Informazioni sulla crittografia vSAN
La crittografia dei dati vSAN at-rest richiede un sistema di gestione delle chiavi (KMS). Google Cloud VMware Engine offre diverse opzioni per la gestione delle chiavi per la crittografia dei dati vSAN:
- Google-owned and Google-managed encryption keys (GMEK): per impostazione predefinita, la crittografia dei dati vSAN utilizza Google-owned and Google-managed encryption keys in Cloud Key Management Service per i cloud privati, senza costi aggiuntivi.
- Chiavi di crittografia gestite dal cliente (CMEK): puoi utilizzare le CMEK in Cloud Key Management Service per gestire le chiavi di crittografia per i singoli cloud privati.
- KMS esterno:puoi implementare un KMS esterno per la crittografia dei dati vSAN inattivi di uno dei fornitori supportati riportati di seguito.
Scegliere una soluzione di gestione delle chiavi
Per aiutarti a scegliere una soluzione di gestione delle chiavi, esamina il seguente confronto:
| Funzionalità | GMEK (predefinito) | CMEK | KMS esterno |
|---|---|---|---|
| Responsabilità di gestione delle chiavi | Cliente | Cliente | |
| Archiviazione delle chiavi | Cloud Key Management Service (progetto Google) | Cloud Key Management Service (progetto cliente) | KMS esterno |
| Livello di isolamento | Servizio regionale | Cloud privato individuale | Cloud privato individuale |
| Automazione della rotazione | Automatizzato da Google | Automatizzata da Google al momento della rotazione di KMS | Gestito dal cliente |
| Costo della licenza aggiuntiva | Nessuno | Si applicano addebiti perGoogle Cloud KMS | Licenze KMS di terze parti |
Questa pagina spiega il comportamento della crittografia vSAN e riassume come utilizzare un KMS esterno per criptare i dati delle macchine virtuali at-rest in VMware Engine.
Crittografia dei dati vSAN
Per impostazione predefinita, VMware Engine abilita la crittografia vSAN per i dati nel cluster principale e nei cluster aggiunti successivamente al cloud privato. La crittografia dei dati vSAN at-rest utilizza una chiave di crittografia dei dati (DEK) archiviata sul disco fisico locale del cluster dopo la crittografia. La DEK è una chiave di crittografia AES a 256 bit conforme a FIPS 140-2 di livello 1 generata automaticamente dagli host ESXi. Il sistema utilizza una chiave di crittografia della chiave (KEK) fornita da Cloud Key Management Service o da un KMS esterno per criptare la DEK.
Sconsigliamo vivamente di disattivare la crittografia vSAN dei dati inattivi, in quanto ciò potrebbe comportare una violazione dei termini specifici del servizio per Google Cloud VMware Engine. Quando disattivi la crittografia vSAN dei dati at-rest su un cluster, la logica di monitoraggio di VMware Engine genera un avviso. Per aiutarti a evitare violazioni dei termini di servizio, questo avviso attiva un'azione guidata da assistenza clienti Google Cloudre per riattivare la crittografia vSAN sul cluster interessato.
Allo stesso modo, se configuri un KMS esterno, ti sconsigliamo di eliminare la configurazione del fornitore di chiavi di Cloud Key Management Service in vCenter Server.
Google-owned and Google-managed encryption keys (GMEK)
Per impostazione predefinita, i cloud privati utilizzano Google-owned and Google-managed encryption keys (GMEK). Con GMEK, VMware Engine configura vCenter Server per connettersi a un provider GMEK. VMware Engine crea un'istanza del fornitore di chiavi per regione e il fornitore di chiavi utilizza Cloud KMS per la crittografia della KEK. VMware Engine gestisce completamente il fornitore di chiavi e lo configura in modo che sia a disponibilità elevata in tutte le regioni.
Il provider GMEK integra il provider di chiavi integrato in vCenter Server (in vSphere 7.0 Update 2 e versioni successive) ed è l'approccio consigliato per gli ambienti di produzione. Il fornitore di chiavi integrato viene eseguito come processo all'interno di vCenter Server, che viene eseguito su un cluster vSphere in VMware Engine. VMware sconsiglia l'utilizzo del fornitore di chiavi integrato per criptare il cluster che ospita vCenter Server. Utilizza invece GMEK, CMEK o un KMS esterno.
Rotazione automatica delle chiavi GMEK
Google Cloud VMware Engine attiva periodicamente una rotazione automatica della chiave GMEK per tutti i cluster. Si tratta di un'attività di manutenzione in background che non richiede l'intervento dell'utente e non influisce sulla disponibilità del cluster.
Chiavi di crittografia gestite dal cliente (CMEK)
Google Cloud VMware Engine supporta le chiavi di crittografia gestite dal cliente (CMEK) per i singoli cloud privati utilizzando Cloud Key Management Service. Puoi configurare ogni cloud privato con una chiave CMEK distinta, anziché condividere una singola chiave nell'intero progetto. Questo offre i seguenti vantaggi:
- Isolamento avanzato:la compromissione o la rotazione di una chiave per un cloud privato non influisce sugli altri.
- Conformità granulare: assegna le chiavi in base ai requisiti specifici di residenza dei dati o di conformità dei carichi di lavoro all'interno di ogni cloud privato.
Gestione della crittografia CMEK
Puoi configurare e gestire le chiavi di crittografia gestite dal cliente (CMEK) per il tuo
cloud privato utilizzando la console Google Cloud e l'API VMware Engine. Per utilizzare
CMEK, devi concedere il ruolo IAM roles/cloudkms.cryptoKeyEncrypterDecrypter
al tuo account di servizio VMware Engine
(service-<var>PROJECT_NUMBER</var>@gcp-sa-vmwareengine.iam.gserviceaccount.com)
per la chiave Cloud KMS specifica che intendi utilizzare. Questa autorizzazione consente a VMware Engine di criptare e decriptare la chiave di crittografia della chiave (KEK) che protegge i dati vSAN utilizzando la chiave Cloud KMS selezionata nel tuo progetto.
Assegnare le autorizzazioni chiave
Prima di poter attivare CMEK, devi assegnare le autorizzazioni necessarie:
Identifica la risorsa KMS:vai alla pagina Key Management nella consoleGoogle Cloud e trova la chiave Cloud KMS specifica da utilizzare per la protezione dei dati.
Configura i ruoli IAM:concedi il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter al account di servizio VMware Engine (
service-<var>PROJECT_NUMBER</var>@gcp-sa-vmwareengine.iam.gserviceaccount.com) direttamente nel dashboard delle chiavi Cloud KMS.
Google Cloud Istruzioni per la console e l'API VMware Engine per la gestione di CMEK:
Console Google Cloud
Per configurare le chiavi di crittografia gestite dal cliente (CMEK) utilizzando la console Google Cloud , procedi nel seguente modo:
Crea un cloud privato con CMEK
Per creare un cloud privato con CMEK utilizzando la console Google Cloud :
Nella console Google Cloud , vai alla pagina Cloud privati.
Fai clic su Crea.
Nella sezione Crittografia, scegli Chiavi di crittografia gestite dal cliente (CMEK).
Inserisci il nome completo della risorsa della chiave Cloud KMS.
Fai clic su Crea o Salva.
Aggiorna la chiave CMEK per un cloud privato esistente
Per aggiornare la chiave CMEK per un cloud privato esistente utilizzando la console Google Cloud :
Nella console Google Cloud , vai alla pagina Cloud privati.
Seleziona il cloud privato esistente da aggiornare.
Nella sezione Crittografia, scegli Chiavi di crittografia gestite dal cliente (CMEK).
Inserisci il nome completo della risorsa della chiave Cloud KMS.
Fai clic su Crea o Salva.
Aggiornare la crittografia a GMEK per un cloud privato esistente
Per aggiornare il tipo di crittografia a GMEK per un cloud privato esistente utilizzando la console Google Cloud :
Nella console Google Cloud , vai alla pagina Cloud privati.
Seleziona il cloud privato esistente da aggiornare.
Nella sezione Crittografia, scegli Google-owned and Google-managed encryption keys (GMEK).
Fai clic su Crea o Salva.
API VMware Engine
Per utilizzare i comandi API, sostituisci innanzitutto le seguenti variabili con i valori del tuo ambiente:
PROJECT_ID: l'ID progetto Google Cloud .LOCATION: la regione VMware Engine, ad esempious-east4.PC_ID: l'ID del nuovo cloud privato.NETWORK_ID: l'ID della tua rete VPC.CIDR_RANGE: l'intervallo CIDR di gestione per il cloud privato.CLUSTER_ID: l'ID del cluster di gestione.NODE_TYPE: il tipo di nodo, ad esempiostandard-72.COUNT: Il numero di nodi nel cluster.RING: il nome delle chiavi automatizzate Cloud KMS.KEY: il nome della chiave di crittografia Cloud KMS.PC_NAME: il nome del cloud privato esistente.
Per creare un cloud privato con CMEK, utilizza il metodo privateClouds.create e specifica il parametro
encryptionConfig:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
"https://vmwareengine.googleapis.com/v1/projects//locations//privateClouds?private_cloud_id=" \
-d '{
"networkConfig": {
"vmwareEngineNetwork": "projects//locations/global/vmwareEngineNetworks/",
"managementCidr": ""
},
"managementCluster": {
"clusterId": "",
"nodeTypeConfigs": {
"": {
"nodeCount":
}
}
},
"encryptionConfig": {
"cryptoKeyName": "projects//locations//keyRings//cryptoKeys/"
}
}'
Per aggiornare la chiave CMEK per un cloud privato esistente, utilizza il metodo privateClouds.patch:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
"https://vmwareengine.googleapis.com/v1/projects//locations//privateClouds/?updateMask=encryptionConfig" \
-d '{
"encryptionConfig": {
"cryptoKeyName": "projects//locations//keyRings//cryptoKeys/"
}
}'
Per ripristinare GMEK (Google-owned and Google-managed encryption keys) in un cloud privato esistente, utilizza il metodo privateClouds.patch con un oggetto encryptionConfig vuoto:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
"https://vmwareengine.googleapis.com/v1/projects//locations//privateClouds/?updateMask=encryptionConfig" \
-d '\''{
"encryptionConfig": {}
}'\''
Informazioni su vincoli e limitazioni di CMEK
- Requisiti regionali: sia il cloud privato sia la chiave Cloud KMS selezionata devono trovarsi nella stessa regione. Tieni presente che le chiavi globali di Google Cloud KMS non sono supportate per la crittografia vSAN.
- Disponibilità della chiave:se la chiave di crittografia diventa inaccessibile perché è disabilitata o revocata, tutte le operazioni vSAN dipendenti non andranno a buon fine. Le procedure essenziali, tra cui i riavvii dell'host e la riassegnazione superficiale delle chiavi, non possono procedere finché l'accesso alle chiavi non viene ristabilito correttamente.
Efficienza operativa con la rotazione automatica della KEK di CMEK
Per le organizzazioni che scelgono CMEK, la funzionalità di rotazione automatica della chiave di crittografia della chiave (KEK) per la crittografia dei dati at-rest di vSAN automatizza le attività di sicurezza manuali:
- Sincronizzazione automatica:il sistema monitora Cloud KMS e rileva automaticamente le rotazioni delle chiavi.
- Rotazione KEK in background senza interruzioni:al momento della rotazione, il sistema avvia una rotazione KEK superficiale, garantendo una protezione continua senza intervento manuale in vCenter. Questa operazione aggiorna la chiave di crittografia della chiave per le chiavi di crittografia dei dati (DEK) con una nuova chiave di crittografia della chiave (KEK). Poiché le DEK criptano direttamente i dati vSAN, questa procedura non richiede una nuova crittografia completa dei dati vSAN.
- Gestione senza tempi di inattività:il sistema genera e applica le KEK in background, mantenendo prestazioni e disponibilità per i workload. Questa procedura viene in genere completata entro 48 ore dopo la rotazione di una chiave Cloud KMS.
Requisito per le macchine virtuali criptate
Puoi gestire le chiavi di crittografia per le VM utilizzando il providerGoogle-owned and managed key predefinito o Cloud Key Management Service.
Se abiliti la crittografia VM (o vTPM) per qualsiasi VM nel tuo cloud privato e utilizzi un KMS per gestire le chiavi di crittografia, devi crittografare nuovamente (riassegnare le chiavi in modo superficiale) ogni VM dopo aver eseguito la rotazione della chiave KMS.
Una nuova assegnazione superficiale della chiave sostituisce solo la chiave di crittografia della chiave (KEK) e non modifica la chiave di crittografia dei dati (DEK) delle VM. In genere, attivi una nuova crittografia superficiale utilizzando l'azione Ricrittografa in vSphere Client.
Durante questa operazione, il sistema esegue il wrapping (ricrittografa) della DEK esistente utilizzando una nuova KEK. Questo processo è rapido perché non riscrive i dati effettivi sul disco, ma aggiorna solo il piccolo bundle di chiavi che contiene la DEK criptata. Per ulteriori informazioni, consulta la seguente documentazione VMware:
Rischi di mancata riassegnazione delle chiavi delle VM criptate
Se non esegui la nuova assegnazione delle chiavi delle VM criptate prima di eliminare la versione della chiave KMS ruotata (precedente), possono verificarsi i seguenti problemi:
- vMotion non riusciti: gli host ESXi non possono decriptare le DEK delle VM durante vMotion se riavvii gli host di destinazione o li aggiungi al cluster dopo la rotazione della chiave KMS, ma prima di eseguire la nuova generazione della chiave della VM.
- Errori di accensione: se un host si riavvia o cancella la cache delle chiavi locali, non può recuperare le chiavi dal KMS. Se hai eliminato le chiavi richieste da KMS, l'host non può decriptare la DEK, il che impedisce l'accensione delle VM criptate.
Passaggi per eseguire un'operazione di riassegnazione delle chiavi sulle VM dei carichi di lavoro
- In vSphere Client, fai clic con il tasto destro del mouse sulla VM.
- Seleziona Norme VM > Esegui di nuovo la crittografia.
- Conferma la richiesta di ri-crittografia nella finestra di dialogo visualizzata.
- Attendi il completamento dell'attività.
- Verifica la nuova chiave eseguendo la migrazione della VM a un host riavviato o aggiunto al cluster dopo la rotazione della chiave KMS.
KMS esterno
Se vuoi, puoi selezionare una soluzione KMS di terze parti conforme a KMIP 1.1 e certificata da VMware per vSAN. I seguenti fornitori hanno convalidato la propria soluzione KMS con VMware Engine e pubblicato guide all'implementazione e dichiarazioni di assistenza:
Per le istruzioni di configurazione, consulta i seguenti documenti:
- Configurazione della crittografia vSAN mediante Fortanix KMS
- Configurazione della crittografia vSAN mediante CipherTrust Manager
- Configurazione della crittografia vSAN mediante HyTrust KeyControl
Utilizzare un fornitore supportato
Ogni deployment di un KMS esterno richiede gli stessi passaggi di base:
- Crea un Google Cloud progetto o utilizzane uno esistente.
- Crea una nuova rete Virtual Private Cloud (VPC) o scegli una rete VPC esistente.
- Collega la rete VPC selezionata alla rete VMware Engine.
Poi, esegui il deployment di KMS in un'istanza VM di Compute Engine:
- Configura le autorizzazioni IAM richieste per eseguire il deployment delle istanze VM di Compute Engine.
- Esegui il deployment di KMS in Compute Engine.
- Stabilisci l'attendibilità tra vCenter e KMS.
- Abilita la crittografia dei dati vSAN.
Le sezioni seguenti descrivono brevemente questa procedura di utilizzo di uno dei fornitori supportati.
Configurare le autorizzazioni IAM
Devi disporre di autorizzazioni sufficienti per eseguire il deployment delle istanze VM di Compute Engine in un determinato progetto e rete VPC, connettere la rete VPC a VMware Engine e configurare le regole firewall per la rete VPC. Google Cloud
I proprietari dei progetti e le entità IAM con il ruolo Network Admin possono creare intervalli IP allocati e gestire le connessioni private. Per ulteriori informazioni sui ruoli, consulta la sezione Ruoli IAM di Compute Engine.
Esegui il deployment del sistema di gestione delle chiavi in Compute Engine
Alcune soluzioni KMS sono disponibili in formato appliance in Google Cloud Marketplace. Puoi eseguire il deployment di queste appliance importando il file OVA direttamente nella rete VPC o nel progetto. Google Cloud
Per KMS basato su software, esegui il deployment di un'istanza VM Compute Engine utilizzando la configurazione (numero di vCPU, vMem e dischi) consigliata dal fornitore di KMS. Installa il software KMS nel sistema operativo guest. Crea l'istanza VM di Compute Engine in una rete VPC connessa alla rete VMware Engine.
Stabilisci l'attendibilità tra vCenter e KMS
Dopo aver eseguito il deployment di KMS in Compute Engine, configura vCenter di VMware Engine per recuperare le chiavi di crittografia da KMS.
Innanzitutto, aggiungi i dettagli della connessione KMS a vCenter. Poi, stabilisci l'attendibilità tra vCenter e il tuo KMS. Per stabilire l'attendibilità tra vCenter e il tuo KMS:
- Genera un certificato in vCenter.
- Firmalo utilizzando un token o una chiave generata dal tuo KMS.
- Fornisci o carica il certificato in vCenter.
- Conferma lo stato della connettività controllando l'impostazione e lo stato di KMS nella pagina di configurazione del server vCenter.
Abilita la crittografia dei dati vSAN
In vCenter, l'utente CloudOwner predefinito dispone di privilegi sufficienti per attivare
e gestire la crittografia dei dati vSAN.
Per passare da un KMS esterno al provider Google-owned and managed key predefinito, segui i passaggi per modificare il provider di chiavi fornito nella documentazione di VMware Configurazione e gestione di un provider di chiavi standard.
Passaggi successivi
- Scopri di più sui controlli di integrità della connessione vSAN KMS.
- Scopri di più sulla crittografia vSAN 7.0.