Configurar a encriptação vSAN com o KMS da Fortanix

Para encriptar dados em repouso através da encriptação vSAN, uma das opções é usar o Fortanix Key Management Service (KMS).

Antes de começar

• Crie um Google Cloud projeto ou use um existente.
• Verifique se tem, pelo menos, três instâncias de máquinas virtuais (MV) n1-standard-4 ou superior.

Implemente o Fortanix KMS no Google Cloud

Crie uma rede de VPC

Por motivos de segurança, crie uma nova rede de nuvem privada virtual (VPC). Pode controlar quem tem acesso adicionando regras de firewall ou usando outro método de controlo de acesso. Se o seu projeto tiver uma rede VPC predefinida, não a use. Em alternativa, crie a sua própria rede VPC com um intervalo de IP de sub-rede diferente para que as únicas regras de firewall em vigor sejam as que criar explicitamente.

Crie um modelo de instância de VM

1. Siga os passos em Criar modelos de instâncias para criar um novo modelo de instância.
2. Em Tipo de máquina, selecione n1-standard-4 (4 vCPU, 15 GB de memória) ou superior.
   1. No campo Disco de arranque, selecione Ubuntu 16.04 LTS + SSD de 200 GB.

Crie um grupo de instâncias geridas

Usando os passos em Criar grupos de instâncias geridos, crie um grupo de instâncias gerido que use o modelo de instância que criou no passo anterior.

• Desative o ajuste de escala automático.
• Em Número de instâncias, introduza o número de nós do cluster do Fortanix KMS que quer.

Crie uma verificação de funcionamento

Na página Crie uma verificação de funcionamento, verifique a porta 443. Clique em Criar para criar uma verificação de funcionamento.

Crie um balanceador de carga TCP interno

1. Na página Criar um balanceador de carga, no campo Orientado para a Internet ou apenas interno, selecione Apenas entre as minhas VMs.
2. Clique em Continuar para criar um novo equilibrador de carga interno.
3. Selecione Configuração de back-end no painel do lado esquerdo.
   1. Selecione a nova rede de VPC que criou.
   2. Selecione o grupo de instâncias gerido que criou.
4. No painel do lado esquerdo, selecione Configuração do frontend.
   1. Selecione a nova rede de VPC que criou.
   2. Em IP interno, reserve um endereço IP interno.
   3. Em Número da porta, exponha as portas 443, 4445 e 5696.

Crie um balanceador de carga externo

1. Na página Criar um balanceador de carga, em Orientado para a Internet ou apenas interno, selecione Da Internet para as minhas VMs.
2. Clique em Continuar.
3. No painel do lado esquerdo, selecione Configuração de back-end.
   1. Selecione a Região.
   2. Selecione o grupo de instâncias gerido que criou.
   3. Selecione a verificação de estado criada.
4. No painel do lado esquerdo, selecione Configuração do frontend.
   1. Selecione a rede de VPC que criou.
   2. Reserve um endereço IP público no campo IP.
   3. Em Número da porta, exponha as portas 443, 4445 e 5696.

Adicione uma regra de firewall

Por predefinição, a regra de firewall da rede da VPC de negação implícita de entrada bloqueia ligações de entrada não solicitadas a VMs na rede da VPC.

Para permitir ligações recebidas, configure uma regra de firewall para a sua VM. Depois de estabelecer uma ligação de entrada com uma VM, o tráfego é permitido em ambas as direções através dessa ligação.

Pode criar uma regra de firewall para permitir o acesso externo a portas especificadas ou para restringir o acesso entre VMs na mesma rede.

Adicione uma regra de firewall para permitir as portas 443, 4445 e 5696. Selecione a rede VPC que criou e restrinja o IP de origem com base nos seus requisitos de segurança.

Crie um DNS

Pode criar um DNS para equilibradores de carga internos e externos através do Cloud DNS. Nesta página, sdkms.vpc.gcloud é o ponto final do KMS da Fortanix acessível a partir da rede VPC e sdkms.external.gcloud é o ponto final acessível a partir da Internet.

Transfira e instale o Fortanix KMS

Instale o software Fortanix KMS em cada instância de VM. Para ver instruções, consulte o guia de instalação do KMS de autodefesa da Fortanix. Para o pacote de instalação compatível com o Google Cloud, contacte o apoio técnico da Fortanix.

Configure o acesso à IU/KMIP

Pode aceder à IU através do comando sdkms.external.gcloud. Pode aceder ao protocolo de interoperabilidade de gestão de chaves (KMIP) para VMware através de sdkms.vpc.gcloud.

Configure o acesso a serviços privados

Configure o acesso a serviços privados ao VMware Engine e ligue a sua rede VPC à sua nuvem privada. Para ver instruções, consulte o artigo Configurar o acesso a serviços privados.

Estabeleça confiança entre o vCenter e o Fortanix KMS

1. No Fortanix KMS, configure uma nova app.
2. Na página Aplicações, clique em Ver credenciais para a app que acabou de criar. Em seguida, selecione o separador Nome de utilizador/Palavra-passe e tome nota do nome de utilizador e da palavra-passe para configurar o KMS no vCenter.
3. No vCenter, em Servidores de gestão de chaves, configure o IP interno sdkms.vpc.gcloud.
4. Faça com que o vCenter confie no KMS da Fortanix:
   1. No separador Configurar do vCenter, clique no KMS da Fortanix apresentado.
   2. Clique em Estabelecer confiança e, de seguida, em Fazer com que o vCenter confie no KMS.
   3. Clique em Confiar.
5. Faça com que o Fortanix KMS confie no vCenter:
   1. Clique em Estabelecer confiança e, de seguida, em Tornar o vCenter fidedigno para o KMS.
   2. Em Escolha um método, clique em Certificado do vCenter.
   3. Em Transferir certificado do vCenter, clique em Transferir e, de seguida, em Concluído.
6. Ative a encriptação vSAN.
   1. No cliente vSphere, aceda a Cluster > vSAN > Serviços.
   2. Ative a encriptação vSAN.

O Fortanix KMS está pronto para utilização com a encriptação vSAN e a encriptação de VMs do vCenter. Um registo de auditoria inviolável capta todas as operações criptográficas realizadas pela aplicação. Para a encriptação VSAN, as novas chaves de segurança são criadas no Fortanix KMS através do protocolo KMIP.