vSAN-Verschlüsselung
Für die Verschlüsselung inaktiver vSAN-Daten ist ein Schlüsselverwaltungssystem (KMS) erforderlich. Google Cloud VMware Engine bietet mehrere Optionen für die Schlüsselverwaltung für die vSAN-Datenverschlüsselung:
- Google-owned and Google-managed encryption keys (GMEK): Standardmäßig wird für die vSAN-Datenverschlüsselung Google-owned and Google-managed encryption keys in Cloud Key Management Service für private Clouds verwendet, ohne zusätzliche Kosten.
- Kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK): Sie können CMEK im Cloud Key Management Service verwenden, um Verschlüsselungsschlüssel für einzelne private Clouds zu verwalten.
- Externer KMS:Sie können einen externen KMS zur Verschlüsselung inaktiver vSAN-Daten von einem der folgenden unterstützten Anbieter bereitstellen.
Schlüsselverwaltungslösung auswählen
Die folgende Tabelle kann Ihnen bei der Auswahl einer Schlüsselverwaltungslösung helfen:
| Funktion | GMEK (Standard) | CMEK | Externer KMS |
|---|---|---|---|
| Verantwortung für die Schlüsselverwaltung | Kunde | Kunde | |
| Schlüsselspeicherung | Cloud Key Management Service (Google-Projekt) | Cloud Key Management Service (Kundenprojekt) | Externer KMS |
| Isolationsebene | Regionaler Dienst | Individuelle private Cloud | Individuelle private Cloud |
| Automatisierte Rotation | Automatisiert durch Google | Automatisch von Google bei der KMS-Rotation | Vom Kunden verwaltet |
| Kosten für zusätzliche Lizenzen | Keine | Es fallenGoogle Cloud KMS-Gebühren an. | KMS-Lizenzierung durch Drittanbieter |
Auf dieser Seite wird das Verhalten der vSAN-Verschlüsselung erläutert und es wird zusammengefasst, wie ein externer KMS zum Verschlüsseln ruhender VM-Daten in VMware Engine verwendet wird.
vSAN-Datenverschlüsselung
Standardmäßig aktiviert VMware Engine die vSAN-Verschlüsselung für Daten im primären Cluster und in Clustern, die anschließend der privaten Cloud hinzugefügt werden. Zur Verschlüsselung ruhender vSAN-Daten wird ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verwendet, der nach der Verschlüsselung auf dem lokalen physischen Laufwerk des Clusters gespeichert wird. Der DEK ist ein FIPS 140-2 Level 1-konformer AES-256-Bit-Verschlüsselungsschlüssel, der automatisch von ESXi-Hosts generiert wird. Das System verwendet einen Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK), der vom Cloud Key Management Service oder einem externen KMS bereitgestellt wird, um den DEK zu verschlüsseln.
Es wird dringend davon abgeraten, die vSAN-Verschlüsselung ruhender Daten zu deaktivieren, da Sie sonst gegen die dienstspezifischen Nutzungsbedingungen für Google Cloud VMware Engine verstoßen könnten. Wenn Sie die vSAN-Verschlüsselung ruhender Daten in einem Cluster deaktivieren, löst die VMware Engine-Monitoring-Logik eine Warnung aus. Damit Sie nicht gegen die Dienstbedingungen verstoßen, löst diese Benachrichtigung eine von Cloud Customer Care gesteuerte Aktion aus, um die vSAN-Verschlüsselung im betroffenen Cluster wieder zu aktivieren.
Wenn Sie einen externen KMS konfigurieren, wird dringend davon abgeraten, die Schlüsselanbieterkonfiguration von Cloud Key Management Service in vCenter Server zu löschen.
Google-owned and Google-managed encryption keys (GMEK)
Standardmäßig verwenden private Clouds Google-owned and Google-managed encryption keys (GMEK). Mit GMEK konfiguriert VMware Engine vCenter Server für die Verbindung mit einem GMEK-Anbieter. VMware Engine erstellt eine Instanz des Schlüsselanbieters pro Region und der Schlüsselanbieter verwendet Cloud KMS für die Verschlüsselung des KEK. VMware Engine verwaltet den Schlüsselanbieter vollständig und konfiguriert ihn so, dass er in allen Regionen hochverfügbar ist.
Der GMEK-Anbieter ergänzt den integrierten Schlüsselanbieter in vCenter Server (in vSphere 7.0 Update 2 und höher) und ist der empfohlene Ansatz für Produktionsumgebungen. Der integrierte Schlüsselanbieter wird als Prozess auf dem vCenter-Server ausgeführt, der in einem vSphere-Cluster in VMware Engine ausgeführt wird. VMware rät davon ab, den integrierten Schlüsselanbieter zum Verschlüsseln des Clusters zu verwenden, der vCenter Server hostet. Verwenden Sie stattdessen GMEK, CMEK oder einen externen KMS.
Automatische Schlüsselrotation für GMEK
Google Cloud VMware Engine löst regelmäßig eine automatische Schlüsselrotation von GMEK für alle Cluster aus. Dies ist eine Wartungsaufgabe im Hintergrund, für die kein Nutzereingriff erforderlich ist und die sich nicht auf die Clusterverfügbarkeit auswirkt.
Kundenverwaltete Verschlüsselungsschlüssel (CMEK, Customer-Managed Encryption Keys)
Google Cloud VMware Engine unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für einzelne private Clouds mit Cloud Key Management Service. Sie können jede private Cloud mit einem separaten CMEK-Schlüssel konfigurieren, anstatt einen einzelnen Schlüssel für das gesamte Projekt zu verwenden. Das bietet folgende Vorteile:
- Bessere Isolation:Wenn ein Schlüssel für eine private Cloud manipuliert oder rotiert wird, hat das keine Auswirkungen auf andere private Clouds.
- Granulare Compliance:Weisen Sie Schlüssel basierend auf den spezifischen Anforderungen an den Datenstandort oder die Compliance der Arbeitslasten in jeder privaten Cloud zu.
CMEK-Verschlüsselung verwalten
Sie können kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) für Ihre private Cloud über die Google Cloud Console und die VMware Engine API konfigurieren und verwalten. Wenn Sie CMEK verwenden möchten, müssen Sie Ihrem VMware Engine-Dienstkonto (service-<var>PROJECT_NUMBER</var>@gcp-sa-vmwareengine.iam.gserviceaccount.com) für den jeweiligen Cloud KMS-Schlüssel, den Sie verwenden möchten, die IAM-Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter zuweisen. Mit dieser Berechtigung kann VMware Engine den Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) ver- und entschlüsseln, mit dem Ihre vSAN-Daten mit dem ausgewählten Cloud KMS-Schlüssel in Ihrem Projekt geschützt werden.
Schlüsselberechtigungen zuweisen
Bevor Sie CMEK aktivieren können, müssen Sie die erforderlichen Berechtigungen zuweisen:
KMS-Ressource identifizieren:Rufen Sie in derGoogle Cloud -Konsole die Seite Schlüsselverwaltung auf und suchen Sie nach dem Cloud KMS-Schlüssel, der für den Datenschutz verwendet werden soll.
IAM-Rollen einrichten:Weisen Sie dem VMware Engine-Dienstkonto (
service-<var>PROJECT_NUMBER</var>@gcp-sa-vmwareengine.iam.gserviceaccount.com) die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter direkt im Cloud KMS-Schlüssel-Dashboard zu.
Google Cloud Anleitung zur Verwaltung von CMEK in der Konsole und über die VMware Engine API:
Google Cloud Console
So konfigurieren Sie kundenverwaltete Verschlüsselungsschlüssel (CMEK) über die Google Cloud -Konsole:
Private Cloud mit CMEK erstellen
So erstellen Sie eine private Cloud mit CMEK über die Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Private Clouds auf.
Klicken Sie auf Erstellen.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) aus.
Geben Sie den vollständigen Ressourcennamen Ihres Cloud KMS-Schlüssels ein.
Klicken Sie auf Erstellen oder Speichern.
CMEK-Schlüssel für eine vorhandene private Cloud aktualisieren
So aktualisieren Sie den CMEK-Schlüssel für eine vorhandene private Cloud mit der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Private Clouds auf.
Wählen Sie die vorhandene private Cloud aus, die Sie aktualisieren möchten.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) aus.
Geben Sie den vollständigen Ressourcennamen Ihres Cloud KMS-Schlüssels ein.
Klicken Sie auf Erstellen oder Speichern.
Verschlüsselung für eine vorhandene private Cloud auf GMEK umstellen
So aktualisieren Sie den Verschlüsselungstyp für eine vorhandene private Cloud auf GMEK mit der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Private Clouds auf.
Wählen Sie die vorhandene private Cloud aus, die Sie aktualisieren möchten.
Wählen Sie im Abschnitt Verschlüsselung die Option Google-owned and Google-managed encryption keys (GMEK) aus.
Klicken Sie auf Erstellen oder Speichern.
VMware Engine API
Ersetzen Sie zuerst die folgenden Variablen durch die Werte Ihrer Umgebung, um die API-Befehle zu verwenden:
PROJECT_ID: Ihre Google Cloud Projekt-IDLOCATION: Die VMware Engine-Region, z. B.us-east4.PC_ID: Die ID für Ihre neue private Cloud.NETWORK_ID: die ID Ihres VPC-Netzwerk.CIDR_RANGE: Der CIDR-Bereich für die Verwaltung der privaten Cloud.CLUSTER_ID: Die ID für den Verwaltungscluster.NODE_TYPE: Der Knotentyp, z. B.standard-72.COUNT: Die Anzahl der Knoten im Cluster.RING: Der Name des Cloud KMS-Schlüsselbunds.KEY: Der Name des kryptografischen Cloud KMS-Schlüssels.PC_NAME: Der Name der vorhandenen Private Cloud.
Wenn Sie eine private Cloud mit CMEK erstellen möchten, verwenden Sie die Methode privateClouds.create und geben Sie den Parameter encryptionConfig an:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
"https://vmwareengine.googleapis.com/v1/projects//locations//privateClouds?private_cloud_id=" \
-d '{
"networkConfig": {
"vmwareEngineNetwork": "projects//locations/global/vmwareEngineNetworks/",
"managementCidr": ""
},
"managementCluster": {
"clusterId": "",
"nodeTypeConfigs": {
"": {
"nodeCount":
}
}
},
"encryptionConfig": {
"cryptoKeyName": "projects//locations//keyRings//cryptoKeys/"
}
}'
Verwenden Sie die Methode privateClouds.patch, um den CMEK-Schlüssel für eine vorhandene private Cloud zu aktualisieren:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
"https://vmwareengine.googleapis.com/v1/projects//locations//privateClouds/?updateMask=encryptionConfig" \
-d '{
"encryptionConfig": {
"cryptoKeyName": "projects//locations//keyRings//cryptoKeys/"
}
}'
Wenn Sie eine vorhandene private Cloud wieder auf GMEK (Google-owned and Google-managed encryption keys) umstellen möchten, verwenden Sie die Methode privateClouds.patch mit einem leeren encryptionConfig-Objekt:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
"https://vmwareengine.googleapis.com/v1/projects//locations//privateClouds/?updateMask=encryptionConfig" \
-d '\''{
"encryptionConfig": {}
}'\''
CMEK-Einschränkungen
- Regionale Anforderungen:Sowohl die private Cloud als auch der ausgewählte Cloud KMS-Schlüssel müssen sich in derselben Region befinden. Globale Google Cloud KMS-Schlüssel werden für die vSAN-Verschlüsselung nicht unterstützt.
- Schlüsselverfügbarkeit:Wenn der Verschlüsselungsschlüssel aufgrund einer Deaktivierung oder eines Widerrufs nicht mehr zugänglich ist, schlagen alle abhängigen vSAN-Vorgänge fehl. Wichtige Vorgänge wie Neustarts von Hosts und oberflächliche Neuschlüsselung können erst fortgesetzt werden, wenn der Schlüsselzugriff wiederhergestellt wurde.
Betriebliche Effizienz mit automatischer KEK-Rotation für CMEK
Für Organisationen, die CMEK auswählen, automatisiert die automatische KEK-Rotation für die vSAN-Verschlüsselung ruhender Daten manuelle Sicherheitsaufgaben:
- Automatisierte Synchronisierung:Das System überwacht Cloud KMS und erkennt Schlüsselrotationen automatisch.
- Nahtlose KEK-Rotation im Hintergrund:Bei der Rotation wird eine oberflächliche KEK-Rotation initiiert, die für kontinuierlichen Schutz ohne manuellen Eingriff in vCenter sorgt. Bei diesem Vorgang wird der Schlüsselverschlüsselungsschlüssel für Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) mit einem neuen Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) aktualisiert. Da DEKs Ihre vSAN-Daten direkt verschlüsseln, ist für diesen Vorgang keine vollständige Neuverschlüsselung Ihrer vSAN-Daten erforderlich.
- Verwaltung ohne Ausfallzeiten:Das System generiert und wendet KEKs im Hintergrund an, wodurch Leistung und Verfügbarkeit für Arbeitslasten aufrechterhalten werden. Dieser Vorgang wird in der Regel innerhalb von 48 Stunden nach einer Cloud KMS-Schlüsselrotation abgeschlossen.
Anforderung für verschlüsselte virtuelle Maschinen
Sie können Verschlüsselungsschlüssel für VMs mit dem StandardanbieterGoogle-owned and managed key oder Cloud Key Management Service verwalten.
Wenn Sie die VM-Verschlüsselung (oder vTPM) für VMs in Ihrer privaten Cloud aktivieren und einen KMS zum Verwalten von Verschlüsselungsschlüsseln verwenden, müssen Sie jede VM nach der Rotation Ihres KMS-Schlüssels neu verschlüsseln (flache Neuschlüsselung).
Bei einer einfachen Neuschlüsselung wird nur der Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) ersetzt. Der Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) der VMs wird nicht geändert. In der Regel lösen Sie eine oberflächliche Neuverschlüsselung aus, indem Sie im vSphere Client die Aktion Neu verschlüsseln verwenden.
Bei diesem Vorgang wird der vorhandene DEK mit einem neuen KEK neu verpackt (neu verschlüsselt). Dieser Vorgang ist schnell, da keine tatsächlichen Daten auf die Festplatte geschrieben werden. Stattdessen wird nur das kleine Schlüsselbündel mit dem verschlüsselten DEK aktualisiert. Weitere Informationen finden Sie in der folgenden VMware-Dokumentation:
Risiken, wenn verschlüsselte VMs nicht neu verschlüsselt werden
Wenn Sie verschlüsselte VMs nicht neu verschlüsseln, bevor Sie die rotierte (alte) KMS-Schlüsselversion löschen, kann dies zu den folgenden Problemen führen:
- Fehlgeschlagene vMotions: ESXi-Hosts können VM-DEKs während vMotion nicht entschlüsseln, wenn Sie die Zielhosts neu starten oder sie dem Cluster nach der KMS-Schlüsselrotation, aber vor der erneuten Schlüsselung der VM hinzufügen.
- Fehler beim Einschalten: Wenn ein Host neu gestartet wird oder seinen lokalen Schlüsselcache leert, kann er keine Schlüssel vom KMS abrufen. Wenn Sie die erforderlichen Schlüssel aus dem KMS gelöscht haben, kann der Host den DEK nicht entschlüsseln. Dadurch können verschlüsselte VMs nicht eingeschaltet werden.
Schritte zum Ausführen eines Re-Key-Vorgangs auf Arbeitslast-VMs
- Klicken Sie im vSphere Client mit der rechten Maustaste auf die VM.
- Wählen Sie VM-Richtlinien > Neu verschlüsseln aus.
- Bestätigen Sie den Antrag auf erneute Verschlüsselung im angezeigten Dialogfeld.
- Warten Sie, bis die Aufgabe abgeschlossen ist.
- Prüfen Sie die erneute Verschlüsselung, indem Sie die VM zu einem Host migrieren, den Sie nach der KMS-Schlüsselrotation neu gestartet oder dem Cluster hinzugefügt haben.
Externer KMS
Optional können Sie eine KMS-Lösung von einem Drittanbieter auswählen, die KMIP 1.1-konform ist und von VMware für vSAN zertifiziert wurde. Die KMS-Lösungen folgender Anbieter sind für VMware Engine validiert und es stehen Bereitstellungsanleitungen und Supportanweisungen für sie zur Verfügung:
Eine Konfigurationsanleitung finden Sie in den folgenden Dokumenten:
- VSAN-Verschlüsselung mit Fortanix KMS konfigurieren
- VSAN-Verschlüsselung mit CipherTrust Manager konfigurieren
- VSAN-Verschlüsselung mit HyTrust KeyControl konfigurieren
Unterstützten Anbieter verwenden
Für die Bereitstellung eines externen KMS sind dieselben grundlegenden Schritte erforderlich:
- Erstellen Sie ein Google Cloud Projekt oder verwenden Sie ein vorhandenes.
- Erstellen Sie eine neue Virtual Private Cloud (VPC) oder wählen Sie ein vorhandenes VPC-Netzwerk aus.
- Verbinden Sie das ausgewählte VPC-Netzwerk mit dem VMware Engine-Netzwerk.
Stellen Sie dann den KMS in einer Compute Engine-VM-Instanz bereit:
- Richten Sie die erforderlichen IAM-Berechtigungen ein, um Compute Engine-VM-Instanzen bereitzustellen.
- Stellen Sie den KMS in Compute Engine bereit.
- Vertrauensstellung zwischen vCenter und dem KMS herstellen
- Aktivieren Sie die vSAN-Datenverschlüsselung.
In den folgenden Abschnitten wird dieser Vorgang einen der unterstützten Anbieter zu verwenden kurz beschrieben.
IAM-Berechtigungen einrichten
Sie benötigen ausreichende Berechtigungen, um VM-Instanzen von Compute Engine in einem bestimmten Google Cloud Projekt und einem VPC-Netzwerk bereitzustellen, Ihr VPC-Netzwerk mit VMware Engine zu verbinden und Firewallregeln für das VPC-Netzwerk zu konfigurieren.
Projektinhaber und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten. Weitere Informationen zu Rollen finden Sie unter Compute Engine-IAM-Rollen.
Schlüsselverwaltungssystem in Compute Engine bereitstellen
Einige KMS-Lösungen sind in einem Appliance-Formfaktor über Google Cloud Marketplace verfügbar. Sie können solche Appliances bereitstellen, indem Sie die OVA direkt in Ihr VPC-Netzwerk oder Google Cloud -Projekt importieren.
Stellen Sie für softwarebasierte KMS eine Compute Engine-VM-Instanz bereit. Verwenden Sie dabei die vom KMS-Anbieter empfohlene Konfiguration (vCPU-Anzahl, vMem und Laufwerke). Installieren Sie die KMS-Software im Gastbetriebssystem. Erstellen Sie die Compute Engine-VM-Instanz in einem VPC-Netzwerk, das mit dem VMware Engine-Netzwerk verbunden ist.
Vertrauensstellung zwischen vCenter und dem KMS herstellen
Nach der Bereitstellung von KMS in Compute Engine konfigurieren Sie Ihr VMware Engine vCenter so, dass die Verschlüsselungsschlüssel aus dem KMS abgerufen werden.
Fügen Sie zuerst KMS-Verbindungsdetails zu vCenter hinzu. Richten Sie dann eine Vertrauensstellung zwischen vCenter und KMS ein. So stellen Sie eine Vertrauensstellung zwischen vCenter und KMS her:
- Generieren Sie ein Zertifikat in vCenter.
- Signieren Sie es mit einem von Ihrem KMS generierten Token oder Schlüssel.
- Stellen Sie dieses Zertifikat bereit oder laden Sie es in vCenter hoch.
- Um den Verbindungsstatus zu verifizieren, prüfen Sie die KMS-Einstellung und den Status auf der vCenter-Serverkonfigurationsseite.
vSAN-Datenverschlüsselung aktivieren
In vCenter verfügt der Standardnutzer CloudOwner über ausreichende Berechtigungen, um die vSAN-Datenverschlüsselung zu aktivieren und zu verwalten.
Wenn Sie von einem externen KMS zum StandardanbieterGoogle-owned and managed key wechseln möchten, führen Sie die Schritte zum Ändern des Schlüsselanbieters aus der VMware-Dokumentation Standardschlüsselanbieter konfigurieren und verwalten aus.
Nächste Schritte
- Weitere Informationen zu Systemdiagnosen für vSAN KMS-Verbindungen.
- Weitere Informationen zur vSAN 7.0-Verschlüsselung