Informazioni sulla crittografia vSAN

La crittografia dei dati vSAN at-rest richiede un sistema di gestione delle chiavi (KMS). Per impostazione predefinita, la gestione delle chiavi per la crittografia dei dati vSAN in Google Cloud VMware Engine utilizza Cloud Key Management Service per i nuovi cloud privati senza costi aggiuntivi.

Puoi eseguire il deployment di un KMS esterno per la crittografia dei dati vSAN at-rest dai seguenti fornitori supportati. Questa pagina spiega il comportamento della crittografia vSAN e riassume come utilizzare un KMS esterno per criptare i dati delle macchine virtuali at-rest in VMware Engine.

Se utilizzi una soluzione KMS di terze parti, devi fornire le licenze richieste.

Crittografia dei dati vSAN

Per impostazione predefinita, VMware Engine abilita la crittografia vSAN per i dati nel cluster principale e nei cluster che aggiungi successivamente al cloud privato. La crittografia dei dati vSAN at-rest utilizza una chiave di crittografia dei dati (DEK) archiviata sul disco fisico locale del cluster dopo la crittografia. Gli host ESXi generano automaticamente la DEK, che è una chiave di crittografia AES-256 bit conforme a FIPS 140-2 di livello 1. Una chiave di crittografia della chiave (KEK) fornita dal Google-owned and managed key provider cripta la DEK.

Google consiglia vivamente di non disabilitare la crittografia vSAN dei dati at rest, in quanto ciò potrebbe violare i termini specifici del servizio per Google Cloud VMware Engine. Se disabiliti la crittografia vSAN dei dati at-rest su un cluster, la logica di monitoraggio di VMware Engine genera un avviso. Per evitare di violare i termini di servizio, questo avviso attiva un'azione basata su assistenza clienti Google Cloud per riabilitare la crittografia vSAN sul cluster interessato.

Allo stesso modo, se configuri un KMS esterno, Google consiglia vivamente di non eliminare la configurazione del provider di chiavi di Cloud Key Management Service in vCenter Server.

Provider di chiavi predefinito

VMware Engine configura vCenter Server nei nuovi cloud privati per connettersi a un Google-owned and managed key provider. VMware Engine crea un'istanza del provider di chiavi per regione e il provider di chiavi utilizza Cloud KMS per criptare la KEK. VMware Engine gestisce completamente il provider di chiavi e lo configura in modo che sia a elevata disponibilità in tutte le regioni.

Il Google-owned and managed key provider integra il provider di chiavi integrato in vCenter Server (in vSphere 7.0 Update 2 e versioni successive) ed è l'approccio consigliato per gli ambienti di produzione. Il provider di chiavi integrato viene eseguito come processo all'interno di vCenter Server, che viene eseguito su un cluster vSphere in VMware Engine. VMware sconsiglia di utilizzare il provider di chiavi integrato per criptare il cluster che ospita vCenter Server. Utilizza invece il provider di chiavi predefinito gestito da Google o un KMS esterno.

Rotazione della chiave

Quando utilizzi il provider di chiavi predefinito, sei responsabile della rotazione della KEK. Per ruotare la KEK in vSphere, consulta la documentazione di VMware Generare nuove chiavi di crittografia dei dati at-rest.

Per altri modi per ruotare una chiave in vSphere, consulta le seguenti risorse VMware:

• API di gestione vSAN

Requisito per le macchine virtuali criptate

Puoi gestire le chiavi di crittografia per le VM utilizzando il provider predefinito Google-owned and managed key o Cloud Key Management Service.

Se abiliti la crittografia VM (o vTPM) per qualsiasi VM nel tuo cloud privato e utilizzi un KMS per gestire le chiavi di crittografia, devi ricriptare (sostituzione chiavi superficiale) ogni VM dopo aver ruotato la chiave KMS.

Una sostituzione chiavi superficiale sostituisce solo la chiave di crittografia della chiave (KEK) e non modifica la chiave di crittografia dei dati (DEK) delle VM. In genere, si attiva una sostituzione chiavi superficiale utilizzando l'azione Ricripta in vSphere Client.

Durante questa operazione, il sistema esegue nuovamente il wrapping (ricripta) della DEK esistente utilizzando una nuova KEK. Questo processo è rapido perché non riscrive i dati effettivi sul disco, ma aggiorna solo il piccolo pacchetto di chiavi che contiene la DEK criptata. Per ulteriori informazioni, consulta la seguente documentazione di VMware:

• Generare nuove chiavi di crittografia
• Ricrittografia della macchina virtuale

Rischi di non eseguire la sostituzione chiavi delle VM criptate

Se non esegui la sostituzione chiavi delle VM criptate prima di eliminare la versione della chiave KMS ruotata (precedente), possono verificarsi i seguenti problemi:

• vMotion non riusciti: gli host ESXi non possono decriptare le DEK delle VM durante vMotion se riavvii gli host di destinazione o li aggiungi al cluster dopo la rotazione della chiave KMS, ma prima di eseguire la sostituzione chiavi della VM.
• Errori di accensione: se un host si riavvia o cancella la cache delle chiavi locali, non può recuperare le chiavi dal KMS. Se hai eliminato le chiavi richieste dal KMS, l'host non può decriptare la DEK, il che impedisce l'accensione delle VM criptate.

Passaggi per eseguire un'operazione di sostituzione chiavi sulle VM di workload

1. In vSphere Client, fai clic con il tasto destro del mouse sulla VM.
2. Seleziona Criteri VM > Ricripta.
3. Conferma la richiesta di ricrittografia nella finestra di dialogo visualizzata.
4. Attendi il completamento dell'attività.
5. Verifica la sostituzione chiavi eseguendo la migrazione della VM a un host che hai riavviato o aggiunto al cluster dopo la rotazione della chiave KMS.

Fornitori supportati

Per cambiare il KMS attivo, puoi selezionare una soluzione KMS di terze parti conforme a KMIP 1.1 e certificata da VMware per vSAN. I seguenti fornitori hanno convalidato le loro soluzioni KMS con VMware Engine e hanno pubblicato guide al deployment e dichiarazioni di supporto:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Per le istruzioni di configurazione, consulta i seguenti documenti:

• Configurazione della crittografia vSAN mediante Fortanix KMS
• Configurazione della crittografia vSAN mediante CipherTrust Manager
• Configurazione della crittografia vSAN mediante HyTrust KeyControl

Utilizzare un fornitore supportato

Ogni deployment di un KMS esterno richiede gli stessi passaggi di base:

• Crea un Google Cloud progetto o utilizzane uno esistente.
• Crea una nuova rete Virtual Private Cloud (VPC) o scegli una rete VPC esistente.
• Collega la rete VPC selezionata alla rete VMware Engine.

Quindi, esegui il deployment del KMS in un'istanza VM di Compute Engine:

1. Configura le autorizzazioni IAM richieste per eseguire il deployment delle istanze VM di Compute Engine.
2. Esegui il deployment del KMS in Compute Engine.
3. Stabilisci l'attendibilità tra vCenter e il KMS.
4. Abilita la crittografia dei dati vSAN.

Le sezioni seguenti descrivono brevemente questa procedura di utilizzo di uno dei fornitori supportati.

Configurare le autorizzazioni IAM

Devi disporre di autorizzazioni sufficienti per eseguire il deployment delle istanze VM di Compute Engine in un dato Google Cloud progetto e rete VPC, collegare la rete VPC a VMware Engine e configurare le regole firewall per la rete VPC.

I proprietari dei progetti e le entità IAM con il ruolo Network Admin possono creare intervalli IP allocati e gestire le connessioni private. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM di Compute Engine.

Eseguire il deployment del sistema di gestione delle chiavi in Compute Engine

Alcune soluzioni KMS sono disponibili in un fattore di forma appliance in Google Cloud Marketplace. Puoi eseguire il deployment di queste appliance importando l'OVA direttamente nella rete VPC o nel Google Cloud progetto.

Per un KMS basato su software, esegui il deployment di un'istanza VM di Compute Engine utilizzando la configurazione (numero di vCPU, vMem e dischi) consigliata dal fornitore del KMS. Installa il software KMS nel sistema operativo guest. Crea l'istanza VM di Compute Engine in una rete VPC connessa alla rete VMware Engine.

Stabilire l'attendibilità tra vCenter e il KMS

Dopo aver eseguito il deployment del KMS in Compute Engine, configura VMware Engine vCenter per recuperare le chiavi di crittografia dal KMS.

Per recuperare le chiavi di crittografia, stabilisci l'attendibilità tra vCenter e il KMS procedendo nel seguente modo:

1. Genera un certificato in vCenter.
2. Firma il certificato utilizzando un token o una chiave generata dal KMS.
3. Carica il certificato firmato in vCenter.
4. Verifica lo stato della connettività nella pagina di configurazione di vCenter Server.

Abilitare la crittografia dei dati vSAN

In vCenter, l'utente CloudOwner predefinito dispone di privilegi sufficienti per abilitare e gestire la crittografia dei dati vSAN.

Per passare da un KMS esterno al provider Google-owned and managed key predefinito, segui i passaggi per modificare il provider di chiavi forniti nella documentazione di VMware Configurazione e gestione di un provider di chiavi standard.

Passaggi successivi

• Scopri di più sui controlli dello stato della connessione KMS vSAN.
• Scopri di più sulla crittografia vSAN 7.0.