Informazioni sulla crittografia vSAN

La crittografia dei dati vSAN at-rest richiede un sistema di gestione delle chiavi (KMS). Per impostazione predefinita, la gestione delle chiavi per la crittografia dei dati vSAN in Google Cloud VMware Engine utilizza Cloud Key Management Service per i cloud privati appena creati, senza costi aggiuntivi.

In alternativa, puoi scegliere di implementare un KMS esterno per la crittografia dei dati vSAN inattivi di uno dei fornitori supportati riportati di seguito. Questa pagina spiega il comportamento della crittografia vSAN e riassume come utilizzare un KMS esterno per criptare i dati inattivi della macchina virtuale in VMware Engine.

Crittografia dei dati vSAN

Per impostazione predefinita, VMware Engine abilita la crittografia vSAN per i dati nel cluster principale e nei cluster aggiunti successivamente al cloud privato. La crittografia dei dati vSAN at-rest utilizza una chiave di crittografia dei dati (DEK) archiviata sul disco fisico locale del cluster dopo la crittografia. La DEK è una chiave di crittografia AES a 256 bit conforme a FIPS 140-2 di livello 1 generata automaticamente dagli host ESXi. Una chiave di crittografia della chiave (KEK) fornita dal providerGoogle-owned and managed key viene utilizzata per criptare la DEK.

Sconsigliamo vivamente di disattivare la crittografia vSAN dei dati inattivi, in quanto ciò potrebbe comportare una violazione dei termini specifici del servizio per Google Cloud VMware Engine. Quando disattivi la crittografia vSAN dei dati at-rest su un cluster, la logica di monitoraggio di VMware Engine genera un avviso. Per aiutarti a evitare violazioni dei termini di servizio, questo avviso attiva un'azione gestita dall'assistenza clienti Google Cloud per riattivare la crittografia vSAN sul cluster interessato.

Allo stesso modo, se configuri un KMS esterno, ti sconsigliamo vivamente di eliminare la configurazione del fornitore di chiavi di Cloud Key Management Service in vCenter Server.

Provider di chiavi predefinito

VMware Engine configura vCenter Server nei cloud privati appena creati per connettersi a un provider Google-owned and managed key . VMware Engine crea un'istanza del fornitore di chiavi per regione e il fornitore di chiavi utilizza Cloud KMS per la crittografia della KEK. VMware Engine gestisce completamente il fornitore di chiavi e lo configura in modo che sia a disponibilità elevata in tutte le regioni.

Il provider Google-owned and managed key integra il provider di chiavi integrato in vCenter Server (in vSphere 7.0 Update 2 e versioni successive) ed è l'approccio consigliato per gli ambienti di produzione. Il fornitore di chiavi integrato viene eseguito come processo all'interno di vCenter Server, che viene eseguito su un cluster vSphere in VMware Engine. VMware sconsiglia di utilizzare il provider di chiavi integrato per criptare il cluster che ospita vCenter Server. Utilizza invece il provider di chiavi predefinito gestito da Google o un KMS esterno.

Rotazione chiave

Quando utilizzi il fornitore di chiavi predefinito, sei responsabile della rotazione della KEK. Per ruotare la KEK in vSphere, consulta la documentazione di VMware Generare nuove chiavi di crittografia dei dati inattivi.

Per altri modi per ruotare una chiave in vSphere, consulta le seguenti risorse VMware:

• Script di esempio PowerCLI su GitHub
• API di gestione vSAN

Fornitori supportati

Per cambiare il KMS attivo, puoi selezionare una soluzione KMS di terze parti conforme a KMIP 1.1 e certificata da VMware per vSAN. I seguenti fornitori hanno convalidato la propria soluzione KMS con VMware Engine e pubblicato guide all'implementazione e dichiarazioni di assistenza:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Per le istruzioni di configurazione, consulta i seguenti documenti:

• Configurazione della crittografia vSAN mediante Fortanix KMS
• Configurazione della crittografia vSAN mediante CipherTrust Manager
• Configurazione della crittografia vSAN mediante HyTrust KeyControl

Utilizzare un fornitore supportato

Ogni deployment di un KMS esterno richiede gli stessi passaggi di base:

• Crea un Google Cloud progetto o utilizzane uno esistente.
• Crea una nuova rete Virtual Private Cloud (VPC) o scegli una rete VPC esistente.
• Connetti la rete VPC selezionata alla rete VMware Engine.

Poi, esegui il deployment di KMS in un'istanza VM di Compute Engine:

1. Configura le autorizzazioni IAM richieste per eseguire il deployment delle istanze VM di Compute Engine.
2. Esegui il deployment di KMS in Compute Engine.
3. Stabilisci l'attendibilità tra vCenter e KMS.
4. Abilita la crittografia dei dati vSAN.

Le sezioni seguenti descrivono brevemente questa procedura di utilizzo di uno dei fornitori supportati.

Configurare le autorizzazioni IAM

Devi disporre di autorizzazioni sufficienti per eseguire il deployment delle istanze VM di Compute Engine in un determinato progetto e rete VPC, connettere la rete VPC a VMware Engine e configurare le regole firewall per la rete VPC. Google Cloud

I proprietari dei progetti e le entità IAM con il ruolo Network Admin possono creare intervalli IP allocati e gestire le connessioni private. Per ulteriori informazioni sui ruoli, consulta la sezione Ruoli IAM di Compute Engine.

Esegui il deployment del sistema di gestione delle chiavi in Compute Engine

Alcune soluzioni KMS sono disponibili in formato appliance in Google Cloud Marketplace. Puoi eseguire il deployment di queste appliance importando il file OVA direttamente nella rete VPC o nel progetto. Google Cloud

Per KMS basato su software, esegui il deployment di un'istanza VM Compute Engine utilizzando la configurazione (numero di vCPU, vMem e dischi) consigliata dal fornitore di KMS. Installa il software KMS nel sistema operativo guest. Crea l'istanza VM di Compute Engine in una rete VPC connessa alla rete VMware Engine.

Stabilisci l'attendibilità tra vCenter e KMS

Dopo aver eseguito il deployment di KMS in Compute Engine, configura vCenter di VMware Engine per recuperare le chiavi di crittografia da KMS.

Innanzitutto, aggiungi i dettagli della connessione KMS a vCenter. Dopodiché, stabilisci l'attendibilità tra vCenter e il tuo KMS. Per stabilire l'attendibilità tra vCenter e KMS, procedi nel seguente modo:

1. Genera un certificato in vCenter.
2. Firmalo utilizzando un token o una chiave generati dal tuo KMS.
3. Fornisci o carica il certificato in vCenter.
4. Conferma lo stato della connettività controllando l'impostazione e lo stato di KMS nella pagina di configurazione del server vCenter.

Abilita la crittografia dei dati vSAN

In vCenter, l'utente CloudOwner predefinito dispone di privilegi sufficienti per attivare e gestire la crittografia dei dati vSAN.

Per passare da un KMS esterno a un provider Google-owned and managed key predefinito, segui i passaggi per modificare il provider di chiavi fornito nella documentazione di VMware Configurazione e gestione di un provider di chiavi standard.

Passaggi successivi

• Scopri di più sui controlli di integrità della connessione vSAN KMS.
• Scopri di più sulla crittografia vSAN 7.0.