VSAN-Verschlüsselung mit Fortanix KMS konfigurieren

Zur Verschlüsselung inaktiver Daten mit vSAN-Verschlüsselung können Sie auch den Fortanix Key Management Service (KMS) nutzen.

Hinweise

  • Erstellen Sie ein Google Cloud-Projekt oder verwenden Sie ein vorhandenes Projekt.
  • Prüfen Sie, ob Sie mindestens drei n1-standard-4-Instanzen (VM-Instanzen) oder höher haben.

Fortanix KMS in Google Cloud bereitstellen

VPC-Netzwerk erstellen

Erstellen Sie aus Sicherheitsgründen ein neues VPC-Netzwerk (Virtual Private Cloud). Durch das Festlegen von Firewallregeln oder die Nutzung eines anderen Verfahrens der Zugriffskontrolle steuern Sie, wer Zugriff hat. Wenn Ihr Projekt ein Standard-VPC-Netzwerk (Virtual Private Cloud) hat, verwenden Sie es nicht. Erstellen Sie stattdessen ein eigenes VPC-Netzwerk mit einem anderen Subnetz-IP-Bereich, sodass nur von Ihnen explizit erstellte Firewallregeln gelten.

VM-Instanzvorlage erstellen

  1. Führen Sie die Schritte unter Instanzvorlagen erstellen aus, um eine neue Instanzvorlage zu erstellen.
  2. Wählen Sie unter Maschinentyp mindestens n1-standard-4 (4 vCPUs, 15 GB Arbeitsspeicher) aus.
    1. Wählen Sie im Feld Bootlaufwerk Ubuntu 16.04 LTS + 200 GB SSD.

Verwaltete Instanzgruppe erstellen

Erstellen Sie mit den Schritten unter Verwaltete Instanzgruppen erstellen eine verwaltete Instanzgruppe, die die im vorherigen Schritt erstellte Instanzvorlage verwendet.

  • Deaktivieren Sie das Autoscaling.
  • Geben Sie unter Anzahl der Instanzen die Anzahl der gewünschten Fortanix KMS-Clusterknoten ein.

Systemdiagnose erstellen

Prüfen Sie auf der Seite Systemdiagnose erstellen nach Port 443. Klicken Sie auf Erstellen, um eine Systemdiagnose zu erstellen.

Internen TCP-Load-Balancer erstellen

  1. Wählen Sie auf der Seite Load-Balancer erstellen im Feld Intern oder nur intern die Option Nur zwischen meinen VMs.
  2. Klicken Sie auf Weiter, um einen neuen internen Load-Balancer zu erstellen.
  3. Wählen Sie im linken Bereich Back-End-Konfiguration aus.
    1. Wählen Sie das neue von Ihnen erstellte VPC-Netzwerk.
    2. Wählen Sie die von Ihnen erstellte verwaltete Instanzgruppe aus.
  4. Wählen Sie im linken Bereich Front-End-Konfiguration aus.
    1. Wählen Sie das neue von Ihnen erstellte VPC-Netzwerk.
    2. Reservieren Sie unter Interne IP-Adresse eine interne IP-Adresse.
    3. Geben Sie unter Portnummer die Ports 443, 4445 und 5696 an.

Externen Load-Balancer erstellen

  1. Wählen Sie auf der Seite Load-Balancer erstellen unter Intern oder nur intern die Option Vom Internet zu meinen VMs.
  2. Klicken Sie auf Weiter.
  3. Wählen Sie im linken Bereich Back-End-Konfiguration aus.
    1. Wählen Sie die Region aus.
    2. Wählen Sie die von Ihnen erstellte verwaltete Instanzgruppe aus.
    3. Wählen Sie die von Ihnen erstellte Systemdiagnose aus.
  4. Wählen Sie im linken Bereich Front-End-Konfiguration aus.
    1. Wählen Sie das von Ihnen erstellte VPC-Netzwerk aus.
    2. Reservieren Sie eine öffentliche IP-Adresse im Feld IP-Adresse.
    3. Geben Sie unter Portnummer die Ports 443, 4445 und 5696 an.

Firewallregel hinzufügen

Standardmäßig blockiert die VPC-Netzwerk-Firewallregel implizierte eingehende Traffic-Ablehnung unerwünschte eingehende Verbindungen zu VMs im VPC-Netzwerk.

Wenn Sie eingehende Verbindungen zulassen möchten, richten Sie für Ihre VM eine entsprechende Firewallregel ein. Wenn eine eingehende Verbindung zu einer VM hergestellt wurde, ist Traffic über diese Verbindung in beide Richtungen zulässig.

Sie können eine Firewallregel erstellen, um externen Zugriff auf bestimmte Ports zuzulassen oder zwischen VMs im selben Netzwerk einzuschränken.

Fügen Sie eine Firewallregel hinzu, um die Ports 443, 4445 und 5696 zuzulassen. Wählen Sie das von Ihnen erstellte VPC-Netzwerk aus und schränken Sie die Quell-IP-Adresse entsprechend Ihren Sicherheitsanforderungen ein.

DNS erstellen

Sie können mit Cloud DNS ein DNS für interne und externe Load-Balancer erstellen. Auf dieser Seite ist sdkms.vpc.gcloud der Endpunkt des Fortanix-KMS, der über das VPC-Netzwerk erreichbar ist, und sdkms.external.gcloud der Endpunkt, der über das Internet erreichbar ist.

Fortanix KMS herunterladen und installieren

Installieren Sie die Fortanix KMS-Software auf jeder VM-Instanz. Eine Anleitung finden Sie in der Installationsanleitung für Fortanix Self-Defender KMS. Wenden Sie sich für das Installationspaket, das mit Google Cloud kompatibel ist, an den Support von Fortanix.

UI/KMIP-Zugriff konfigurieren

Die Benutzeroberfläche kann mit dem Befehl sdkms.external.gcloud aufgerufen werden. Der Key Management Interoperability Protocol (KMIP) für VMware kann mit sdkms.vpc.gcloud aufgerufen werden.

Zugriff auf private Dienste einrichten

Richten Sie den privaten Dienstzugriff auf VMware Engine ein und verbinden Sie Ihr VPC-Netzwerk mit Ihrer privaten Cloud. Eine Anleitung finden Sie unter Privaten Dienstzugriff einrichten.

Vertrauensstellung zwischen vCenter und Fortanix KMS herstellen

  1. Konfigurieren Sie in Fortanix KMS eine neue Anwendung.
  2. Klicken Sie auf der Seite Anwendungen für die Anwendung, die Sie gerade erstellt haben, auf Anmeldedaten anzeigen. Wählen Sie dann den Tab Nutzername/Passwort und notieren Sie sich Nutzernamen und Passwort, um KMS in vCenter zu konfigurieren.
  3. Konfigurieren Sie die interne IP-Adresse sdkms.vpc.gcloud in vCenter unter Key Management Servers.
  4. Legen Sie fest, dass vCenter als vertrauenswürdig für Fortanix KMS festgelegt wird:
    1. Klicken Sie auf dem vCenter-Tab Konfigurieren auf den aufgeführten Fortanix KMS.
    2. Klicken Sie auf Vertrauen herstellen und dann auf vCenter KMS vertrauen lassen.
    3. Klicken Sie auf Trust.
  5. Sorgen Sie dafür, dass Fortanix KMS vCenter als vertrauenswürdig erkennt:
    1. Klicken Sie auf Vertrauensstellung einrichten und dann auf KMS-Trust vCenter erstellen.
    2. Klicken Sie unter Methode auswählen auf vCenter-Zertifikat.
    3. Klicken Sie unter vCenter-Zertifikat herunterladen auf Herunterladen und dann auf Fertig.
  6. vSAN-Verschlüsselung aktivieren
    1. Gehen Sie im vSphere-Client zu Cluster > vSAN > Dienste.
    2. vSAN-Verschlüsselung aktivieren

Fortanix KMS kann jetzt mit der vSAN-Verschlüsselung und der vCenter-VM-Verschlüsselung verwendet werden. In einem vor Manipulationen sicheren Audit-Log werden alle von der Anwendung ausgeführten kryptografischen Vorgänge erfasst. Für die VSAN-Verschlüsselung werden in Fortanix KMS mit dem KMIP-Protokoll neue Sicherheitsschlüssel erstellt.