Información sobre la encriptación de vSAN

La encriptación de los datos en reposo de vSAN requiere un sistema de administración de claves (KMS). De forma predeterminada, la administración de claves para la encriptación de datos vSAN en Google Cloud VMware Engine usa Cloud Key Management Service para las nubes privadas nuevas sin costo adicional.

Puedes implementar un KMS externo para la encriptación de datos en reposo de vSAN de los siguientes proveedores compatibles. En esta página, se explica el comportamiento de la encriptación de vSAN y se resume cómo usar un KMS externo para encriptar los datos en reposo de las máquinas virtuales en VMware Engine.

Si usas una solución de KMS de terceros, debes proporcionar las licencias necesarias.

Encriptación de datos de vSAN

De forma predeterminada, VMware Engine habilita la encriptación de vSAN para los datos en el clúster principal y en los clústeres que agregues posteriormente a la nube privada. En la encriptación de datos en reposo de vSAN, se usa una clave de encriptación de datos (DEK) que se almacena en el disco físico local del clúster después de la encriptación. Los hosts ESXi generan automáticamente la DEK, que es una clave de encriptación AES de 256 bits que cumple con el nivel 1 de la norma FIPS 140-2. Una clave de encriptación de claves (KEK) proporcionada por el proveedor deGoogle-owned and managed key encripta la DEK.

Google recomienda que no inhabilite la encriptación de vSAN de los datos en reposo, ya que hacerlo puede infringir las condiciones específicas del servicio de Google Cloud VMware Engine. Si inhabilitas la encriptación de vSAN de los datos en reposo en un clúster, la lógica de supervisión de VMware Engine genera una alerta. Para evitar que infrinjas las condiciones del servicio, esta alerta activa una acción basada en la atención al cliente de Cloud a fin de volver a habilitar la encriptación de vSAN en el clúster afectado.

Del mismo modo, si configuras un KMS externo, Google recomienda que no borres la configuración del proveedor de claves de Cloud Key Management Service en vCenter Server.

Proveedor de claves predeterminado

VMware Engine configura vCenter Server en las nubes privadas nuevas para conectarse a un proveedor de Google-owned and managed key . VMware Engine crea una instancia del proveedor de claves por región, y este usa Cloud KMS para encriptar la KEK. VMware Engine administra por completo el proveedor de claves y lo configura para que tenga alta disponibilidad en todas las regiones.

El proveedor de claves Google-owned and managed key complementa el proveedor de claves integrado en vCenter Server (en vSphere 7.0 Update 2 y versiones posteriores) y es el enfoque recomendado para los entornos de producción. El proveedor de claves integrado se ejecuta como un proceso dentro del vCenter Server, que se ejecuta en un clúster de vSphere en VMware Engine. VMware recomienda no usar el proveedor de claves integrado para encriptar el clúster que aloja vCenter Server. En su lugar, usa el proveedor de claves predeterminado administrado por Google o un KMS externo.

Rotación de claves

Cuando usas el proveedor de claves predeterminado, eres responsable de rotar la KEK. Para rotar la KEK en vSphere, consulta la documentación de VMware Genera nuevas claves de encriptación de datos en reposo.

Para conocer más formas de rotar una clave en vSphere, consulta los siguientes recursos de VMware:

• API de administración de vSAN

Requisito para máquinas virtuales encriptadas

Puedes administrar las claves de encriptación de las VMs con el proveedorGoogle-owned and managed key predeterminado o Cloud Key Management Service.

Si habilitas la encriptación de VM (o vTPM) para cualquier VM de tu nube privada y usas un KMS para administrar las claves de encriptación, debes volver a encriptar (cambiar la clave de forma superficial) cada VM después de rotar tu clave de KMS.

Un nuevo encadenamiento de claves superficial solo reemplaza la clave de encriptación de claves (KEK) y no cambia la clave de encriptación de datos (DEK) de las VMs. Por lo general, se activa un re-key superficial con la acción Re-encrypt en vSphere Client.

Durante esta operación, el sistema vuelve a envolver (volver a encriptar) la DEK existente con una nueva KEK. Este proceso es rápido porque no vuelve a escribir datos reales en el disco, sino que solo actualiza el pequeño paquete de claves que contiene la DEK encriptada. Para obtener más información, consulta la siguiente documentación de VMware:

• Generar claves de encriptación nuevas
• Reencriptación de máquinas virtuales

Riesgos de no volver a generar las claves de las VMs encriptadas

Si no vuelves a generar la clave de las VMs encriptadas antes de borrar la versión de la clave de KMS rotada (anterior), se pueden producir los siguientes problemas:

• vMotions fallidas: Los hosts ESXi no pueden desencriptar las DEK de la VM durante vMotion si reinicias los hosts de destino o los agregas al clúster después de la rotación de la clave del KMS, pero antes de realizar el cambio de combinaciones de la VM.
• Fallas de encendido: Si un host se reinicia o borra su caché de claves local, no puede volver a adquirir claves del KMS. Si borraste las claves requeridas del KMS, el host no podrá desencriptar la DEK, lo que impedirá que se enciendan las VMs encriptadas.

Pasos para realizar una operación de cambio de clave en las VMs de cargas de trabajo

1. En vSphere Client, haz clic con el botón derecho en la VM.
2. Selecciona VM Policies > Re-encrypt.
3. Confirma la solicitud de nuevo encriptado en el diálogo que aparece.
4. Espera a que se complete la tarea.
5. Para verificar el cambio de clave, migra la VM a un host que reiniciaste o agregaste al clúster después de la rotación de claves del KMS.

Proveedores admitidos

Para cambiar el KMS activo, puedes seleccionar una solución de KMS de terceros que cumpla con KMIP 1.1 y que esté certificada por VMware para vSAN. Los siguientes proveedores validaron sus soluciones de KMS con VMware Engine y publicaron guías de implementación y declaraciones de asistencia:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Para obtener instrucciones de configuración, consulta los siguientes documentos:

• Configurar encriptación de vSAN con Fortanix KMS
• Configuración de la encriptación de SANv mediante CipherTrust Manager
• Configura la encriptación de vSAN mediante HyTrust KeyControl

Usa un proveedor compatible

Cada implementación de un KMS externo requiere los mismos pasos básicos:

• Crea un Google Cloud proyecto o usa uno existente.
• Crea una red de nube privada virtual (VPC) nueva o elige una red de VPC existente.
• Conecta la red de VPC seleccionada a la red de VMware Engine.

Luego, implementa el KMS en una instancia de VM de Compute Engine:

1. Configura los permisos de IAM necesarios para implementar instancias de VM de Compute Engine.
2. Implementa KMS en Compute Engine.
3. Establece la confianza entre vCenter y KMS
4. Habilita la encriptación de datos de vSAN.

En las siguientes secciones, se describe brevemente este proceso de uso de uno de los proveedores compatibles.

Configura los permisos de IAM

Necesitas permisos suficientes para implementar instancias de VM de Compute Engine en un proyecto Google Cloud y una red de VPC determinados, conectar tu red de VPC a VMware Engine y configurar las reglas de firewall para la red de VPC.

Los propietarios del proyecto y las principales de IAM con la función de Administrador de red pueden crear rangos de IP asignados y administrar conexiones privadas. Para obtener más información sobre las funciones, consulta Funciones de IAM de Compute Engine.

Implementa Key Management Server en Compute Engine

Algunas soluciones de KMS están disponibles en un factor de forma de dispositivo en Google Cloud Marketplace. Para implementar estos dispositivos, importa el OVA directamente en tu red de VPC o Google Cloud proyecto.

Para un KMS basado en software, implementa una instancia de VM de Compute Engine con la configuración (recuento de CPU virtuales, vMem y discos) que recomienda el proveedor de KMS. Instala el software de KMS en el sistema operativo invitado. Crea la instancia de VM de Compute Engine en una red de VPC conectada a la red de VMware Engine.

Establece la confianza entre vCenter y KMS

Después de implementar el KMS en Compute Engine, configura tu vCenter de VMware Engine para recuperar las claves de encriptación del KMS.

Para recuperar las claves de encriptación, establece la confianza entre vCenter y tu KMS de la siguiente manera:

1. Genera un certificado en vCenter.
2. Firma el certificado con un token o una clave que genere el KMS.
3. Sube el certificado firmado a vCenter.
4. Verifica el estado de la conectividad en la página de configuración del servidor de vCenter.

Habilita la encriptación de datos de vSAN

En vCenter, el usuario predeterminado CloudOwner tiene privilegios suficientes para habilitar y administrar la encriptación de datos vSAN.

Si deseas cambiar de un KMS externo al proveedor predeterminadoGoogle-owned and managed key , sigue los pasos para cambiar el proveedor de claves proporcionado en la documentación de VMware Configura y administra un proveedor de claves estándar.

¿Qué sigue?

• Obtén información sobre las verificaciones de estado de conexión de KMS de vSAN.
• Obtén información acerca de la encriptación de vSAN 7.0.