vSAN-Verschlüsselung

Für die Verschlüsselung ruhender vSAN-Daten ist ein Schlüsselverwaltungssystem (KMS) erforderlich. Standardmäßig verwendet die Schlüsselverwaltung für die vSAN-Datenverschlüsselung in Google Cloud VMware Engine Cloud Key Management Service für neue private Clouds ohne zusätzliche Kosten.

Sie können einen externen KMS zur Verschlüsselung ruhender vSAN-Daten von den folgenden unterstützten Anbietern bereitstellen. Auf dieser Seite wird das Verhalten der vSAN-Verschlüsselung erläutert und es wird zusammengefasst, wie ein externer KMS zum Verschlüsseln ruhender Daten virtueller Maschinen in VMware Engine verwendet wird.

Wenn Sie eine KMS-Lösung eines Drittanbieters verwenden, müssen Sie die erforderlichen Lizenzen bereitstellen.

vSAN-Datenverschlüsselung

Standardmäßig aktiviert VMware Engine die vSAN-Verschlüsselung für Daten im primären Cluster und in Clustern, die Sie anschließend der privaten Cloud hinzufügen. Zur Verschlüsselung ruhender vSAN-Daten wird ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verwendet, der nach der Verschlüsselung auf dem lokalen physischen Laufwerk des Clusters gespeichert wird. ESXi-Hosts generieren automatisch den DEK, einen FIPS 140-2 Level 1-konformen AES-256-Bit-Verschlüsselungsschlüssel. Ein vom Google-owned and managed key Anbieter bereitgestellter Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verschlüsselt den DEK.

Google rät dringend davon ab, die vSAN-Verschlüsselung ruhender Daten zu deaktivieren, da Sie sonst gegen die dienstspezifischen Nutzungsbedingungen für Google Cloud VMware Engine verstoßen könnten. Wenn Sie die vSAN-Verschlüsselung ruhender Daten in einem Cluster deaktivieren, löst die VMware Engine-Monitoring-Logik eine Warnung aus. Damit Sie nicht gegen die Dienstbedingungen verstoßen, löst diese Benachrichtigung eine von Cloud Customer Care gesteuerte Aktion aus, um die vSAN-Verschlüsselung im betroffenen Cluster wieder zu aktivieren.

Wenn Sie einen externen KMS konfigurieren, rät Google dringend davon ab, die Schlüsselanbieterkonfiguration von Cloud Key Management Service in vCenter Server zu löschen.

Standardschlüsselanbieter

VMware Engine konfiguriert vCenter Server in neuen privaten Clouds für die Verbindung mit einem Google-owned and managed key Anbieter. VMware Engine erstellt eine Instanz des Schlüsselanbieters pro Region. Der Schlüsselanbieter verwendet Cloud KMS, um den KEK zu verschlüsseln. VMware Engine verwaltet den Schlüsselanbieter vollständig und konfiguriert ihn so, dass er in allen Regionen hochverfügbar ist.

Der Google-owned and managed key Anbieter ergänzt den integrierten Schlüsselanbieter in vCenter Server (in vSphere 7.0 Update 2 und höher) und ist der empfohlene Ansatz für Produktionsumgebungen. Der integrierte Schlüsselanbieter wird als Prozess auf dem vCenter-Server ausgeführt, der in einem vSphere-Cluster in VMware Engine ausgeführt wird. VMware rät davon ab, den integrierten Schlüsselanbieter zum Verschlüsseln des Clusters zu verwenden, der vCenter Server hostet. Verwenden Sie stattdessen den von Google verwalteten Standardschlüsselanbieter oder einen externen KMS.

Schlüsselrotation

Wenn Sie den Standardschlüsselanbieter verwenden, sind Sie für die Rotation des KEK verantwortlich. Informationen zum Rotieren des KEK in vSphere finden Sie in der VMware-Dokumentation unter Neue Verschlüsselungsschlüssel für ruhende Daten generieren.

Weitere Möglichkeiten zum Rotieren eines Schlüssels in vSphere finden Sie in den folgenden VMware-Ressourcen:

• vSAN Management API

Anforderung für verschlüsselte virtuelle Maschinen

Sie können Verschlüsselungsschlüssel für VMs mit dem Standardschlüssel Google-owned and managed key anbieter oder Cloud Key Management Service verwalten.

Wenn Sie die VM-Verschlüsselung (oder vTPM) für VMs in Ihrer privaten Cloud aktivieren und einen KMS zum Verwalten von Verschlüsselungsschlüsseln verwenden, müssen Sie jede VM neu verschlüsseln (flacher Schlüsselaustausch), nachdem Sie Ihren KMS-Schlüssel rotiert haben.

Bei einem flachen Schlüsselaustausch wird nur der Schlüsselverschlüsselungsschlüssel (KEK) ersetzt. Der Datenverschlüsselungsschlüssel (DEK) der VMs wird nicht geändert. Normalerweise lösen Sie einen flachen Schlüsselaustausch mit der Aktion Neu verschlüsseln im vSphere Client aus.

Bei diesem Vorgang wird der vorhandene DEK mit einem neuen KEK neu verpackt (neu verschlüsselt). Dieser Vorgang ist schnell, da keine tatsächlichen Daten auf dem Laufwerk neu geschrieben werden. Stattdessen wird nur das kleine Schlüsselpaket aktualisiert, das den verschlüsselten DEK enthält. Weitere Informationen finden Sie in der folgenden VMware-Dokumentation:

• Neue Verschlüsselungsschlüssel generieren
• VM neu verschlüsseln

Risiken, wenn verschlüsselte VMs nicht neu verschlüsselt werden

Wenn Sie verschlüsselte VMs nicht neu verschlüsseln, bevor Sie die rotierte (alte) KMS-Schlüsselversion löschen, kann dies zu folgenden Problemen führen:

• Fehler bei vMotion: ESXi-Hosts können VM-DEKs während vMotion nicht entschlüsseln, wenn Sie die Zielhosts neu starten oder sie dem Cluster nach der KMS-Schlüsselrotation, aber vor dem VM-Schlüsselaustausch hinzufügen.
• Fehler beim Einschalten: Wenn ein Host neu gestartet wird oder seinen lokalen Schlüsselcache leert, kann er keine Schlüssel vom KMS abrufen. Wenn Sie die erforderlichen Schlüssel aus dem KMS gelöscht haben, kann der Host den DEK nicht entschlüsseln. Dadurch können verschlüsselte VMs nicht eingeschaltet werden.

Schritte zum Ausführen eines Schlüsselaustauschs für Arbeitslast-VMs

1. Klicken Sie im vSphere Client mit der rechten Maustaste auf die VM.
2. Wählen Sie VM-Richtlinien > Neu verschlüsseln aus.
3. Bestätigen Sie die Neuverschlüsselungsanfrage im angezeigten Dialogfeld.
4. Warten Sie, bis die Aufgabe abgeschlossen ist.
5. Prüfen Sie den Schlüsselaustausch, indem Sie die VM zu einem Host migrieren, den Sie nach der KMS-Schlüsselrotation neu gestartet oder dem Cluster hinzugefügt haben.

Zugelassene Anbieter

Für den Wechsel des aktiven KMS können Sie eine KMS-Lösung von einem Drittanbieter auswählen, die KMIP 1.1-konform ist und von VMware for vSAN zertifiziert wurde. Die KMS-Lösungen folgender Anbieter sind für VMware Engine validiert und es stehen Bereitstellungsanleitungen und Supportanweisungen für sie zur Verfügung:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Eine Konfigurationsanleitung finden Sie in den folgenden Dokumenten:

• VSAN-Verschlüsselung mit Fortanix KMS konfigurieren
• VSAN-Verschlüsselung mit CipherTrust Manager konfigurieren
• VSAN-Verschlüsselung mit HyTrust KeyControl konfigurieren

Unterstützten Anbieter verwenden

Für die Bereitstellung eines externen KMS sind dieselben grundlegenden Schritte erforderlich:

• Erstellen Sie ein Google Cloud Projekt oder verwenden Sie ein vorhandenes Projekt.
• Erstellen Sie eine neue Virtual Private Cloud (VPC) oder wählen Sie ein vorhandenes VPC-Netzwerk aus.
• Verbinden Sie das ausgewählte VPC-Netzwerk mit dem VMware Engine-Netzwerk.

Stellen Sie dann den KMS in einer Compute Engine-VM-Instanz bereit:

1. Richten Sie die erforderlichen IAM-Berechtigungen ein, um Compute Engine-VM-Instanzen bereitzustellen.
2. Stellen Sie den KMS in Compute Engine bereit.
3. Vertrauensstellung zwischen vCenter und dem KMS herstellen
4. Aktivieren Sie die vSAN-Datenverschlüsselung.

In den folgenden Abschnitten wird dieser Vorgang einen der unterstützten Anbieter zu verwenden kurz beschrieben.

IAM-Berechtigungen einrichten

Sie benötigen ausreichende Berechtigungen, um VM-Instanzen von Compute Engine in einem bestimmten Google Cloud Projekt und einem VPC-Netzwerk bereitzustellen, Ihr VPC-Netzwerk mit VMware Engine zu verbinden und Firewallregeln für das VPC-Netzwerk zu konfigurieren.

Projektinhaber und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten. Weitere Informationen zu Rollen finden Sie unter Compute Engine-IAM-Rollen.

Schlüsselverwaltungssystem in Compute Engine bereitstellen

Einige KMS-Lösungen sind in einem Appliance-Formfaktor über Google Cloud Marketplace verfügbar. Sie können diese Appliances bereitstellen, indem Sie die OVA direkt in Ihr VPC-Netzwerk oder Google Cloud Projekt importieren.

Stellen Sie für einen softwarebasierten KMS eine Compute Engine-VM-Instanz bereit. Verwenden Sie dabei die vom KMS-Anbieter empfohlene Konfiguration (vCPU-Anzahl, vMem und Laufwerke). Installieren Sie die KMS-Software im Gastbetriebssystem. Erstellen Sie die Compute Engine-VM-Instanz in einem VPC-Netzwerk, das mit dem VMware Engine-Netzwerk verbunden ist.

Vertrauensstellung zwischen vCenter und dem KMS herstellen

Nach der Bereitstellung von KMS in Compute Engine konfigurieren Sie Ihr VMware Engine vCenter so, dass die Verschlüsselungsschlüssel aus dem KMS abgerufen werden.

So stellen Sie eine Vertrauensstellung zwischen vCenter und KMS her, um Verschlüsselungsschlüssel abzurufen:

1. Generieren Sie ein Zertifikat in vCenter.
2. Signieren Sie das Zertifikat mit einem vom KMS generierten Token oder Schlüssel.
3. Laden Sie das signierte Zertifikat in vCenter hoch.
4. Prüfen Sie den Verbindungsstatus auf der Konfigurationsseite des vCenter-Servers.

vSAN-Datenverschlüsselung aktivieren

In vCenter verfügt der Standardnutzer CloudOwner über ausreichende Berechtigungen, um die vSAN-Datenverschlüsselung zu aktivieren und zu verwalten.

Wenn Sie von einem externen KMS zum Standard Google-owned and managed key anbieter wechseln möchten, führen Sie die Schritte zum Ändern des Schlüsselanbieters aus der VMware-Dokumentation Standardschlüsselanbieter konfigurieren und verwalten aus.

Nächste Schritte

• Weitere Informationen zu Systemdiagnosen für vSAN KMS-Verbindungen.
• Weitere Informationen zur vSAN 7.0-Verschlüsselung