vSAN 暗号化について
vSAN データを保管時に暗号化するには、鍵管理システム(KMS)が必要です。デフォルトでは、Google Cloud VMware Engine の vSAN データ暗号化の鍵管理は、追加費用なしで、新しく作成されたプライベート クラウドに Cloud Key Management Service を使用します。
vSAN 保存データを暗号化するための外部 KMS を、サポートされている以下のベンダーから選択してデプロイすることもできます。このページでは、vSAN の暗号化の動作について説明し、外部 KMS を使用して VMware Engine の仮想マシンの保存データを暗号化する方法をまとめています。
vSAN データ暗号化
デフォルトでは、VMware Engine は、プライマリ クラスタ内のデータと、プライベート クラウドに今後追加されるクラスタ内のデータに対して vSAN 暗号化を有効にします。保存時の vSAN データの暗号化には、暗号化後にクラスタのローカル物理ディスクに保存されるデータ暗号鍵(DEK)が使用されます。DEK は、ESXi ホストによって自動的に生成される、FIPS 140-2 準拠の AES-256 ビット暗号鍵です。Google が管理する鍵プロバイダが提供する鍵暗号鍵(KEK)は、DEK の暗号化に使用されます。
保存データの vSAN 暗号化は、Google Cloud VMware Engine のサービス固有の規約に違反する可能性があるため、無効にしないことを強くおすすめします。クラスタでの保存データの vSAN 暗号化を無効にすると、VMware Engine モニタリング ロジックによってアラートが発生します。サービス規約に違反しないように、このアラートにより、該当するクラスタで vSAN 暗号化を再度有効にする Cloud カスタマーケア主導のアクションがトリガーされます。
同様に、外部 KMS を構成する場合は、vCenter Server で Cloud Key Management Service の鍵プロバイダ構成を削除しないことを強くおすすめします。
デフォルトの鍵プロバイダ
VMware Engine は、新しく作成されたプライベート クラウドで vCenter Server を構成して、Google が管理する鍵プロバイダに接続します。VMware Engine はリージョンごとに鍵プロバイダのインスタンスを 1 つ作成し、鍵プロバイダは KEK の暗号化に Cloud KMS を使用します。VMware Engine は鍵プロバイダを完全に管理し、すべてのリージョンで高可用性となるように構成します。
Google が管理する鍵プロバイダは、vCenter サーバー(vSphere 7.0 Update 2 以降)のネイティブ鍵プロバイダを補完するため、本番環境ではこの方法をおすすめします。ネイティブ鍵プロバイダは、VMware Engine の vSphere クラスタで実行される vCenter Server 内のプロセスとして実行されます。VMware では、vCenter Server をホストするクラスタの暗号化にネイティブ鍵プロバイダを使用することはおすすめしません。代わりに、Google が管理するデフォルトの鍵プロバイダまたは外部 KMS を使用してください。
鍵のローテーション
デフォルトの鍵プロバイダを使用する場合、KEK のローテーションの責任があります。vSphere で KEK をローテーションするには、VMware のドキュメント保存データの暗号化の新しいキーの生成をご覧ください。
vSphere で鍵をローテーションするその他の方法については、次の VMware リソースをご覧ください。
サポートされるベンダー
アクティブな KMS を切り替えるには、KMIP 1.1 準拠で、vSAN 用に VMware によって認定されているサードパーティの KMS ソリューションを選択できます。以下のベンダーは、VMware Engine を使用して KMS ソリューションを検証し、デプロイガイドとサポート ステートメントを公開しています。
構成手順については、次のドキュメントをご覧ください。
- Fortanix KMS を使用した vSAN 暗号化の構成
- CipherTrust Manager を使用した vSAN 暗号化の構成
- HyTrust KeyControl を使用した vSAN 暗号化の構成
サポートされているベンダーを使用する
外部 KMS をデプロイする際には、毎回同じ基本手順を行う必要があります。
- Google Cloud プロジェクトを作成するか、既存のプロジェクトを使用します。
- 新しい Virtual Private Cloud(VPC)ネットワークを作成するか、既存の VPC ネットワークを選択します。
- プライベート サービス アクセスを使用して、選択した VPC ネットワークを VMware Engine サービスに接続します。
次に、KMS を Compute Engine VM インスタンスにデプロイします。
- Compute Engine VM インスタンスをデプロイするために必要な IAM 権限を設定します。
- Compute Engine に KMS をデプロイします。
- vCenter と Fortanix KMS 間の信頼を確立します。
- vSAN データの暗号化を有効にします。
以降のセクションでは、サポートされているベンダーの 1 つを使用するこのプロセスについて簡単に説明します。
IAM 権限を設定する
特定の Google Cloud プロジェクトと VPC ネットワークに Compute Engine VM インスタンスをデプロイし、VPC を VMware Engine に接続して、VPC ネットワークのファイアウォール ルールを構成するには、十分な権限が必要です。
プロジェクト オーナーとネットワーク管理者のロールを持つ IAM プリンシパルは、割り振られる IP 範囲を作成し、プライベート接続を管理できます。ロールの詳細については、Compute Engine IAM のロールをご覧ください。
Compute Engine に鍵管理システムをデプロイする
一部の KMS ソリューションは、Google Cloud Marketplace のアプライアンスのフォーム ファクタで使用できます。VPC ネットワークまたは Google Cloud プロジェクトに OVA を直接インポートすることで、このようなアプライアンスをデプロイできます。
ソフトウェアベースの KMS の場合は、KMS ベンダーが推奨する構成(vCPU 数、vMem、ディスク)を使用して Compute Engine VM インスタンスをデプロイします。ゲスト オペレーティング システムに KMS ソフトウェアをインストールします。プライベート サービス アクセスを使用して、VMware Engine に接続されている VPC 内に Compute Engine VM インスタンスを作成します。
vCenter と KMS 間の信頼関係を確立する
Compute Engine に KMS をデプロイした後、VMware Engine vCenter を構成して、KMS から暗号鍵を取得します。
はじめに、vCenter に KMS の接続の詳細を追加します。次に、vCenter と KMS 間の信頼を確立します。vCenter と KMS 間の信頼を確立する手順は次のとおりです。
- vCenter で証明書を生成します。
- KMS で生成されたトークンか鍵を使用して署名します。
- その証明書を vCenter に提供するか、アップロードします。
- vCenter サーバーの構成ページで KMS の設定とステータスを確認して、接続ステータスを確かめます。
vSAN データの暗号化を有効にする
vCenter では、デフォルトの CloudOwner
ユーザーに vSAN データ暗号化を有効にして管理するための十分な権限があります。
外部 KMS からデフォルトの Google が管理する鍵プロバイダに戻すには、VMware ドキュメントの標準鍵プロバイダの構成と管理で提供された鍵プロバイダを変更する手順に従います。
次のステップ
- vSAN KMS 接続のヘルスチェックについて学習する。
- vSAN 7.0 暗号化について学習する。