Como configurar a criptografia vSAN usando HyTrust KeyControl

Uma opção para criptografar dados em repouso usando criptografia vSAN é usar o KeyControl do HyTrust como um serviço de gerenciamento de chaves externo (KMS). Para implantar o HyTrust KeyControl no Google Cloud, use as etapas deste documento.

Pré-requisitos

  • Uma das seguintes versões do vSphere compatíveis com o HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7 ou 7.0
    • vSphere Trust Authority 7.0
    • Gerenciamento de chaves universal para agentes de criptografia compatíveis com KMIP
  • Gerenciar a permissão KMS para vCenter na nuvem privada. O papel padrão CloudOwner no VMware Engine tem privilégios suficientes.
  • Uma licença válida para o HyTrust KeyControl. O KeyControl implantado tem uma licença de avaliação de 30 dias.

Estabelecer uma conexão privada entre a nuvem privada e a rede VPC

Identifique um projeto e uma rede de nuvem privada virtual (VPC) no Google Cloud em que você planeja implantar nós HyTrust KeyControl. Configure uma conexão privada entre essa rede VPC e a nuvem privada.

Criar uma instância de VM que se tornará o nó KeyControl inicial no cluster

  1. Se você ainda não tem uma rede VPC que quer usar para o nó KeyControl, crie uma nova rede VPC.

  2. No console do Google Cloud, acesse a página Imagens.

    Acessar a página "Imagens"

  3. Clique na imagem "KeyControl do HyTrust".

  4. Clique em Criar instância.

  5. Configure a instância:

    • Em Tipo de máquina, selecione n1-standard-2(2 vCPU, 7,5 GB).
    • Marque a opção Permitir tráfego HTTPS.
    • Em Interface de rede, escolha a rede VPC que você quer usar. Não será possível alterar isso mais tarde.
    • O endereço IP externo pode ser estático ou efêmero. Para usar um endereço IP estático, escolha qualquer IP público criado anteriormente ou escolha Criar endereço IP em IP externo.
    • Em Criar endereço IP público, digite um nome e uma descrição para o endereço IP.

  6. Clique em OK.

  7. Clique em Criar.

Para criar nós KeyControl adicionais, é possível usar metadados da instância recém-criada. Para ver os metadados da instância, acesse a página Instâncias de VM.

Acessar a página Instâncias de VM

Configurar regras de firewall para a instância KeyControl

Antes de começar a configurar o KeyControl, verifique se as portas a seguir estão abertas para ele a partir da sua rede VPC ou de qualquer outra rede que você planeja acessar.

Portas obrigatórias

Tipo Protocolo Intervalo de portas
SSH (22) TCP 22
HTTPS (443) TCP 443
Regra TCP personalizada TCP 8443
Regra UDP personalizada UDP 123

Portas adicionais

As portas a seguir são necessárias se você planeja usar o KeyControl como um servidor KMIP ou se quer usar o recurso de pesquisa do SNMP para o KeyControl.

Tipo Protocolo Porta padrão
KMIP TCP 5696
SNMP UDP 161

Para saber como configurar o firewall, consulte Tabelas de firewall.

Configurar o primeiro nó KeyControl e inicializar a interface da Web KeyControl

Você precisa configurar a instância de KeyControl usando SSH antes de usar a interface da Web KeyControl para configurar e manter seu cluster KeyControl.

O procedimento a seguir descreve como configurar o primeiro nó KeyControl no cluster. Verifique se você tem o ID da instância de VM KeyControl e o endereço IP externo.

  1. Faça login na conta htadmin na instância de VM do KeyControl.

    ssh htadmin@external-ip-address

  2. Quando for solicitada a senha do htadmin, insira o ID da sua instância KeyControl.

  3. Digite uma nova senha para a conta de administração htadmin do sistema KeyControl e clique em Enter. A senha precisa conter pelo menos seis caracteres e não deve conter espaços ou qualquer caractere não ASCII. Essa senha controla o acesso ao HyTrust KeyControl System Console, que permite aos usuários executar algumas tarefas de administração do KeyControl. Ele não permite que um usuário KeyControl acesse o sistema operacional completo.

  4. Na tela Configuração do sistema, selecione Instalar nó inicial do KeyControl e clique em Enter.

  5. Revise a caixa de diálogo de confirmação. Essa caixa de diálogo fornece o URL público que pode ser usado com a interface da Web KeyControl e o endereço IP particular que pode ser usado se você quiser adicionar outros nós KeyControl a esse cluster.

  6. Clique em Enter.

  7. Para inicializar a interface da Web KeyControl para este cluster:

    1. Em um navegador da Web, acesse https://external-ip-address, em que external-ip-address é o endereço IP externo associado à instância KeyControl.
    2. Se solicitado, adicione uma exceção de segurança para o endereço IP KeyControl e prossiga para a interface da Web KeyControl.
    3. Na página de login do HyTrust KeyControl, insira secroot para o nome de usuário e o código da instância para a senha.
    4. Leia o Contrato de licença de usuário final (EULA, na sigla em inglês). Clique em Concordo para aceitar os termos de licença.
    5. Na página Alterar senha, insira uma nova senha para a conta secroot e clique em Atualizar senha.

    6. Na página Configurações de e-mail e servidor de e-mail, insira as configurações do e-mail. Se você inserir um endereço de e-mail, o KeyControl enviará um e-mail com a chave de administrador do novo nó. Ele também envia alertas do sistema para esse endereço de e-mail.

    7. Clique em Continuar.

    8. Na página Automatic Vitals Reporting, especifique se você quer ativar ou desativar os relatórios de métricas automáticas. Os relatórios de métricas automáticas permitem compartilhar automaticamente informações sobre a integridade do cluster KeyControl com o suporte HyTrust.

      Se você ativar esse serviço, o KeyControl enviará periodicamente um pacote criptografado contendo status do sistema e informações de diagnóstico para um servidor HyTrust seguro. O suporte do HyTrust entrará em contato com você proativamente se o serviço de métricas identificar problemas com a integridade do cluster.

      Os administradores de segurança do KeyControl podem ativar ou desativar esse serviço a qualquer momento selecionando Configurações > Métricas na interface da Web do KeyControl. Para ver detalhes, consulte Como configurar o Automatic Vitals Reporting.

    9. Clique em Salvar e continuar.

    10. Se você estiver usando o Internet Explorer, importe o certificado e adicione o endereço IP do KeyControl à sua lista de sites confiáveis. Verifique se a opção Downloads > Download de arquivo está ativada em Opções da Internet > Segurança > Nível personalizado.

Configurar nós extras e adicioná-los ao cluster atual (opcional)

Depois que o primeiro nó KeyControl for configurado, será possível adicionar outros nós de outras zonas ou regiões. Todas as informações de configuração do primeiro nó no cluster são copiadas para qualquer nó que você adicionar ao cluster.

Verifique se você tem o ID da instância para sua instância de VM KeyControl, o endereço IP externo associado a ela e o endereço IP particular de um dos nós atuais do KeyControl no cluster.

  1. Faça login na conta htadmin na instância de VM do KeyControl.

      ssh htadmin@external-ip-address

  2. Quando a senha do htadmin for solicitada, insira o ID da instância KeyControl que você está configurando.

  3. Digite uma nova senha para a conta de administração htadmin do sistema KeyControl e clique em Enter. A senha precisa conter pelo menos seis caracteres e não deve conter espaços ou qualquer caractere não ASCII.

  4. Essa senha controla o acesso ao HyTrust KeyControl System Console, que permite aos usuários executar algumas tarefas de administração do KeyControl. Ele não permite que um usuário KeyControl acesse o sistema operacional completo.

  5. Na tela Configuração do sistema, selecione Adicionar nó inicial do KeyControl ao cluster atual e clique em Enter.

  6. Digite o endereço IP interno de qualquer nó KeyControl que já esteja no cluster e clique em Enter. O KeyControl inicia o processo de configuração inicial do nó.

  7. Para encontrar o endereço IP interno do nó atual, faça login na interface da Web KeyControl e clique em Cluster na barra de menu superior. Acesse a guia Servidorese veja o endereço IP na tabela.

  8. Se esse nó anteriormente fazia parte do cluster selecionado, o KeyControl exibe um prompt perguntando se você quer limpar os dados existentes e voltar ao cluster. Selecione Yes e clique em Enter.

  9. Se esse nó era membro de um cluster diferente ou foi configurado originalmente como o único nó no cluster, o KeyControl solicitará que todos os dados sejam destruídos no nó atual, caso você continue. Selecione Sim, clique em Enter e pressione Enter novamente para confirmar a ação no próximo prompt.

  10. Se solicitado, insira uma senha única para esse nó KeyControl e clique em Enter. A senha precisa conter pelo menos 16 caracteres alfanuméricos. Não pode conter espaços ou caracteres especiais. Essa senha é uma string temporária usada para criptografar a comunicação inicial entre esse nó e o cluster KeyControl atual. Ao autenticar o novo nó com o cluster atual, você insere essa senha longa na interface da Web do KeyControl para que o nó atual possa descriptografar a comunicação e verificar se a solicitação de junção é válida.

  11. Se for possível para o assistente se conectar ao nó KeyControl designado, ele exibirá a tela Autenticação informando que o nó agora faz parte do cluster, mas precisa ser autenticado na interface da Web do KeyControl antes de ser usado pelo sistema.

  12. Autentique o nó na interface da Web do KeyControl. Quando a tela Junção do Cluster KeyControl exibir uma mensagem informando que um administrador do domínio precisa autenticar o novo nó, faça login na interface da Web do KeyControl nesse nó e autentique o novo servidor. Depois que o nó é autenticado, o KeyControl continua o processo de configuração.

  13. Clique em Enter.

Autenticar os novos nós KeyControl

Quando você adiciona um novo nó KeyControl a um cluster atual, é preciso autenticar o novo nó na interface da Web KeyControl do nó que foi especificado no console do sistema do nó de junção. Por exemplo, se você tiver três nós e se juntar a um quarto nó especificando o nó dois, será necessário autenticar o novo nó na interface da Web para o nó dois. Se você tentar autenticar usando um nó diferente, o processo falhará.

  1. Faça login na interface da Web KeyControl usando uma conta com privilégios de administrador de domínio.
  2. Na barra de menus, clique em Cluster.
  3. Clique na guia Servidores.
  4. Selecione o nó que você quer autenticar. A coluna Status mostra Junção pendente para todos os nós que ainda não foram autenticados.
  5. Clique em Ações > Autenticar.
  6. Digite a senha única e clique em Autenticar. Essa senha longa precisa ser uma correspondência exata da especificada quando você instalou o nó KeyControl. A senha longa diferencia maiúsculas de minúsculas.
  7. Clique em Atualizar e verifique se o status é On-line.
  8. Se você quiser acompanhar o progresso do processo de autenticação, faça login no console da VM KeyControl no nó que você está autenticando como htadmin.

Configurar regras de firewall entre sua nuvem privada e a VPC KeyControl

O vCenter se comunica com o HyTrust KeyControl sobre o protocolo KMIP na porta KMIP. A padrão é a TCP 5696. A porta é configurável pela interface da Web do KeyControl.

  1. No console do Google Cloud, clique em Rede VPC > Firewall.
  2. Clique em Criar regra de firewall.
  3. Digite os detalhes da regra de firewall. Permita que o endereço IP do vCenter se comunique com o KeyControl na porta KMIP.

Configurar o vCenter para usar o HyTrust KeyControl como um KMS externo

  1. Configure o servidor KMIP
  2. Criar um cluster do KMS no vCenter
  3. Estabelecer uma conexão confiável entre o vCenter e o KeyControl usando uma CSR gerada pelo vCenter