Acerca da encriptação vSAN

A encriptação de dados inativos do vSAN requer um sistema de gestão de chaves (KMS). Por predefinição, a gestão de chaves para a encriptação de dados do vSAN no Google Cloud VMware Engine usa o Cloud Key Management Service para nuvens privadas recém-criadas, sem custo financeiro adicional.

Em alternativa, pode optar por implementar um KMS externo para a encriptação de dados vSAN em repouso de um dos fornecedores suportados abaixo. Esta página explica o comportamento da encriptação do vSAN e resume como usar um KMS externo para encriptar dados inativos de máquinas virtuais no VMware Engine.

Encriptação de dados vSAN

Por predefinição, o VMware Engine ativa a encriptação vSAN para dados no cluster principal e em clusters adicionados posteriormente à nuvem privada. A encriptação de dados em repouso do vSAN usa uma chave de encriptação de dados (DEK) que é armazenada no disco físico local do cluster após a encriptação. A DEK é uma chave de encriptação AES de 256 bits em conformidade com a norma FIPS 140-2 gerada automaticamente pelos anfitriões ESXi. É usada uma chave de encriptação de chaves (KEK) fornecida pelo Google-owned and managed key fornecedor para encriptar a DEK.

Recomendamos vivamente que não desative a encriptação de dados inativos do vSAN, uma vez que pode violar os termos específicos do serviço do Google Cloud VMware Engine. Quando desativa a encriptação de dados em repouso do vSAN num cluster, a lógica de monitorização do VMware Engine gera um alerta. Para ajudar a evitar a violação dos termos de serviço, este alerta aciona uma ação conduzida pelo apoio técnico ao cliente da Google Cloud para reativar a encriptação vSAN no cluster afetado.

Da mesma forma, se configurar um KMS externo, recomendamos vivamente que não elimine a configuração do fornecedor de chaves do Cloud Key Management Service no vCenter Server.

Fornecedor de chaves predefinido

O VMware Engine configura o vCenter Server em nuvens privadas recém-criadas para estabelecer ligação a um Google-owned and managed key fornecedor. O VMware Engine cria uma instância do fornecedor de chaves por região e o fornecedor de chaves usa o Cloud KMS para a encriptação da KEK. O VMware Engine gere totalmente o fornecedor de chaves e configura-o para estar altamente disponível em todas as regiões.

O fornecedor Google-owned and managed key complementa o fornecedor de chaves incorporado no vCenter Server (no vSphere 7.0 Update 2 e posterior) e é a abordagem recomendada para ambientes de produção. O fornecedor de chaves integrado é executado como um processo no vCenter Server, que é executado num cluster vSphere no VMware Engine. A VMware recomenda que não use o fornecedor de chaves integrado para encriptar o cluster que aloja o vCenter Server. Em alternativa, use o fornecedor de chaves predefinido gerido pela Google ou um KMS externo.

Rotação de chaves

Quando usa o fornecedor de chaves predefinido, é responsável pela rotação da KEK. Para rodar a KEK no vSphere, consulte a documentação da VMware Gere novas chaves de encriptação de dados em repouso.

Para mais formas de rodar uma chave no vSphere, consulte os seguintes recursos da VMware:

• Script de exemplo do PowerCLI no GitHub
• API vSAN Management

Fornecedores suportados

Para mudar o KMS ativo, pode selecionar uma solução KMS de terceiros compatível com KMIP 1.1 e certificada pela VMware para vSAN. Os seguintes fornecedores validaram a respetiva solução de KMS com o VMware Engine e publicaram guias de implementação e declarações de apoio técnico:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Para ver instruções de configuração, consulte os seguintes documentos:

• Configurar a encriptação vSAN com o KMS da Fortanix
• Configurar a encriptação vSAN com o CipherTrust Manager
• Configurar a encriptação do vSAN com o HyTrust KeyControl

Use um fornecedor suportado

Cada implementação de um KMS externo requer os mesmos passos básicos:

• Crie um Google Cloud projeto ou use um existente.
• Crie uma nova rede de nuvem privada virtual (VPC) ou escolha uma rede de VPC existente.
• Ligue a rede de VPC selecionada à rede do VMware Engine.

Em seguida, implemente o KMS numa instância de VM do Compute Engine:

1. Configure as autorizações de IAM necessárias para implementar instâncias de VM do Compute Engine.
2. Implemente o KMS no Compute Engine.
3. Estabeleça confiança entre o vCenter e o KMS.
4. Ative a encriptação de dados do vSAN.

As secções seguintes descrevem brevemente este processo de utilização de um dos fornecedores suportados.

Configure as autorizações da IAM

Precisa de autorizações suficientes para implementar instâncias de VM do Compute Engine num determinado projeto Google Cloud e rede VPC, ligar a sua rede VPC ao VMware Engine e configurar regras de firewall para a rede VPC.

Os proprietários de projetos e os principais da IAM com a função Administrador de rede podem criar intervalos de IP alocados e gerir ligações privadas. Para mais informações sobre as funções, consulte o artigo Funções de IAM do Compute Engine.

Implemente o sistema de gestão de chaves no Compute Engine

Algumas soluções de KMS estão disponíveis num formato de dispositivo no Google Cloud Marketplace. Pode implementar estes dispositivos importando o OVA diretamente na sua rede VPC ou Google Cloud projeto.

Para o KMS baseado em software, implemente uma instância de VM do Compute Engine com a configuração (número de vCPUs, vMem e discos) recomendada pelo fornecedor do KMS. Instale o software KMS no sistema operativo convidado. Crie a instância de VM do Compute Engine numa rede de VPC que esteja ligada à rede do VMware Engine.

Estabeleça confiança entre o vCenter e o KMS

Após implementar o KMS no Compute Engine, configure o vCenter do VMware Engine para obter chaves de encriptação do KMS.

Primeiro, adicione os detalhes da ligação do KMS ao vCenter. Em seguida, estabeleça uma relação de confiança entre o vCenter e o KMS. Para estabelecer confiança entre o vCenter e o seu KMS, faça o seguinte:

1. Gere um certificado no vCenter.
2. Assine-o com um símbolo ou uma chave gerada pelo seu KMS.
3. Forneça ou carregue esse certificado no vCenter.
4. Confirme o estado da conetividade verificando a definição e o estado do KMS na página de configuração do servidor vCenter.

Ative a encriptação de dados do vSAN

No vCenter, o utilizador CloudOwner predefinido tem privilégios suficientes para ativar e gerir a encriptação de dados do vSAN.

Para mudar de um KMS externo para o fornecedor Google-owned and managed key predefinido, siga os passos para alterar o fornecedor de chaves indicados na documentação da VMware Configurar e gerir um fornecedor de chaves padrão.

O que se segue?

• Saiba mais sobre as verificações de estado da ligação KMS do vSAN.
• Saiba mais sobre a encriptação do vSAN 7.0.