vSAN 作為軟體定義儲存，它的加密機制也與硬體無關，無需額外的加密裝置，硬碟也無需額外的加密插件。vSAN 加密機制採用的是 XTS-AES 256 加密標準，可以同時保護快取層和容量層的資料。值得注意的是，當資料進入快取層時，系統會對資料進行加密，而當資料要轉存進去容量層時，會先把準備要寫入容量層的資料解密，然後執行重複資料刪除和壓縮的動作，再加密資料，最後寫進容量層。

vSAN 的加密機制採用的是 KMS (Key Manager Server) 解決方案，使用者需要從外部例如 Google 或 Amazon 取得 KMS 加密金鑰。

KMS 採用的是 KEK (Key Encryption Key) 和 DEK (Data Encryption Key) 機制。DEK 先將硬碟資料進行加密，然後 KEK 負責加密 DEK。DEK 透過 KMIP (Key Management Interoperability Protocol) 傳送加密後的資料到 vSAN 節點主機中，這樣只有當管理人員拿到 KEK，才可以解密所有資料。Hybrid 和 All Flash 都支援此機制。

Data-at-rest encryption

當啟用了 Data-at-rest encryption，vSAN 會把所有在 vSAN Datastore 裡的資料全數加密。即使硬碟被偷了也不怕，只有管理者有權限解密資料。

KEK 不會存在 vCenter，而是在 KMS 裡。DEK 有多個，每個 disk 一個，存在各個 host 裡。每次需要加解密，需從 host 透過 vCenter 拿到 KEK 進行加解密。

Data-in-transit encryption

Data-in-transit 顧名思義，就是在資料傳輸中加密而已。它不需要 KMS，而是透過對稱加密 AES 256 bits encryption，能防止中間人攻擊。

Data-in-transit 和 Data-at-rest 是獨立的，管理人員可以個別啟用或關閉它們。

總結

• vSAN 採用 XTS-AES 256 加密標準，保護快取層和容量層資料。
• KMS 提供 KEK 和 DEK 機制，確保資料加密安全。
• Data-at-rest encryption 保障靜態資料安全。
• Data-in-transit encryption 保障傳輸中資料安全，防止中間人攻擊。

更多關於vSAN的文章，歡迎關注我的部落格: https://kaichiachen.github.io/2023/11/05/vsan/data_encryption/