מידע על הצפנת vSAN

הצפנה של נתונים במנוחה ב-vSAN מחייבת מערכת לניהול מפתחות (KMS). כברירת מחדל, ניהול המפתחות להצפנת נתונים ב-vSAN ב-Google Cloud VMware Engine מתבצע באמצעות Cloud Key Management Service לעננים פרטיים חדשים ללא עלות נוספת.

אתם יכולים לפרוס KMS חיצוני להצפנה של נתוני vSAN במצב מנוחה מהספקים הנתמכים הבאים. בדף הזה מוסבר על אופן הפעולה של ההצפנה ב-vSAN, ומתואר בקצרה איך להשתמש ב-KMS חיצוני כדי להצפין נתונים במצב מנוחה של מכונות וירטואליות ב-VMware Engine.

אם אתם משתמשים בפתרון KMS של צד שלישי, אתם צריכים לספק את הרישיונות הנדרשים.

הצפנת נתונים ב-vSAN

כברירת מחדל, VMware Engine מפעיל הצפנת vSAN לנתונים באשכול הראשי ובאשכולות שמוסיפים בהמשך לענן הפרטי. ההצפנה של נתונים במנוחה ב-vSAN מתבצעת באמצעות מפתח להצפנת נתונים (DEK) שמאוחסן בדיסק הפיזי המקומי של האשכול אחרי ההצפנה. מפתחות DEK נוצרים באופן אוטומטי במארחי ESXi. מדובר במפתחות הצפנה מסוג AES-256-bit שתואמים לתקן FIPS 140-2 ברמה 1. מפתח להצפנת מפתחות הצפנה (KEK) שסופק על ידי ספקGoogle-owned and managed key מצפין את ה-DEK.

‫Google ממליצה בחום לא להשבית את ההצפנה של נתונים במנוחה ב-vSAN, כי פעולה כזו עלולה להוביל להפרה של התנאים הספציפיים לשירות של Google Cloud VMware Engine. אם משביתים את ההצפנה של נתונים במנוחה ב-vSAN באשכול, לוגיקת המעקב של VMware Engine מציגה התראה. כדי למנוע הפרה של תנאי השירות, ההתראה הזו מפעילה פעולה שמבוססת על Cloud Customer Care כדי להפעיל מחדש את הצפנת vSAN באשכול המושפע.

באופן דומה, אם מגדירים KMS חיצוני, מומלץ מאוד לא למחוק את הגדרת ספק המפתחות של Cloud Key Management Service ב-vCenter Server.

ספק מפתחות שמוגדר כברירת מחדל

‫VMware Engine מגדיר את vCenter Server בעננים פרטיים חדשים כדי להתחבר ל Google-owned and managed key ספק. ‫VMware Engine יוצר מופע אחד של ספק המפתחות לכל אזור, וספק המפתחות משתמש ב-Cloud KMS כדי להצפין את ה-KEK. ‫VMware Engine מנהל באופן מלא את ספק המפתחות ומגדיר אותו כך שיהיה זמין מאוד בכל האזורים.

הספק Google-owned and managed key משלים את ספק המפתחות המובנה ב-vCenter Server (ב-vSphere 7.0 Update 2 ואילך), והוא הגישה המומלצת לסביבות ייצור. ספק המפתחות המובנה פועל כתהליך בתוך vCenter Server, שפועל באשכול vSphere ב-VMware Engine. ‫VMware ממליצה לא להשתמש בספק המפתחות המובנה להצפנת האשכול שמארח את vCenter Server. במקום זאת, צריך להשתמש בספק מפתחות ברירת המחדל שמנוהל על ידי Google או ב-KMS חיצוני.

רוטציית מפתחות

כשמשתמשים בספק המפתחות שמוגדר כברירת מחדל, באחריותכם לבצע רוטציה של מפתח ה-KEK. כדי לסובב את מפתח ה-KEK ב-vSphere, אפשר לעיין במסמכי VMware בנושא יצירת מפתחות חדשים להצפנת נתונים במנוחה.

למידע נוסף על דרכים נוספות להחלפת מפתח ב-vSphere, אפשר לעיין במקורות המידע הבאים של VMware:

• ‫vSAN Management API

דרישה למכונות וירטואליות מוצפנות

אתם יכולים לנהל מפתחות הצפנה למכונות וירטואליות באמצעות ספק ברירת המחדלGoogle-owned and managed key או Cloud Key Management Service.

אם הפעלתם הצפנה של מכונות וירטואליות (או vTPM) במכונות וירטואליות בענן הפרטי שלכם ואתם משתמשים ב-KMS כדי לנהל מפתחות הצפנה, אתם צריכים להצפין מחדש (החלפה חלקית של מפתחות) כל מכונה וירטואלית אחרי שאתם מבצעים רוטציה של מפתח ה-KMS.

החלפת מפתח רדודה מחליפה רק את המפתח להצפנת מפתחות הצפנה (KEK) ולא משנה את המפתח להצפנת נתונים (DEK) של מכונות ה-VM. בדרך כלל מפעילים הצפנה מחדש חלקית באמצעות הפעולה Re-encrypt ב-vSphere Client.

במהלך הפעולה הזו, המערכת מצפינה מחדש את המפתח הקיים להצפנת נתונים (DEK) באמצעות מפתח חדש להצפנת מפתחות הצפנה (KEK). התהליך הזה מהיר כי הוא לא משכתב נתונים בפועל בדיסק, אלא רק מעדכן את חבילת המפתחות הקטנה שמכילה את מפתח ה-DEK המוצפן. מידע נוסף זמין במסמכי התיעוד הבאים של VMware:

• יצירת מפתחות הצפנה חדשים
• הצפנה מחדש של מכונה וירטואלית

הסיכונים בכישלון של החלפת מפתחות במכונות VM מוצפנות

אם לא תצפינו מחדש מכונות וירטואליות מוצפנות לפני שתמחקו את הגרסה של מפתח KMS שעברה רוטציה (הגרסה הישנה), עלולות לקרות הבעיות הבאות:

• העברות vMotion שנכשלו: מארחי ESXi לא יכולים לפענח את מפתחות ההצפנה של מכונות וירטואליות במהלך vMotion אם אתם מפעילים מחדש את מארחי היעד או מוסיפים אותם לאשכול אחרי רוטציה של מפתחות KMS אבל לפני שמבצעים החלפת מפתחות של המכונה הווירטואלית.
• כשלים בהפעלה: אם מארח מפעיל מחדש את המחשב או מנקה את מטמון המפתחות המקומי שלו, הוא לא יכול לקבל מחדש מפתחות מ-KMS. אם מחקתם את המפתחות הנדרשים מ-KMS, המארח לא יכול לפענח את מפתח הנתונים, ולכן לא ניתן להפעיל מכונות וירטואליות מוצפנות.

שלבים לביצוע פעולת החלפת מפתח במכונות וירטואליות של עומסי עבודה

1. ב-vSphere Client, לוחצים לחיצה ימנית על המכונה הווירטואלית.
2. בוחרים באפשרות VM Policies > Re-encrypt (מדיניות של מכונות וירטואליות > הצפנה מחדש).
3. מאשרים את הבקשה להצפנה מחדש בתיבת הדו-שיח שמופיעה.
4. מחכים שהמשימה תסתיים.
5. כדי לאמת את החלפת המפתחות, מעבירים את המכונה הווירטואלית למארח שהפעלתם מחדש או שהוספתם לאשכול אחרי רוטציית מפתחות ה-KMS.

ספקים נתמכים

כדי להחליף את ה-KMS הפעיל, אפשר לבחור פתרון KMS של צד שלישי שתואם ל-KMIP 1.1 ומאושר על ידי VMware לשימוש ב-vSAN. הספקים הבאים אימתו את פתרונות ה-KMS שלהם באמצעות VMware Engine ופרסמו מדריכי פריסה והצהרות תמיכה:

• ‫Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

הוראות להגדרה מפורטות במסמכים הבאים:

• הגדרת הצפנת vSAN באמצעות Fortanix KMS
• הגדרת הצפנה של vSAN באמצעות CipherTrust Manager
• הגדרת הצפנה של vSAN באמצעות HyTrust KeyControl

שימוש בספק נתמך

כל פריסה של KMS חיצונית דורשת את אותם שלבים בסיסיים:

• יוצרים פרויקט או משתמשים בפרויקט קיים. Google Cloud
• יוצרים רשת חדשה של ענן וירטואלי פרטי (VPC) או בוחרים רשת VPC קיימת.
• מחברים את רשת ה-VPC שנבחרה לרשת VMware Engine.

לאחר מכן, פורסים את ה-KMS במכונה וירטואלית של Compute Engine:

1. הגדרת הרשאות IAM שנדרשות לפריסת מכונות וירטואליות של Compute Engine.
2. פורסים את KMS ב-Compute Engine.
3. יצירת אמון בין vCenter לבין KMS.
4. הפעלת הצפנת נתונים ב-vSAN.

בקטעים הבאים מתואר בקצרה התהליך הזה של שימוש באחד מהספקים הנתמכים.

הגדרת הרשאות IAM

אתם צריכים הרשאות מספיקות כדי לפרוס מכונות וירטואליות ב-Compute Engine בפרויקט וברשת VPC נתונים, לקשר את רשת ה-VPC ל-VMware Engine ולהגדיר כללי חומת אש לרשת ה-VPC. Google Cloud

בעלי פרויקטים ומשתמשי IAM עם התפקיד Network Admin יכולים ליצור טווחי כתובות IP שהוקצו ולנהל חיבורים פרטיים. מידע נוסף על תפקידים זמין במאמר תפקידי IAM ב-Compute Engine.

פריסת מערכת לניהול מפתחות ב-Compute Engine

חלק מפתרונות ה-KMS זמינים בפורמט של מכשיר ב-Google Cloud Marketplace. אפשר לפרוס את המכשירים האלה על ידי ייבוא קובץ ה-OVA ישירות לרשת ה-VPC או לפרויקט. Google Cloud

במקרה של KMS מבוסס-תוכנה, צריך לפרוס מכונה וירטואלית ב-Compute Engine באמצעות ההגדרה (מספר ליבות ה-vCPU, הזיכרון הווירטואלי והדיסקים) שספק ה-KMS ממליץ עליה. מתקינים את תוכנת ה-KMS במערכת ההפעלה האורחת. יוצרים את המכונה הווירטואלית ב-Compute Engine ברשת VPC שמחוברת לרשת VMware Engine.

יצירת אמון בין vCenter לבין KMS

אחרי שמפעילים את KMS ב-Compute Engine, צריך להגדיר את VMware Engine vCenter כך שיאחזר מפתחות הצפנה מ-KMS.

כדי לאחזר מפתחות הצפנה, צריך ליצור יחסי אמון בין vCenter לבין KMS. לשם כך:

1. יוצרים אישור ב-vCenter.
2. חותמים על האישור באמצעות אסימון או מפתח שנוצר על ידי KMS.
3. מעלים את האישור החתום אל vCenter.
4. בודקים את סטטוס הקישוריות בדף ההגדרות של vCenter Server.

הפעלת הצפנת נתונים ב-vSAN

ב-vCenter, למשתמש CloudOwner שמוגדר כברירת מחדל יש הרשאות מספיקות להפעלה ולניהול של הצפנת נתונים ב-vSAN.

כדי לעבור מספק KMS חיצוני בחזרה לספק ברירת המחדלGoogle-owned and managed key , פועלים לפי השלבים לשינוי ספק המפתחות שמופיעים בתיעוד של VMware Configuring and Managing a Standard Key Provider (הגדרה וניהול של ספק מפתחות רגיל).

המאמרים הבאים

• מידע נוסף על בדיקות תקינות של חיבורי vSAN KMS
• מידע על הצפנה ב-vSAN 7.0