Configurar encriptación de vSAN con Fortanix KMS

Para encriptar datos en reposo mediante la encriptación de vSAN, una de las opciones es usar el servicio de administración de claves (KMS) de Fortanix.

Antes de comenzar

  • Crea un proyecto de Google Cloud o usa uno existente.
  • Verifica que tengas al menos tres instancias de máquina virtual (VM) n1-standard-4 o posteriores.

Implementa Fortanix KMS en Google Cloud

Crear red de VPC

Por razones de seguridad, crea una nueva red de nube privada virtual (VPC). Puedes controlar quién tiene acceso con reglas de firewall o mediante otro método de control de acceso. Si tu proyecto tiene una red de VPC predeterminada, no la uses. En su lugar, crea tu propia red de VPC con un rango de IP de subred diferente para que las únicas reglas de firewall vigentes sean aquellas que crees explícitamente.

Crea una plantilla de instancia de VM

  1. Sigue los pasos que se indican en Crea plantillas de instancias para crear una plantilla de instancias nueva.
  2. En Tipo de máquina, selecciona n1-standard-4 (4 CPU virtuales, 15 GB de memoria) o superior.
    1. En el campo Disco de arranque, selecciona Ubuntu 16.04 LTS y 200 GB de SSD.

Crea un grupo de instancias administrado

Con los pasos en Crea grupos de instancias administrados, crea un grupo de instancias administrado que use la plantilla de instancias que creaste en el paso anterior.

  • Inhabilita el ajuste de escala automático.
  • En Cantidad de instancias, ingresa la cantidad de nodos del clúster de Fortanix KMS que deseas.

Crea una verificación de estado

En la página Crear una verificación de estado, verifica el puerto 443. Haz clic en Crear para crear una verificación de estado.

Crea un balanceador de cargas TCP interno

  1. En la página Crear un balanceador de cargas, en el campo Orientado a uso interno o solo de uso interno, selecciona Solo entre mis VM.
  2. Haz clic en Continuar para crear un nuevo balanceador de cargas interno.
  3. Selecciona Configuración de backend en el panel izquierdo.
    1. Selecciona la red de VPC nueva que creaste.
    2. Selecciona el grupo de instancias administrado que creaste.
  4. En el panel izquierdo, selecciona Configuración de frontend.
    1. Selecciona la red de VPC nueva que creaste.
    2. En IP interna, reserva una dirección IP interna.
    3. En Número de puerto, expone los puertos 443, 4445 y 5696.

Crea un balanceador de cargas externo

  1. En la página Crear un balanceador de cargas, en Orientado a uso interno o solo de uso interno, selecciona De Internet a mis VM.
  2. Haga clic en Continuar.
  3. En el panel izquierdo, selecciona Configuración de backend.
    1. Selecciona la Región.
    2. Selecciona el grupo de instancias administrado que creaste.
    3. Selecciona la verificación de estado que creaste.
  4. En el panel izquierdo, selecciona Configuración de frontend.
    1. Selecciona la red de VPC que creaste.
    2. Reserva una dirección IP pública en el campo IP.
    3. En Número de puerto, expone los puertos 443, 4445 y 5696.

Agrega una regla de firewall

De forma predeterminada, la regla de firewall de la red de denegación de entrada implícita bloquea las conexiones entrantes no solicitadas a las VM en la red de VPC.

A fin de permitir conexiones entrantes, establece una regla de firewall para la VM. Después de establecer una conexión entrante con una VM, se permite el tráfico en ambas direcciones a través de esa conexión.

Puedes crear una regla de firewall a fin de permitir el acceso externo a puertos específicos o para restringir el acceso entre VM en la misma red.

Agrega una regla de firewall para permitir los puertos 443, 4445 y 5696. Selecciona la red de VPC que creaste y restringe la IP de origen según los requisitos de seguridad.

Crea un DNS

Puedes crear un DNS para balanceadores de cargas internos y externos mediante Cloud DNS. En esta página, sdkms.vpc.gcloud es el extremo del Fortanix KMS al que se puede acceder desde la red de VPC y sdkms.external.gcloud es el extremo al que se puede acceder desde Internet.

Descarga e instala Fortanix KMS

Instala el software de KMS Fortanix en cada instancia de VM. Para ver las instrucciones, consulta la guía de instalación de Fortanix Self Defending KMS. Para obtener información sobre el paquete de instalación compatible con Google Cloud, comunícate con el equipo de asistencia de Fortanix.

Configura el acceso de IU/KMIP

Se puede acceder a la IU mediante el comando sdkms.external.gcloud. Se puede acceder al protocolo de interoperabilidad de administración de claves (KMIP) para VMware mediante sdkms.vpc.gcloud.

Configura el acceso privado a servicios

Configura el acceso privado a los servicios a VMware Engine y conecta tu red de VPC a tu nube privada. Para obtener instrucciones, consulta Configura el acceso privado a los servicios.

Establece la confianza entre vCenter y Fortanix KMS

  1. En el KMS de Fortanix, configura una app nueva.
  2. En la página Aplicaciones, haz clic en Ver credenciales para la app que acabas de crear. Luego, selecciona la pestaña Nombre de usuario/Contraseña y anota el nombre de usuario y la contraseña para configurar KMS en vCenter.
  3. En vCenter, en Servidores de administración de claves, configura la IP interna sdkms.vpc.gcloud.
  4. Hace que la confianza de vCenter sea Fortanix KMS:
    1. En la pestaña Configurar de vCenter, haz clic en el KMS de Fortanix de la lista.
    2. Haz clic en Establish trust y, luego, en Make vCenter trust KMS.
    3. Haz clic en Trust.
  5. Hacer que Fortanix KMS confíe en vCenter:
    1. Haz clic en Establish trust y, luego, en Make vCenter trust KMS.
    2. En Elegir un método, haz clic en Certificado de vCenter.
    3. En Descargar certificado de vCenter, haz clic en Descargar y, luego, en Listo.
  6. Habilita la encriptación de vSAN.
    1. En el cliente de vSphere, ve a Clúster> vSAN > Servicios.
    2. Habilita la encriptación de vSAN.

El KMS de Fortanix está listo para usarse con encriptación vSAN y encriptación de VM de vCenter. Un registro de auditoría inalterable puede capturar todas las operaciones criptográficas realizadas por la aplicación. Para la encriptación VSAN, se crean claves de seguridad nuevas en el KMS de Fortanix con el protocolo KMIP.