Sobre a criptografia vSAN

A criptografia de dados em vSAN em repouso requer um sistema de gerenciamento de chaves (KMS, na sigla em inglês). Por padrão, o gerenciamento de chaves para criptografia de dados vSAN no Google Cloud VMware Engine usa o Cloud Key Management Service para nuvens privadas recém-criadas sem custo adicional.

Você também pode optar por implantar um KMS externo para a criptografia de dados vSAN em repouso de um dos fornecedores compatíveis abaixo. Nesta página, explicamos o comportamento da criptografia vSAN e resumimos como usar um KMS externo para criptografar dados de máquina virtual em repouso no VMware Engine.

Criptografia de dados vSAN

Por padrão, o VMware Engine ativa a criptografia vSAN para dados no cluster principal e em clusters adicionados depois à nuvem privada. A criptografia de dados em vSAN em repouso usa uma chave de criptografia de dados (DEK) armazenada no disco físico local do cluster após a criptografia. A DEK é uma chave de criptografia AES-256 bits compatível com FIPS 140-2 gerada automaticamente pelos hosts ESXi. Uma chave de criptografia de chaves (KEK, na sigla em inglês) fornecida pelo provedor de chaves gerenciado pelo Google é usada para criptografar a DEK.

Recomendamos não desativar a criptografia vSAN de dados em repouso, já que isso pode colocar você em violação dos termos específicos do serviço do Google Cloud VMware Engine. Quando você desativa a criptografia vSAN de dados em repouso em um cluster, a lógica de monitoramento do VMware Engine gera um alerta. Para ajudar a evitar que você viole os termos de serviço, esse alerta aciona uma ação orientada ao Cloud Customer Care para reativar a criptografia vSAN no cluster afetado.

Da mesma forma, se você configurar um KMS externo, recomendamos excluir a configuração do provedor de chaves do Cloud Key Management Service no servidor vCenter.

Provedor de chaves padrão

O VMware Engine configura o servidor vCenter em nuvens privadas recém-criadas para se conectar a um provedor de chaves gerenciado pelo Google. O VMware Engine cria uma instância do provedor de chaves por região, e o provedor usa o Cloud KMS para criptografia da KEK. O VMware Engine gerencia totalmente o provedor de chaves e o configura para ficar altamente disponível em todas as regiões.

O provedor de chaves gerenciadas pelo Google complementa o provedor de chaves nativo no servidor vCenter (no vSphere 7.0 atualização 2 e versões mais recentes) e é a abordagem recomendada para ambientes de produção. O provedor de chaves nativas é executado como um processo no servidor vCenter, que é executado em um cluster do vSphere no VMware Engine. O VMware recomenda o uso do provedor de chaves nativo para criptografar o cluster que hospeda o servidor vCenter. Em vez disso, use um provedor de chaves padrão gerenciado pelo Google ou um KMS externo.

Troca de chaves

Ao usar o provedor de chaves padrão, você é responsável pela rotação da KEK. Para alternar a KEK no vSphere, consulte a documentação do VMware Gerar novas chaves de criptografia de dados em repouso.

Veja outras maneiras de fazer a rotação de uma chave no vSphere nos seguintes recursos do VMware:

• Script de exemplo do PowerCLI no GitHub
• API vSAN Management

Fornecedores compatíveis

Para alternar o seu KMS ativo, selecione uma solução de KMS de terceiros que esteja em conformidade com o KMS 1.1 e seja certificada pelo VMware para vSAN. Os seguintes fornecedores validaram a solução KMS com o VMware Engine e publicaram guias de implantação e declarações de suporte:

• Gerente de criptografia do Thales
• KeyControl do HyTrust
• KMS automático de defesa da Fortanix

Veja instruções de configuração nos seguintes documentos:

• Como configurar a criptografia vSAN usando o KMS Fortanix
• Como configurar a criptografia vSAN usando o CipherTrust Manager
• Como configurar a criptografia vSAN usando HyTrust KeyControl

Usar um fornecedor com suporte

Cada implantação de um KMS externo requer as mesmas etapas básicas:

• Crie um projeto do Google Cloud ou use um atual.
• Crie uma nova nuvem particular virtual (VPC) ou escolha uma rede VPC existente.
• Conecte a rede VPC selecionada ao serviço do VMware Engine usando o Acesso privado a serviços.

Em seguida, implante o KMS em uma instância de VM do Compute Engine:

1. Configure as permissões necessárias do IAM para implantar instâncias de VM do Compute Engine.
2. Implante o KMS no Compute Engine.
3. Estabeleça confiança entre o vCenter e o KMS.
4. Ative a criptografia de dados vSAN.

As seções a seguir descrevem brevemente esse processo de uso de um dos fornecedores compatíveis.

Configurar permissões do IAM

É preciso ter permissões suficientes para implantar instâncias de VM do Compute Engine em um determinado projeto do Google Cloud e rede VPC, para conectar a VPC ao VMware Engine e para configurar regras de firewall para a VPC.

Proprietários de projetos e principais do IAM com o papel de administrador de rede podem criar intervalos de IP alocados e gerenciar conexões particulares. Para mais informações sobre papéis, consulte Papéis do IAM do Compute Engine.

Implantar o sistema de gerenciamento de chaves no Compute Engine

Algumas soluções do KMS estão disponíveis em um formato de dispositivo no Google Cloud Marketplace. É possível implantar esses dispositivos ao importar a OVA diretamente na sua VPC ou projeto do Google Cloud.

Para o KMS baseado em software, implante uma instância de VM do Compute Engine usando a configuração (contagem de vCPU, vMem e discos) recomendada pelo fornecedor do KMS. Instale o software KMS no sistema operacional convidado. Crie a instância de VM do Compute Engine em uma VPC conectada ao VMware Engine usando o Acesso privado a serviços.

Estabelecer confiança entre o vCenter e o KMS

Depois de implantar o KMS no Compute Engine, configure o vCenter do VMware Engine para recuperar chaves de criptografia do KMS.

Primeiro, adicione os detalhes da conexão KMS ao vCenter. Em seguida, estabeleça a confiança entre o vCenter e seu KMS. Para estabelecer confiança entre o vCenter e o KMS, faça o seguinte:

1. Gere um certificado no vCenter.
2. assine-o usando um token ou uma chave gerada pelo KMS;
3. forneça ou faça o upload desse certificado ao vCenter;
4. Confirme o status de conectividade verificando a configuração e o status do KMS na página de configuração do servidor vCenter.

Ativar criptografia de dados vSAN

No vCenter, o usuário CloudOwner padrão tem privilégios suficientes para ativar e gerenciar a criptografia de dados vSAN.

Para mudar de um KMS externo para o provedor de chaves padrão gerenciado pelo Google, siga as etapas para alterar o provedor de chaves fornecido na documentação do VMware Como configurar e gerenciar um provedor de chaves padrão.

A seguir

• Saiba mais sobre as verificações de integridade da conexão do vSAN KMS.
• Saiba mais sobre a criptografia vSAN.