisch getrennten Standorte gewährleistet wird. Lokale Workloads können zwischen RAID 1 Spiegelung, RAID 5 Distributed Parity Erasure Codin oder RAID 6 Dual Parity Erasure Codin wählen.
Stretched Cluster werden über Storage-Richtlinien in vSphere konfiguriert und verwaltet. Die Richtlinien ermöglichen es dem Administrator, einen Schutz pro VM zu implementieren und die Richtlinien bei Bedarf auch wieder zu ändern. Dieser Ansatz minimiert den Datenverkehr zwischen den Standorten, der sonst auftreten würde, wenn eine ausgefallene Komponente synchronisiert oder neu erstellt werden muss.
Die vSAN 6.6 Storage-Richtlinien erlauben auch eine Site-Affinität, die es dem Administrator ermöglicht, VMs zu lokalisieren, die nicht durch Stretched Cluster repliziert werden. Dies ist eine praktische Funktion, wenn die VM-Workloads durch andere – meist interne oder native – Replikationsmechanismen wie Active Directory geschützt sind.
Proaktive Fehlererkennung
Computer-Bauteile wie Serverspeichermodule, magnetische Laufwerke und SSDs sowie viele andere Subsysteme erzeugen eine Reihe von Fehlern, die erkannt und protokolliert werden. Diese Fehler sowie Abweichungen von den typischen Leistungsmerkmalen ermöglichen es vSAN, potenziell drohende Speicherausfälle zu erkennen, zu melden und sogar proaktiv zu verhindern.
vSAN wertet dazu die Daten auf dem verdächtigen Gerät aus. Wenn Kopien dieser Daten an anderer Stelle verfügbar sind, wartet vSAN, bevor es Maßnahmen ergreift. Wenn Kopien dieser Daten an anderer Stelle nicht verfügbar sind, beginnt vSAN sofort damit, die Daten auf andere Speichermedien zu verschieben und dort wiederherzustellen.
Eine solche proaktive Erkennung und Korrektur kann dazu beitragen, Risiken zu reduzieren, Datenverluste zu minimieren und Ausfallzeiten beim Wiederaufbau zu begrenzen. Wenn Rebuild oder Resynchronisationsaktivitäten die Cluster-Performance beeinträchtigen, erlaubt vSAN 6.6 dem Administrator, den Durchsatz der Rebuild-Operationen anzupassen, um den Leistungseinbruch zu mildern.
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!