À propos du chiffrement vSAN

Le chiffrement des données vSAN au repos nécessite un système de gestion de clés (KMS). Par défaut, la gestion des clés pour le chiffrement des données vSAN dans Google Cloud VMware Engine utilise Cloud Key Management Service pour les nouveaux clouds privés, sans frais supplémentaire.

Vous pouvez déployer un service de gestion des clés externe pour le chiffrement des données vSAN au repos proposé par les fournisseurs compatibles suivants. Cette page explique le comportement du chiffrement vSAN et décrit comment utiliser un service de gestion des clés externe pour chiffrer les données de machine virtuelle au repos dans VMware Engine.

Si vous utilisez une solution KMS tierce, vous devez fournir les licences requises.

Chiffrement des données vSAN

Par défaut, VMware Engine active le chiffrement vSAN pour les données du cluster principal et des clusters que vous ajoutez ultérieurement au cloud privé. Le chiffrement des données vSAN au repos utilise une clé de chiffrement des données (DEK) stockée sur le disque physique local du cluster après le chiffrement. Les hôtes ESXi génèrent automatiquement la DEK, qui est une clé de chiffrement AES-256 conforme à la norme FIPS 140-2 de niveau 1. Une clé de chiffrement de clé (KEK) fournie par le Google-owned and managed key fournisseur chiffre la DEK.

Google vous déconseille vivement de désactiver le chiffrement vSAN des données au repos, car cela peut vous empêcher de respecter les conditions spécifiques du service Google Cloud VMware Engine. Lorsque vous désactivez le chiffrement vSAN des données au repos sur un cluster, la logique de surveillance VMware Engine déclenche une alerte. Pour vous aider à éviter le non-respect des conditions de service, cette alerte déclenche une action basée sur Cloud Customer Care pour réactiver le chiffrement vSAN sur le cluster concerné.

De même, si vous configurez un service de gestion des clés externe, Google vous déconseille vivement de supprimer la configuration du fournisseur de clé Cloud Key Management Service dans vCenter Server.

Fournisseur de clé par défaut

VMware Engine configure le serveur vCenter dans les nouveaux clouds privés pour se connecter à un Google-owned and managed key fournisseur. VMware Engine crée une instance du fournisseur de clé par région, et le fournisseur de clé utilise Cloud KMS pour chiffrer la KEK. VMware Engine gère entièrement le fournisseur de clé et le configure pour qu'il soit disponibilité élevée dans toutes les régions.

Le Google-owned and managed key fournisseur complète le fournisseur de clé intégré dans vCenter Server (dans vSphere 7.0 Update 2 et versions ultérieures) et constitue l'approche recommandée pour les environnements de production. Le fournisseur de clé intégré s'exécute en tant que processus dans vCenter Server, qui s'exécute sur un cluster vSphere dans VMware Engine. VMware déconseille d'utiliser le fournisseur de clé intégré pour chiffrer le cluster qui héberge vCenter Server. Utilisez plutôt le fournisseur de clés par défaut géré par Google ou un service de gestion des clés externe.

Rotation des clés

Lorsque vous utilisez le fournisseur de clé par défaut, vous êtes responsable de la rotation de la KEK. Pour effectuer une rotation de la KEK dans vSphere, consultez la documentation de VMware Générer de nouvelles clés de chiffrement des données au repos.

Pour découvrir d'autres méthodes de rotation de clé dans vSphere, consultez les ressources VMware suivantes :

• API vSAN Management

Exigence pour les machines virtuelles chiffrées

Vous pouvez gérer les clés de chiffrement des VM à l'aide du fournisseur par défaut Google-owned and managed key ou de Cloud Key Management Service.

Si vous activez le chiffrement de VM (ou vTPM) pour des VM de votre cloud privé et que vous utilisez un service de gestion des clés pour gérer les clés de chiffrement, vous devez rechiffrer (changement de serrure superficiel) chaque VM après avoir effectué une rotation de votre clé de service de gestion des clés.

Un rechiffrage superficiel ne remplace que la clé de chiffrement de clé (KEK) et ne modifie pas la clé de chiffrement des données (DEK) des VM. En règle générale, vous déclenchez un rechiffrage superficiel à l'aide de l'action Rechiffrer dans le client vSphere.

Au cours de cette opération, le système rechiffre la DEK existante à l'aide d'une nouvelle KEK. Ce processus est rapide, car il n'écrit pas de données réelles sur le disque. Il ne fait que mettre à jour le petit bundle de clés contenant la DEK chiffrée. Pour en savoir plus, consultez la documentation VMware suivante :

• Générer de nouvelles clés de chiffrement
• Rechiffrement de machine virtuelle

Risques liés au non-rechiffrage des VM chiffrées

Si vous ne rechiffrez pas les VM chiffrées avant de supprimer l'ancienne version de la clé KMS (celle qui a fait l'objet d'une rotation), vous risquez de rencontrer les problèmes suivants :

• Échec des vMotion : les hôtes ESXi ne peuvent pas déchiffrer les DEK de VM lors d'une vMotion si vous redémarrez les hôtes de destination ou si vous les ajoutez au cluster après la rotation de la clé KMS, mais avant d'effectuer le rechiffrage de la VM.
• Échecs de mise sous tension : si un hôte redémarre ou efface son cache de clés local, il ne peut pas récupérer les clés du KMS. Si vous avez supprimé les clés requises du KMS, l'hôte ne peut pas déchiffrer la DEK, ce qui empêche la mise sous tension des VM chiffrées.

Étapes à suivre pour effectuer une opération de rechiffrage sur les VM de charge de travail

1. Dans le client vSphere, cliquez avec le bouton droit sur la VM.
2. Sélectionnez VM Policies > Re-encrypt (Stratégies de VM > Rechiffrer).
3. Confirmez la demande de rechiffrement dans la boîte de dialogue qui s'affiche.
4. Attendez la fin de la tâche.
5. Vérifiez le rechiffrage en migrant la VM vers un hôte que vous avez redémarré ou ajouté au cluster après la rotation des clés KMS.

Fournisseurs acceptés

Pour changer votre service de gestion des clés actif, vous pouvez sélectionner une solution de service de gestion des clés tierce conforme à la norme KMIP 1.1 et certifiée par VMware pour vSAN. Les fournisseurs suivants ont validé leurs solutions KMS avec VMware Engine et publié des guides de déploiement et des déclarations d'assistance :

• Gestionnaire CipherTrust de Thales
• HyTrust KeyControl
• Fortanix Self Defending KMS

Pour obtenir des instructions de configuration, consultez les documents suivants :

• Configurer le chiffrement vSAN à l'aide de Fortanix KMS
• Configurer le chiffrement VSAN à l'aide de CipherTrust Manager
• Configurer le chiffrement VSAN à l'aide de HyTrust KeyControl

Utiliser un fournisseur compatible

Chaque déploiement d'un service de gestion des clés externe nécessite les mêmes étapes de base :

• Créez un Google Cloud projet ou utilisez-en un existant.
• Créez un réseau de cloud privé virtuel (VPC) ou choisissez un réseau VPC existant.
• Connectez le réseau VPC sélectionné au réseau VMware Engine.

Déployez ensuite le service de gestion des clés dans une instance de VM Compute Engine :

1. Configurez les autorisations IAM requises pour déployer des instances de VM Compute Engine.
2. Déployez le service de gestion des clés dans Compute Engine.
3. Établissez des relations d'approbation entre vCenter et le service de gestion des clés.
4. Activer le chiffrement des données vSAN.

Les sections suivantes décrivent brièvement ce processus d'utilisation de l'un des fournisseurs compatibles.

Configurer les autorisations IAM

Vous devez disposer des autorisations suffisantes pour déployer des instances de VM Compute Engine dans un Google Cloud projet et un réseau VPC donné, connecter votre réseau VPC à VMware Engine et configurer des règles de pare-feu pour le réseau VPC.

Les propriétaires de projet et les entités principales IAM dotées du rôle Administrateur réseau peuvent créer des plages d'adresses IP allouées et gérer les connexions privées. Pour en savoir plus sur les rôles, consultez la page Rôles IAM Compute Engine.

Déployer le système de gestion des clés dans Compute Engine

Certaines solutions KMS sont disponibles sous forme de dispositifs dans Google Cloud Marketplace. Vous pouvez déployer ces dispositifs en important le fichier OVA directement dans votre réseau VPC ou votre Google Cloud projet.

Pour un KMS basé sur logiciel, déployez une instance de VM Compute Engine en utilisant la configuration (nombre de processeurs virtuels, vMem et disques) recommandée par le fournisseur de KMS. Installez le logiciel KMS sur le système d'exploitation invité. Créez l'instance de VM Compute Engine dans un réseau VPC connecté au réseau VMware Engine.

Établir des relations d'approbation entre vCenter et le service de gestion des clés

Après avoir déployé le KMS dans Compute Engine, configurez VMware Engine vCenter pour récupérer les clés de chiffrement depuis ce service.

Pour récupérer les clés de chiffrement, établissez une relation d'approbation entre vCenter et votre KMS en procédant comme suit :

1. Générez un certificat dans vCenter.
2. Signez le certificat à l'aide d'un jeton ou d'une clé générés par le KMS.
3. Importez le certificat signé dans vCenter.
4. Vérifiez l'état de la connectivité sur la page de configuration de vCenter Server.

Activer le chiffrement des données vSAN.

Dans vCenter, l'utilisateur CloudOwner par défaut dispose de droits suffisants pour activer et gérer le chiffrement des données vSAN.

Pour passer d'un KMS externe au fournisseur par défaut Google-owned and managed key suivez la procédure permettant de modifier le fournisseur de clés inclut dans la documentation de VMware sur la configuration et la gestion d'un fournisseur de clé standard Configuring and Managing a Standard Key Provider.

Étape suivante

• Apprenez-en plus sur les vérifications d'état de la connexion KMS vSAN.
• Apprenez-en plus sur le chiffrement vSAN 7.0.