Configurazione della crittografia vSAN mediante Fortanix KMS

Per criptare i dati a riposo utilizzando la crittografia vSAN, un'opzione è utilizzare Fortanix Key Management Service (KMS).

Prima di iniziare

  • Crea un progetto Google Cloud o utilizzane uno esistente.
  • Verifica di avere almeno tre istanze VM (macchina virtuale) n1-standard-4 o successive.

Esegui il deployment di Fortanix KMS su Google Cloud

Crea una rete VPC

Per motivi di sicurezza, crea una nuova rete Virtual Private Cloud (VPC). Puoi controllare chi ha accesso aggiungendo regole firewall o utilizzando un altro metodo di controllo dell'accesso. Se il tuo progetto ha una rete VPC predefinita, non utilizzarla. Al contrario, crea la tua rete VPC con un intervallo IP di subnet diverso in modo che le uniche regole firewall in vigore siano quelle che crei esplicitamente.

Crea un modello di istanza VM

  1. Segui i passaggi descritti in Creare modelli di istanze per creare un nuovo modello di istanza.
  2. In Tipo di macchina, seleziona n1-standard-4 (4 vCPU, 15 GB di memoria) o superiore.
    1. Nel campo Disco di avvio, seleziona Ubuntu 16.04 LTS + SSD da 200 GB.

Creare un gruppo di istanze gestite

Utilizzando i passaggi descritti in Creare gruppi di istanze gestite, crea un gruppo di istanze gestite che utilizzi il modello di istanza creato nel passaggio precedente.

  • Disattiva la scalabilità automatica.
  • In Numero di istanze, inserisci il numero di nodi del cluster Fortanix KMS che preferisci.

Crea un controllo di integrità

Nella pagina Crea un controllo di integrità, controlla la porta 443. Fai clic su Crea per creare un controllo di integrità.

Crea un bilanciatore del carico TCP interno

  1. Nella pagina Crea un bilanciatore del carico, seleziona Solo tra le mie VM nel campo Per internet o solo interno.
  2. Fai clic su Continua per creare un nuovo bilanciatore del carico interno.
  3. Seleziona Configurazione di backend nel riquadro a sinistra.
    1. Seleziona la nuova rete VPC che hai creato.
    2. Seleziona il gruppo di istanze gestite che hai creato.
  4. Nel riquadro a sinistra, seleziona Configurazione frontend.
    1. Seleziona la nuova rete VPC che hai creato.
    2. In IP interno, prenota un indirizzo IP interno.
    3. In Numero porta, esponi le porte 443, 4445 e 5696.

Creare un bilanciatore del carico esterno

  1. Nella pagina Crea un bilanciatore del carico, in Per uso interno o solo interno, seleziona Da internet alle mie VM.
  2. Fai clic su Continua.
  3. Nel riquadro a sinistra, seleziona Configurazione di backend.
    1. Seleziona la Regione.
    2. Seleziona il gruppo di istanze gestite che hai creato.
    3. Seleziona il controllo di integrità che hai creato.
  4. Nel riquadro a sinistra, seleziona Configurazione frontend.
    1. Seleziona la rete VPC che hai creato.
    2. Prenota un indirizzo IP pubblico nel campo IP.
    3. In Numero porta, esponi le porte 443, 4445 e 5696.

Aggiungere una regola firewall

Per impostazione predefinita, la regola firewall della rete VPC di immissione di rifiuto implicita blocca le connessioni in entrata non richieste alle VM nella rete VPC.

Per consentire le connessioni in entrata, configura una regola firewall per la VM. Dopo aver stabilito una connessione in entrata con una VM, il traffico è consentito in entrambe le direzioni tramite questa connessione.

Puoi creare una regola firewall per consentire l'accesso esterno a porte specifiche o per limitare l'accesso tra le VM sulla stessa rete.

Aggiungi una regola firewall per consentire le porte 443, 4445 e 5696. Seleziona la rete VPC che hai creato e limita l'IP di origine in base ai tuoi requisiti di sicurezza.

Crea un DNS

Puoi creare un DNS per i bilanciatori del carico interni ed esterni utilizzando Cloud DNS. In questa pagina, sdkms.vpc.gcloud è l'endpoint della KMS Fortanix raggiungibile dalla rete VPC e sdkms.external.gcloud è l'endpoint raggiungibile da internet.

Scaricare e installare Fortanix KMS

Installa il software Fortanix KMS su ogni istanza VM. Per le istruzioni, consulta la guida all'installazione di Fortanix Self-Defending KMS. Per il pacchetto di installazione compatibile con Google Cloud, contatta l'assistenza Fortanix.

Configurare l'accesso UI/KMIP

È possibile accedere all'interfaccia utente utilizzando il comando sdkms.external.gcloud. Puoi accedere al protocollo KMIP (Key Management Interoperability Protocol) per VMware utilizzando sdkms.vpc.gcloud.

Configura l'accesso privato ai servizi

Configura l'accesso privato ai servizi a VMware Engine e collega la tua rete VPC al tuo cloud privato. Per le istruzioni, consulta Configurare l'accesso privato ai servizi.

Stabilisci la fiducia tra vCenter e Fortanix KMS

  1. In Fortanix KMS, configura una nuova app.
  2. Nella pagina Applications (Applicazioni), fai clic su Visualizza credenziali per l'app appena creata. Quindi, seleziona la scheda Nome utente/Password e annota il nome utente e la password per configurare KMS in vCenter.
  3. In vCenter, in Key Management Servers (Server di gestione delle chiavi), configura l'IP internosdkms.vpc.gcloud.
  4. Fai in modo che vCenter attenda Fortanix KMS:
    1. Nella scheda Configura di vCenter, fai clic sul Fortanix KMS elencato.
    2. Fai clic su Stabilisci attendibilità e poi su Fai in modo che vCenter attenda KMS.
    3. Fai clic su Attendibile.
  5. Fai in modo che Fortanix KMS attenda vCenter:
    1. Fai clic su Stabilisci attendibilità, quindi su Fai in modo che KMS attenda vCenter.
    2. In Scegli un metodo, fai clic su Certificato vCenter.
    3. In Scarica il certificato vCenter, fai clic su Scarica e poi su Fine.
  6. Attiva la crittografia vSAN.
    1. Nel client vSphere, vai a Cluster > vSAN > Servizi.
    2. Attiva la crittografia vSAN.

Fortanix KMS è pronto per l'utilizzo con la crittografia vSAN e la crittografia delle VM vCenter. Un audit log a prova di manomissione acquisisce tutte le operazioni di crittografia eseguite dall'applicazione. Per la crittografia vSAN, in Fortanix KMS vengono create nuove chiavi di sicurezza utilizzando il protocollo KMIP.