Mengonfigurasi enkripsi vSAN menggunakan Fortanix KMS

Untuk mengenkripsi data dalam penyimpanan menggunakan enkripsi vSAN, salah satu opsi adalah menggunakan Fortanix Key Management Service (KMS).

Sebelum memulai

  • Buat project Google Cloud atau gunakan project yang sudah ada.
  • Pastikan Anda memiliki minimal tiga instance virtual machine (VM) n1-standard-4 atau yang lebih tinggi.

Men-deploy Fortanix KMS di Google Cloud

Membuat jaringan VPC

Untuk tujuan keamanan, buat jaringan Virtual Private Cloud (VPC) baru. Anda dapat mengontrol siapa yang memiliki akses dengan menambahkan aturan firewall atau dengan menggunakan metode kontrol akses lainnya. Jika project Anda memiliki jaringan VPC default, jangan gunakan jaringan tersebut. Sebagai gantinya, buat jaringan VPC Anda sendiri dengan rentang IP subnet yang berbeda sehingga satu-satunya aturan firewall yang berlaku adalah yang Anda buat secara eksplisit.

Membuat template instance VM

  1. Ikuti langkah-langkah dalam Membuat template instance untuk membuat template instance baru.
  2. Di bagian Machine type, pilih n1-standard-4 (4 vCPU, 15GB memory) atau yang lebih tinggi.
    1. Di kolom Boot disk, pilih Ubuntu 16.04 LTS + 200GB SSD.

Membuat grup instance terkelola

Dengan menggunakan langkah-langkah dalam Membuat grup instance terkelola, buat grup instance terkelola yang menggunakan template instance yang Anda buat pada langkah sebelumnya.

  • Nonaktifkan penskalaan otomatis.
  • Di bagian Number of instances, masukkan jumlah node cluster Fortanix KMS yang Anda inginkan.

Membuat health check

Di halaman Create a health check, periksa port 443. Klik Create untuk membuat health check.

Membuat load balancer TCP internal

  1. Di halaman Create a load balancer, pada kolom Internal facing or internal only, pilih Only between my VMs.
  2. Klik Lanjutkan untuk membuat load balancer internal baru.
  3. Pilih Backend configuration di panel kiri.
    1. Pilih jaringan VPC baru yang Anda buat.
    2. Pilih grup instance terkelola yang Anda buat.
  4. Di panel kiri, pilih Frontend configuration.
    1. Pilih jaringan VPC baru yang Anda buat.
    2. Di bagian Internal IP, cadangkan alamat IP internal.
    3. Di bagian Port number, ekspos port 443, 4445, dan 5696.

Membuat load balancer eksternal

  1. Di halaman Create a load balancer, pada bagian Internal facing or internal only, pilih From internet to my VMs.
  2. Klik Lanjutkan.
  3. Di panel kiri, pilih Backend configuration.
    1. Pilih Region.
    2. Pilih grup instance terkelola yang Anda buat.
    3. Pilih health check yang Anda buat.
  4. Di panel kiri, pilih Frontend configuration.
    1. Pilih jaringan VPC yang Anda buat.
    2. Cadangkan alamat IP publik di kolom IP.
    3. Di bagian Port number, ekspos port 443, 4445, dan 5696.

Tambahkan aturan firewall

Secara default, aturan firewall jaringan VPC deny ingress tersirat memblokir koneksi masuk yang tidak diminta ke VM di jaringan VPC.

Untuk mengizinkan koneksi masuk, siapkan aturan firewall untuk VM Anda. Setelah koneksi masuk dibuat dengan VM, traffic diizinkan di kedua arah melalui koneksi tersebut.

Anda dapat membuat aturan firewall untuk mengizinkan akses eksternal ke port yang ditentukan, atau untuk membatasi akses antar-VM di jaringan yang sama.

Tambahkan aturan firewall untuk mengizinkan port 443, 4445, dan 5696. Pilih jaringan VPC yang Anda buat dan batasi IP sumber, berdasarkan persyaratan keamanan Anda.

Membuat DNS

Anda dapat membuat DNS untuk load balancer internal dan eksternal menggunakan Cloud DNS. Di halaman ini, sdkms.vpc.gcloud adalah endpoint KMS Fortanix yang dapat dijangkau dari jaringan VPC dan sdkms.external.gcloud adalah endpoint yang dapat dijangkau dari internet.

Mendownload dan menginstal Fortanix KMS

Instal software KMS Fortanix di setiap instance VM. Untuk mengetahui petunjuknya, lihat panduan penginstalan KMS Self-Defending Fortanix. Untuk paket penginstalan yang kompatibel dengan Google Cloud, hubungi Dukungan Fortanix.

Mengonfigurasi akses UI/KMIP

UI dapat diakses menggunakan perintah sdkms.external.gcloud. Key Management Interoperability Protocol (KMIP) untuk VMware dapat diakses menggunakan sdkms.vpc.gcloud.

Menyiapkan akses layanan pribadi

Siapkan akses layanan pribadi ke VMware Engine dan hubungkan jaringan VPC ke cloud pribadi Anda. Untuk mengetahui petunjuknya, lihat Menyiapkan akses layanan pribadi.

Membangun kepercayaan antara vCenter dan Fortanix KMS

  1. Di Fortanix KMS, konfigurasikan aplikasi baru.
  2. Di halaman Applications, klik View credentials untuk aplikasi yang baru saja Anda buat. Kemudian, pilih tab Username/Password dan catat nama pengguna dan sandi untuk mengonfigurasi KMS di vCenter.
  3. Di vCenter, pada bagian Key Management Servers, konfigurasikan IP internal sdkms.vpc.gcloud.
  4. Buat vCenter memercayai Fortanix KMS:
    1. Di tab Configure vCenter, klik Fortanix KMS yang tercantum.
    2. Klik Buat kepercayaan, lalu klik Buat vCenter memercayai KMS.
    3. Klik Percayai.
  5. Membuat Fortanix KMS memercayai vCenter:
    1. Klik Buat kepercayaan, lalu klik Buat KMS memercayai vCenter.
    2. Di bagian Pilih metode, klik Sertifikat vCenter.
    3. Di bagian Download vCenter certificate, klik Download, lalu klik Done.
  6. Aktifkan enkripsi vSAN.
    1. Di klien vSphere, buka Cluster > vSAN > Services.
    2. Aktifkan enkripsi vSAN.

Fortanix KMS siap digunakan dengan enkripsi vSAN dan enkripsi VM vCenter. Log audit yang tahan modifikasi mencatat semua operasi kripto yang dilakukan oleh aplikasi. Untuk enkripsi VSAN, kunci keamanan baru dibuat di Fortanix KMS menggunakan protokol KMIP.