Configurer le chiffrement vSAN à l'aide de Fortanix KMS

Pour chiffrer des données au repos à l'aide du chiffrement vSAN, l'une des options consiste à utiliser le service de gestion des clés (KMS) Fortanix.

Avant de commencer

  • Créez un projet Google Cloud ou utilisez-en un existant.
  • Vérifiez que vous disposez d'au moins trois instances de machine virtuelle (VM) n1-standard-4 ou supérieures.

Déployer Fortanix KMS sur Google Cloud

Créer un réseau VPC

Pour des raisons de sécurité, créez un réseau de cloud privé virtuel (VPC). Vous pouvez contrôler les accès en ajoutant des règles de pare-feu ou en utilisant une autre méthode de contrôle des accès. Si votre projet dispose d'un réseau VPC par défaut, ne l'utilisez pas. À la place, créez votre propre réseau VPC avec une plage d'adresses IP de sous-réseau différente afin que les seules règles de pare-feu en vigueur soient celles que vous créez explicitement.

Créer un modèle d'instance de VM

  1. Pour créer un modèle d'instance, suivez les étapes décrites dans Créer des modèles d'instance.
  2. Sous Type de machine, sélectionnez n1-standard-4 (4 processeurs virtuels, 15 Go de mémoire) ou une valeur supérieure.
    1. Dans le champ Boot disk (Disque de démarrage), sélectionnez Ubuntu 16.04 LTS + 200GB SSD.

Créer un groupe d'instances géré

À l'aide la procédure décrite dans Créer des groupes d'instances gérés, créez un groupe d'instances géré qui utilise le modèle d'instance que vous avez créé à l'étape précédente.

  • Désactivez l'autoscaling.
  • Sous Nombre d'instances, saisissez le nombre de nœuds de cluster KMS Fortanix que vous souhaitez.

Créer une vérification d'état

Sur la page Créer une vérification de l'état, recherchez le port 443. Cliquez sur Créer pour créer une vérification de l'état.

Créer un équilibreur de charge TCP interne

  1. Sur la page Create a load balancer (Créer un équilibreur de charge), dans le champ Internal facing or internal only (Web ou interne uniquement), sélectionnez Only between my VMs (Seulement entre les VM).
  2. Cliquez sur Continuer pour créer un équilibreur de charge interne.
  3. Sélectionnez Configuration du backend dans le panneau de gauche.
    1. Sélectionnez le réseau VPC que vous avez créé.
    2. Sélectionnez le groupe d'instances géré que vous avez créé.
  4. Dans le panneau de gauche, sélectionnez Configuration de l'interface.
    1. Sélectionnez le réseau VPC que vous avez créé.
    2. Sous Adresse IP interne, réservez une adresse IP interne.
    3. Sous Numéro de port, exposez les ports 443, 4445 et 5696.

Créer un équilibreur de charge externe

  1. Sur la page Créer un équilibreur de charge, sous Usage interne ou interne uniquement, sélectionnez D'Internet vers mes VM.
  2. Cliquez sur Continuer.
  3. Dans le panneau de gauche, sélectionnez Configuration du backend.
    1. Sélectionner la Région.
    2. Sélectionnez le groupe d'instances géré que vous avez créé.
    3. Sélectionnez la vérification d'état que vous avez créée.
  4. Dans le panneau de gauche, sélectionnez Configuration de l'interface.
    1. Sélectionnez le réseau VPC que vous avez créé.
    2. Réservez une adresse IP publique dans le champ Adresse IP.
    3. Sous Numéro de port, exposez les ports 443, 4445 et 5696.

Ajouter une règle de pare-feu

Par défaut, la règle de pare-feu implicite d'entrée interdite dans le réseau VPC bloque les connexions entrantes non sollicitées vers les VM du réseau VPC.

Pour autoriser les connexions entrantes, configurez une règle de pare-feu pour votre VM. Une fois qu'une connexion entrante est établie avec une VM, le trafic est autorisé dans les deux sens via cette connexion.

Vous pouvez créer une règle de pare-feu pour autoriser l'accès externe à des ports spécifiés ou pour limiter l'accès entre plusieurs VM d'un même réseau.

Ajoutez une règle de pare-feu pour autoriser les ports 443, 4445 et 5696. Sélectionnez le réseau VPC que vous avez créé et limitez l'adresse IP source en fonction de vos exigences de sécurité.

Créer un DNS

Vous pouvez créer un DNS pour les équilibreurs de charge internes et externes à l'aide de Cloud DNS. Sur cette page, sdkms.vpc.gcloud est le point de terminaison du KMS Fortanix accessible à partir du réseau VPC et sdkms.external.gcloud est le point de terminaison accessible via Internet.

Télécharger et installer Fortanix KMS

Installez le logiciel Fortanix KMS sur chaque instance de VM. Pour obtenir des instructions, consultez le Guide d'installation de Fortanix Self Defending KMS. Pour le package d'installation compatible avec Google Cloud, contactez l'assistance Fortanix.

Configurer l'accès UI/KMIP

L'interface utilisateur est accessible via la commande sdkms.external.gcloud. Le protocole d'interopérabilité des clés (KMS, Key Management Interoperability Protocol) pour VMware est accessible à l'aide de sdkms.vpc.gcloud.

Configurer l'accès aux services privés

Configurez l'accès aux services privés dans VMware Engine et connectez votre réseau VPC à votre cloud privé. Pour obtenir des instructions, consultez Configurer l'accès aux services privés.

Établir des relations d'approbation entre vCenter et Fortanix KMS

  1. Dans le KMS Fortanix, configurez une nouvelle application.
  2. Sur la page Applications, cliquez sur Afficher les identifiants de l'application que vous venez de créer. Puis, sélectionnez l'onglet Nom d'utilisateur/Mot de passe et notez le nom d'utilisateur et le mot de passe pour configurer le KMS dans vCenter.
  3. Dans vCenter sous Serveurs de gestion de clés, configurez l'adresse IP interne sdkms.vpc.gcloud.
  4. Assurez-vous que vCenter approuve le service de gestion des clés Fortanix :
    1. Dans l'onglet Configurer de vCenter, cliquez sur le KMS de Fortanix répertorié.
    2. Cliquez sur Établir une approbation, puis sur vCenter approuve ce service de gestion des clés.
    3. Cliquez sur Approuver.
  5. Faites en sorte que Fortanix KMS approuve vCenter :
    1. Cliquez sur Établir une approbation, puis sur Le service de gestion des clés approuve vCenter
    2. Sous Sélectionner une méthode, cliquez sur Certificat vCenter.
    3. Sous Télécharger le certificat vCenter, cliquez sur Télécharger, puis sur OK.
  6. Activez le chiffrement vSAN.
    1. Dans le client vSphere, accédez à Cluster > vSAN >Services.
    2. Activez le chiffrement vSAN.

Fortanix KMS est prêt à être utilisé avec le chiffrement vSAN et le chiffrement de VM vCenter. Un journal d'audit de preuve capture toutes les opérations de chiffrement effectuées par l'application. Pour le chiffrement VSAN, de nouvelles clés de sécurité sont créées dans Fortanix KMS à l'aide du protocole KMIP.