Configurar a encriptação vSAN com o HyTrust KeyControl

Uma opção para encriptar dados em repouso através da encriptação vSAN é usar o HyTrust KeyControl como um serviço de gestão de chaves (KMS) externo. Para implementar o HyTrust KeyControl no Google Cloud, siga os passos descritos neste documento.

Pré-requisitos

  • Uma das seguintes versões do vSphere suportadas pelo HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7 ou 7.0
    • vSphere Trust Authority 7.0
    • Gestão de chaves universal para agentes de encriptação compatíveis com KMIP
  • Autorização Manage KMS para o vCenter na sua nuvem privada. A função CloudOwner predefinida no VMware Engine tem privilégios suficientes.
  • Uma licença válida para o HyTrust KeyControl. O KeyControl implementado tem uma licença de avaliação de 30 dias.

Estabeleça uma ligação privada entre a sua nuvem privada e a sua rede VPC

Identifique um projeto e uma rede de nuvem virtual privada (VPC) onde planeia implementar nós do HyTrust KeyControl. Google CloudConfigure uma ligação privada entre essa rede da VPC e a sua nuvem privada.

Crie uma instância de VM que se torne o nó KeyControl inicial no seu cluster

  1. Se ainda não tiver uma rede VPC que queira usar para o nó KeyControl, crie uma nova rede VPC.

  2. Na Google Cloud consola, aceda à página Imagens.

    Aceda à página Imagens

  3. Clique na imagem do HyTrust KeyControl.

  4. Clique em Criar instância.

  5. Configure a instância:

    • Em Tipo de máquina, selecione n1-standard-2(2 vCPU, 7,5 GB).
    • Selecione Permitir tráfego HTTPS.
    • Em Interface de rede, escolha a rede de VPC que quer usar. Não pode alterar esta definição mais tarde.
    • O endereço IP externo pode ser estático ou efémero. Para usar um endereço IP estático, escolha qualquer IP público criado anteriormente ou escolha Criar endereço IP em IP externo.
    • Em Criar endereço IP público, introduza um nome e uma descrição para o endereço IP.

  6. Clique em OK.

  7. Clique em Criar.

Para criar nós KeyControl adicionais, pode usar metadados da instância que acabou de criar. Para ver os metadados da instância, aceda à página Instâncias de VM.

Aceda à página Instâncias de VM

Configure regras de firewall para a instância do KeyControl

Antes de começar a configurar o KeyControl, certifique-se de que as seguintes portas estão abertas para o KeyControl a partir da sua rede VPC ou de qualquer outra rede a partir da qual planeia aceder ao KeyControl.

Portas necessárias

Tipo Protocolo Intervalo de portas
SSH (22) TCP 22
HTTPS (443) TCP 443
Regra TCP personalizada TCP 8443
Regra UDP personalizada UDP 123

Portas adicionais

As seguintes portas são obrigatórias se planear usar o KeyControl como um servidor KMIP ou se quiser usar a funcionalidade de sondagem SNMP para o KeyControl.

Tipo Protocolo Porta predefinida
KMIP TCP 5696
SNMP UDP 161

Para saber como configurar a firewall, consulte o artigo Tabelas de firewall.

Configure o primeiro nó KeyControl e inicialize a interface Web do KeyControl

Tem de configurar a instância do KeyControl através do SSH antes de poder usar a interface Web do KeyControl para configurar e manter o cluster do KeyControl.

O procedimento seguinte descreve como configurar o primeiro nó do KeyControl no cluster. Certifique-se de que tem o ID da instância de VM do KeyControl e o endereço IP externo.

  1. Inicie sessão na conta htadmin na instância da VM do KeyControl.

    ssh htadmin@external-ip-address

  2. Quando lhe for pedida a palavra-passe do htadmin, introduza o ID da instância da sua instância do KeyControl.

  3. Introduza uma nova palavra-passe para a conta de administração do sistema KeyControl htadmin e clique em Enter. A palavra-passe tem de conter, pelo menos, 6 carateres e não pode conter espaços nem carateres que não sejam ASCII. Esta palavra-passe controla o acesso à consola do sistema HyTrust KeyControl, que permite aos utilizadores realizar algumas tarefas de administração do KeyControl. Não permite que um utilizador do KeyControl aceda ao sistema operativo completo.

  4. No ecrã Configuração do sistema, selecione Instalar nó de controlo de chaves inicial e clique em Enter.

  5. Reveja a caixa de diálogo de confirmação. Esta caixa de diálogo fornece o URL público que pode usar com a interface Web do KeyControl e o endereço IP privado que pode usar se quiser adicionar outros nós do KeyControl a este cluster.

  6. Clique em Enter.

  7. Para inicializar a interface Web do KeyControl para este cluster:

    1. Num navegador de Internet, navegue para https://external-ip-address, onde external-ip-address é o endereço IP externo associado à instância do KeyControl.
    2. Se lhe for pedido, adicione uma exceção de segurança para o endereço IP do KeyControl e prossiga para a interface Web do KeyControl.
    3. Na página de início de sessão do HyTrust KeyControl, introduza secroot para o nome de utilizador e introduza o ID da instância para a palavra-passe.
    4. Reveja o CLUF (Contrato de Licença de Utilizador Final). Clique em Aceito para aceitar os termos da licença.
    5. Na página Alterar palavra-passe, introduza uma nova palavra-passe para a conta secroot e clique em Atualizar palavra-passe.

    6. Na página Configurar definições de email e servidor de correio, introduza as suas definições de email. Se introduzir um endereço de email, o KeyControl envia um email com a chave de administrador para o novo nó. Também envia alertas do sistema para este endereço de email.

    7. Clique em Continuar.

    8. Na página Relatórios automáticos do Android vitals, especifique se quer ativar ou desativar os relatórios automáticos do Android vitals. Os relatórios automáticos de sinais vitais permitem-lhe partilhar automaticamente informações sobre o estado de funcionamento do seu cluster KeyControl com o apoio técnico da HyTrust.

      Se ativar este serviço, o KeyControl envia periodicamente um pacote encriptado com o estado do sistema e informações de diagnóstico para um servidor HyTrust seguro. O apoio técnico da HyTrust pode contactá-lo proativamente se o serviço Vitals identificar problemas com o estado do seu cluster.

      Os administradores de segurança do KeyControl podem ativar ou desativar este serviço em qualquer altura selecionando Definições > Vitals na interface Web do KeyControl. Para mais detalhes, consulte o artigo Configurar relatórios automáticos de sinais vitais.

    9. Clique em Guardar e continuar.

    10. Se estiver a usar o Internet Explorer, importe o certificado e adicione o endereço IP do KeyControl à sua lista de sites fidedignos. Verifique se a opção Transferências > Transferência de ficheiros está ativada em Opções de Internet > Segurança > Nível personalizado.

Configure nós adicionais e adicione-os ao cluster existente (opcional)

Depois de configurar o primeiro nó do KeyControl, pode adicionar nós adicionais de outras zonas ou regiões. Todas as informações de configuração do primeiro nó no cluster são copiadas para todos os nós que adicionar ao cluster.

Certifique-se de que tem o ID da instância da instância de VM do KeyControl, o endereço IP externo associado a essa instância de VM e o endereço IP privado de um dos nós do KeyControl existentes no seu cluster.

  1. Inicie sessão na conta htadmin na instância da VM do KeyControl.

      ssh htadmin@external-ip-address

  2. Quando lhe for pedida a palavra-passe do htadmin, introduza o ID da instância da instância do KeyControl que está a configurar.

  3. Introduza uma nova palavra-passe para a conta de administração do sistema KeyControl htadmin e clique em Enter. A palavra-passe tem de conter, pelo menos, 6 carateres e não pode conter espaços nem carateres que não sejam ASCII.

  4. Esta palavra-passe controla o acesso à consola do sistema HyTrust KeyControl que permite aos utilizadores realizar algumas tarefas de administração do KeyControl. Não permite que um utilizador do KeyControl aceda ao sistema operativo completo.

  5. No ecrã Configuração do sistema, selecione Adicionar nó KeyControl ao cluster existente e clique em Enter.

  6. Escreva o endereço IP interno de qualquer nó do KeyControl já existente no cluster e clique em Enter. O KeyControl inicia o processo de configuração inicial para o nó.

  7. Para encontrar o endereço IP interno do nó existente, inicie sessão na interface Web do KeyControl e clique em Cluster na barra de menu superior. Aceda ao separador Servidores e consulte o endereço IP na tabela.

  8. Se este nó fez anteriormente parte do cluster selecionado, o KeyControl apresenta um pedido a perguntar se quer limpar os dados existentes e voltar a juntar-se ao cluster. Selecione Sim e clique em Enter.

  9. Se este nó era membro de um cluster diferente ou foi originalmente configurado como o único nó no cluster, o KeyControl pede-lhe que confirme que todos os dados serão destruídos no nó atual se continuar. Selecione Sim e clique em Enter. Em seguida, clique novamente em Enter para confirmar a ação no comando seguinte.

  10. Se lhe for pedido, introduza uma palavra-passe de utilização única para este nó do KeyControl e clique em Enter. A palavra-passe tem de conter, pelo menos, 16 carateres alfanuméricos. Não pode conter espaços nem carateres especiais. Esta palavra-passe é uma string temporária usada para encriptar a comunicação inicial entre este nó e o cluster KeyControl existente. Quando autentica o novo nó com o cluster existente, introduz esta frase secreta na interface Web do KeyControl para que o nó existente possa desencriptar a comunicação e verificar se o pedido de associação é válido.

  11. Se o assistente conseguir estabelecer ligação ao nó KeyControl designado, apresenta o ecrã de autenticação, informando que o nó faz agora parte do cluster, mas tem de ser autenticado na interface Web do KeyControl antes de poder ser usado pelo sistema.

  12. Autentique o nó na interface Web do KeyControl. Quando o ecrã A juntar-se ao cluster KeyControl apresentar uma mensagem a indicar que um administrador de domínio tem de autenticar o novo nó, inicie sessão na interface Web do KeyControl nesse nó e autentique o novo servidor. Depois de o nó ser autenticado, o KeyControl continua o processo de configuração.

  13. Clique em Enter.

Autentique os novos nós do KeyControl

Quando adiciona um novo nó KeyControl a um cluster existente, tem de autenticar o novo nó a partir da interface Web KeyControl do nó especificado na consola do sistema do nó de junção. Por exemplo, se tiver três nós e juntar um quarto nó especificando o nó dois, tem de autenticar o novo nó a partir da interface Web do nó dois. Se tentar autenticar a partir de um nó diferente, o processo falha.

  1. Inicie sessão na interface Web do KeyControl com uma conta com privilégios de administrador do domínio.
  2. Na barra de menu, clique em Agrupar.
  3. Clique no separador Servidores.
  4. Selecione o nó que quer autenticar. A coluna Estado mostra Adesão pendente para todos os nós que ainda não foram autenticados.
  5. Clique em Ações > Autenticar.
  6. Introduza a palavra-passe de utilização única e clique em Autenticar. Esta frase de acesso tem de corresponder exatamente à frase de acesso que especificou quando instalou o nó KeyControl. A expressão secreta é sensível a maiúsculas e minúsculas.
  7. Clique em Atualizar e certifique-se de que o estado é Online.
  8. Se quiser acompanhar o progresso do processo de autenticação, inicie sessão na consola da VM do KeyControl no nó que está a autenticar como htadmin.

Configure regras de firewall entre a sua nuvem privada e a VPC do KeyControl

O vCenter comunica com o HyTrust KeyControl através do protocolo KMIP na porta KMIP. A predefinição é TCP 5696. A porta é configurável a partir da interface Web do KeyControl.

  1. Na Google Cloud consola, clique em Rede de VPC > Firewall.
  2. Clique em Criar regra de firewall.
  3. Introduza os detalhes da regra de firewall. Permitir que o endereço IP do vCenter comunique com o KeyControl na porta KMIP.

Configure o vCenter para usar o HyTrust KeyControl como um KMS externo

  1. Configure o servidor KMIP
  2. Crie um cluster KMS no vCenter
  3. Estabeleça uma ligação fidedigna entre o vCenter e o KeyControl através de um CSR gerado pelo vCenter