Tentang enkripsi vSAN

Enkripsi data vSAN dalam penyimpanan memerlukan sistem pengelolaan kunci (KMS). Secara default, pengelolaan kunci untuk enkripsi data vSAN di Google Cloud VMware Engine menggunakan Cloud Key Management Service untuk cloud pribadi baru tanpa biaya tambahan.

Anda dapat men-deploy KMS eksternal untuk mengenkripsi data vSAN dalam penyimpanan dari vendor yang didukung berikut. Halaman ini menjelaskan perilaku enkripsi vSAN dan merangkum cara menggunakan KMS eksternal untuk mengenkripsi data virtual machine saat tidak digunakan di VMware Engine.

Jika menggunakan solusi KMS pihak ketiga, Anda harus memberikan lisensi yang diperlukan.

Enkripsi data vSAN

Secara default, VMware Engine mengaktifkan enkripsi vSAN untuk data di cluster utama dan di cluster yang selanjutnya Anda tambahkan ke cloud pribadi. Enkripsi data vSAN dalam penyimpanan menggunakan kunci enkripsi data (DEK) yang disimpan di disk fisik lokal cluster setelah dienkripsi. Host ESXi secara otomatis membuat DEK, yang merupakan kunci enkripsi AES-256-bit yang mematuhi FIPS 140-2 Level 1. Kunci enkripsi kunci (KEK) yang disediakan oleh Google-owned and managed key penyedia mengenkripsi DEK.

Google sangat menyarankan agar Anda tidak menonaktifkan enkripsi data saat tidak digunakan vSAN, karena tindakan tersebut dapat melanggar persyaratan khusus layanan untuk Google Cloud VMware Engine. Jika Anda menonaktifkan enkripsi data dalam penyimpanan vSAN di cluster, logika pemantauan VMware Engine akan memunculkan pemberitahuan. Untuk membantu mencegah Anda melanggar persyaratan layanan, notifikasi ini memicu tindakan yang didorong oleh Cloud Customer Care untuk mengaktifkan kembali enkripsi vSAN pada cluster yang terpengaruh.

Demikian pula, jika Anda mengonfigurasi KMS eksternal, Google sangat menyarankan agar Anda tidak menghapus konfigurasi penyedia kunci Cloud Key Management Service di vCenter Server.

Penyedia kunci default

VMware Engine mengonfigurasi vCenter Server di cloud pribadi baru untuk terhubung ke penyedia. Google-owned and managed key VMware Engine membuat satu instance penyedia kunci per region, dan penyedia kunci menggunakan Cloud KMS untuk mengenkripsi KEK. VMware Engine mengelola penyedia kunci sepenuhnya dan mengonfigurasinya agar memiliki ketersediaan tinggi di semua region.

Penyedia Google-owned and managed key ini melengkapi penyedia kunci bawaan di vCenter Server (di vSphere 7.0 Update 2 dan yang lebih baru) dan merupakan pendekatan yang direkomendasikan untuk lingkungan produksi. Penyedia kunci bawaan berjalan sebagai proses dalam vCenter Server, yang berjalan di cluster vSphere di VMware Engine. VMware tidak merekomendasikan penggunaan penyedia kunci bawaan untuk mengenkripsi cluster yang menghosting vCenter Server. Sebagai gantinya, gunakan penyedia kunci default yang dikelola Google atau KMS eksternal.

Rotasi kunci

Saat menggunakan penyedia kunci default, Anda bertanggung jawab untuk merotasi KEK. Untuk mengganti KEK di vSphere, lihat dokumentasi VMware Generate New Data-At-Rest Encryption Keys.

Untuk mengetahui cara lainnya dalam merotasi kunci di vSphere, lihat referensi VMware berikut:

• vSAN Management API

Persyaratan untuk virtual machine terenkripsi

Anda dapat mengelola kunci enkripsi untuk VM menggunakan penyedia Google-owned and managed key default atau Cloud Key Management Service.

Jika Anda mengaktifkan Enkripsi VM (atau vTPM) untuk VM apa pun di cloud pribadi dan menggunakan KMS untuk mengelola kunci enkripsi, Anda harus mengenkripsi ulang (mengubah kunci dangkal) setiap VM setelah merotasi kunci KMS.

Penggantian kunci ringan hanya menggantikan kunci enkripsi kunci (KEK) dan tidak mengubah kunci enkripsi data (DEK) VM. Anda biasanya memicu pengubahan kunci dangkal dengan menggunakan tindakan Enkripsi ulang di vSphere Client.

Selama operasi ini, sistem akan membungkus ulang (mengenkripsi ulang) DEK yang ada menggunakan KEK baru. Proses ini cepat karena tidak menulis ulang data sebenarnya di disk; melainkan hanya memperbarui paket kunci kecil yang berisi DEK terenkripsi. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VMware berikut:

• Membuat Kunci Enkripsi Baru
• Enkripsi Ulang Virtual Machine

Risiko gagal mengganti kunci VM terenkripsi

Gagal mengganti kunci VM terenkripsi sebelum Anda menghapus versi kunci KMS yang dirotasi (lama) dapat menyebabkan masalah berikut:

• vMotion Gagal: Host ESXi tidak dapat mendekripsi DEK VM selama vMotion jika Anda mem-reboot host tujuan atau menambahkannya ke cluster setelah rotasi kunci KMS, tetapi sebelum Anda melakukan pengubahan kunci VM.
• Kegagalan saat diaktifkan: Jika host melakukan reboot atau menghapus cache kunci lokalnya, host tersebut tidak dapat memperoleh kembali kunci dari KMS. Jika Anda menghapus kunci yang diperlukan dari KMS, host tidak dapat mendekripsi DEK, yang mencegah VM terenkripsi diaktifkan.

Langkah-langkah untuk melakukan operasi penggantian kunci pada VM workload

1. Di vSphere Client, klik kanan VM.
2. Pilih VM Policies > Re-encrypt.
3. Konfirmasi permintaan enkripsi ulang di dialog yang muncul.
4. Tunggu hingga tugas selesai.
5. Verifikasi penggantian kunci dengan memigrasikan VM ke host yang Anda mulai ulang atau tambahkan ke cluster setelah rotasi kunci KMS.

Vendor yang didukung

Untuk mengganti KMS aktif, Anda dapat memilih solusi KMS pihak ketiga yang kompatibel dengan KMIP 1.1 dan disertifikasi oleh VMware untuk vSAN. Vendor berikut memvalidasi solusi KMS mereka dengan VMware Engine dan memublikasikan panduan deployment dan pernyataan dukungan:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Untuk mengetahui petunjuk konfigurasi, lihat dokumen berikut:

• Mengonfigurasi enkripsi vSAN menggunakan Fortanix KMS
• Mengonfigurasi enkripsi vSAN menggunakan CipherTrust Manager
• Mengonfigurasi enkripsi vSAN menggunakan HyTrust KeyControl

Menggunakan vendor yang didukung

Setiap deployment KMS eksternal memerlukan langkah-langkah dasar yang sama:

• Buat project Google Cloud atau gunakan project yang sudah ada.
• Buat jaringan Virtual Private Cloud (VPC) baru atau pilih jaringan VPC yang ada.
• Hubungkan jaringan VPC yang Anda pilih ke jaringan VMware Engine.

Kemudian, deploy KMS di instance VM Compute Engine:

1. Siapkan izin IAM yang diperlukan untuk men-deploy instance VM Compute Engine.
2. Deploy KMS di Compute Engine.
3. Membangun kepercayaan antara vCenter dan KMS.
4. Aktifkan enkripsi data vSAN.

Bagian berikut secara singkat menjelaskan proses penggunaan salah satu vendor yang didukung ini.

Menyiapkan Izin IAM

Anda memerlukan izin yang memadai untuk men-deploy instance VM Compute Engine di Google Cloud project dan jaringan VPC tertentu, menghubungkan jaringan VPC Anda ke VMware Engine, dan mengonfigurasi aturan firewall untuk jaringan VPC.

Pemilik project dan principal IAM dengan peran Network Admin dapat membuat rentang IP yang dialokasikan dan mengelola koneksi pribadi. Untuk mengetahui informasi selengkapnya tentang peran, lihat Peran IAM Compute Engine.

Men-deploy sistem pengelolaan kunci di Compute Engine

Beberapa solusi KMS tersedia dalam faktor bentuk appliance di Google Cloud Marketplace. Anda dapat men-deploy appliance ini dengan mengimpor OVA langsung di jaringan atau project VPC Anda. Google Cloud

Untuk KMS berbasis software, deploy instance VM Compute Engine menggunakan konfigurasi (jumlah vCPU, vMem, dan disk) yang direkomendasikan vendor KMS. Instal software KMS di sistem operasi tamu. Buat instance VM Compute Engine di jaringan VPC yang terhubung ke jaringan VMware Engine.

Membangun kepercayaan antara vCenter dan KMS

Setelah men-deploy KMS di Compute Engine, konfigurasikan vCenter VMware Engine Anda untuk mengambil kunci enkripsi dari KMS.

Untuk mengambil kunci enkripsi, bangun kepercayaan antara vCenter dan KMS Anda dengan melakukan hal berikut:

1. Buat sertifikat di vCenter.
2. Tandatangani sertifikat menggunakan token atau kunci yang dibuat KMS.
3. Upload sertifikat yang ditandatangani ke vCenter.
4. Verifikasi status konektivitas di halaman konfigurasi vCenter Server.

Mengaktifkan enkripsi data vSAN

Di vCenter, pengguna CloudOwner default memiliki hak istimewa yang memadai untuk mengaktifkan dan mengelola enkripsi data vSAN.

Untuk beralih dari KMS eksternal kembali ke penyediaGoogle-owned and managed key default, ikuti langkah-langkah untuk mengubah penyedia kunci yang disediakan dalam dokumentasi VMware Configuring and Managing a Standard Key Provider.

Langkah berikutnya

• Pelajari pemeriksaan kondisi koneksi KMS vSAN.
• Pelajari enkripsi vSAN 7.0.