Tentang enkripsi vSAN

Enkripsi data vSAN dalam penyimpanan memerlukan sistem pengelolaan kunci (KMS). Secara default, pengelolaan kunci untuk enkripsi data vSAN di Google Cloud VMware Engine menggunakan Cloud Key Management Service untuk cloud pribadi yang baru dibuat, tanpa biaya tambahan.

Sebagai gantinya, Anda dapat memilih untuk men-deploy KMS eksternal untuk mengenkripsi data vSAN saat tidak digunakan dari salah satu vendor yang didukung berikut. Halaman ini menjelaskan perilaku enkripsi vSAN dan merangkum cara menggunakan KMS eksternal untuk mengenkripsi data virtual machine saat tidak digunakan di VMware Engine.

Enkripsi data vSAN

Secara default, VMware Engine mengaktifkan enkripsi vSAN untuk data di cluster utama dan di cluster yang selanjutnya ditambahkan ke cloud pribadi. Enkripsi data vSAN dalam penyimpanan menggunakan kunci enkripsi data (DEK) yang disimpan di disk fisik lokal cluster setelah enkripsi. DEK adalah kunci enkripsi AES-256 bit yang sesuai dengan FIPS 140-2 Level 1 yang dibuat secara otomatis oleh host ESXi. Kunci enkripsi kunci (KEK) yang disediakan oleh Google-owned and managed key penyedia digunakan untuk mengenkripsi DEK.

Sebaiknya jangan menonaktifkan enkripsi vSAN untuk data dalam penyimpanan, karena tindakan ini dapat membuat Anda melanggar persyaratan khusus layanan untuk Google Cloud VMware Engine. Saat Anda menonaktifkan enkripsi data saat tidak digunakan di cluster vSAN, logika pemantauan VMware Engine akan memunculkan pemberitahuan. Untuk membantu mencegah Anda melanggar persyaratan layanan, pemberitahuan ini memicu tindakan yang didorong oleh Cloud Customer Care untuk mengaktifkan kembali enkripsi vSAN pada cluster yang terpengaruh.

Demikian pula, jika Anda mengonfigurasi KMS eksternal, sebaiknya jangan menghapus konfigurasi penyedia kunci Cloud Key Management Service di vCenter Server.

Penyedia kunci default

VMware Engine mengonfigurasi vCenter Server di cloud pribadi yang baru dibuat untuk terhubung ke penyedia. Google-owned and managed key VMware Engine membuat satu instance penyedia kunci per region, dan penyedia kunci menggunakan Cloud KMS untuk mengenkripsi KEK. VMware Engine mengelola penyedia kunci sepenuhnya dan mengonfigurasinya agar memiliki ketersediaan tinggi di semua region.

Penyedia Google-owned and managed key ini melengkapi penyedia kunci bawaan di vCenter Server (di vSphere 7.0 Update 2 dan yang lebih baru) dan merupakan pendekatan yang direkomendasikan untuk lingkungan produksi. Penyedia kunci bawaan berjalan sebagai proses dalam vCenter Server, yang berjalan di cluster vSphere di VMware Engine. VMware tidak merekomendasikan penggunaan penyedia kunci bawaan untuk mengenkripsi cluster yang menghosting vCenter Server. Sebagai gantinya, gunakan penyedia kunci default yang dikelola Google atau KMS eksternal.

Rotasi kunci

Saat menggunakan penyedia kunci default, Anda bertanggung jawab atas rotasi KEK. Untuk mengganti KEK di vSphere, lihat dokumentasi VMware Generate New Data-At-Rest Encryption Keys.

Untuk mengetahui cara lainnya dalam merotasi kunci di vSphere, lihat referensi VMware berikut:

• Skrip contoh PowerCLI di GitHub
• vSAN Management API

Vendor yang didukung

Untuk mengganti KMS aktif, Anda dapat memilih solusi KMS pihak ketiga yang kompatibel dengan KMIP 1.1 dan disertifikasi oleh VMware untuk vSAN. Vendor berikut telah memvalidasi solusi KMS mereka dengan VMware Engine dan memublikasikan panduan deployment serta pernyataan dukungan:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Untuk mengetahui petunjuk konfigurasi, lihat dokumen berikut:

• Mengonfigurasi enkripsi vSAN menggunakan Fortanix KMS
• Mengonfigurasi enkripsi vSAN menggunakan CipherTrust Manager
• Mengonfigurasi enkripsi vSAN menggunakan HyTrust KeyControl

Menggunakan vendor yang didukung

Setiap deployment KMS eksternal memerlukan langkah-langkah dasar yang sama:

• Buat project Google Cloud atau gunakan project yang sudah ada.
• Buat jaringan Virtual Private Cloud (VPC) baru atau pilih jaringan VPC yang sudah ada.
• Hubungkan jaringan VPC yang Anda pilih ke jaringan VMware Engine.

Kemudian, deploy KMS di instance VM Compute Engine:

1. Siapkan izin IAM yang diperlukan untuk men-deploy instance VM Compute Engine.
2. Deploy KMS di Compute Engine.
3. Membangun kepercayaan antara vCenter dan KMS.
4. Aktifkan enkripsi data vSAN.

Bagian berikut secara singkat menjelaskan proses penggunaan salah satu vendor yang didukung ini.

Menyiapkan Izin IAM

Anda memerlukan izin yang memadai untuk men-deploy instance VM Compute Engine di Google Cloud project dan jaringan VPC tertentu, menghubungkan jaringan VPC ke VMware Engine, dan mengonfigurasi aturan firewall untuk jaringan VPC.

Pemilik project dan principal IAM dengan peran Network Admin dapat membuat rentang IP yang dialokasikan dan mengelola koneksi pribadi. Untuk mengetahui informasi selengkapnya tentang peran, lihat Peran IAM Compute Engine.

Men-deploy sistem pengelolaan kunci di Compute Engine

Beberapa solusi KMS tersedia dalam faktor bentuk appliance di Google Cloud Marketplace. Anda dapat men-deploy appliance tersebut dengan mengimpor OVA langsung di jaringan atau project VPC Anda. Google Cloud

Untuk KMS berbasis software, deploy instance VM Compute Engine menggunakan konfigurasi (jumlah vCPU, vMem, dan disk) yang direkomendasikan oleh vendor KMS. Instal software KMS di sistem operasi tamu. Buat instance VM Compute Engine di jaringan VPC yang terhubung ke jaringan VMware Engine.

Membangun kepercayaan antara vCenter dan KMS

Setelah men-deploy KMS di Compute Engine, konfigurasikan vCenter VMware Engine Anda untuk mengambil kunci enkripsi dari KMS.

Pertama, tambahkan detail koneksi KMS ke vCenter. Kemudian, bangun kepercayaan antara vCenter dan KMS Anda. Untuk membangun kepercayaan antara vCenter dan KMS Anda, lakukan langkah-langkah berikut:

1. Buat sertifikat di vCenter.
2. Tanda tangani menggunakan token atau kunci yang dibuat oleh KMS Anda.
3. Berikan atau upload sertifikat tersebut ke vCenter.
4. Konfirmasi status konektivitas dengan memeriksa setelan dan status KMS di halaman konfigurasi server vCenter.

Mengaktifkan enkripsi data vSAN

Di vCenter, pengguna CloudOwner default memiliki hak istimewa yang memadai untuk mengaktifkan dan mengelola enkripsi data vSAN.

Untuk beralih dari KMS eksternal kembali ke penyedia Google-owned and managed key default, ikuti langkah-langkah untuk mengubah penyedia kunci yang disediakan dalam dokumentasi VMware Configuring and Managing a Standard Key Provider.

Langkah berikutnya

• Pelajari pemeriksaan kondisi koneksi KMS vSAN.
• Pelajari enkripsi vSAN 7.0.