Mengonfigurasi enkripsi vSAN menggunakan Fortanix KMS

Untuk mengenkripsi data dalam penyimpanan menggunakan enkripsi vSAN, salah satu opsinya adalah menggunakan Fortanix Key Management Service (KMS).

Sebelum memulai

  • Buat project Google Cloud atau gunakan project yang sudah ada.
  • Pastikan Anda memiliki setidaknya tiga instance mesin virtual (VM) n1-standard-4 atau yang lebih tinggi.

Men-deploy Fortanix KMS di Google Cloud

Membuat jaringan VPC

Untuk tujuan keamanan, buat jaringan Virtual Private Cloud (VPC) baru. Anda dapat mengontrol siapa saja yang memiliki akses dengan menambahkan aturan firewall atau dengan menggunakan metode kontrol akses lainnya. Jika project Anda memiliki jaringan VPC default, jangan menggunakannya. Sebagai gantinya, buat jaringan VPC Anda sendiri dengan rentang IP subnet yang berbeda, sehingga satu-satunya aturan firewall yang berlaku adalah aturan yang Anda buat secara eksplisit.

Membuat template instance VM

  1. Ikuti langkah-langkah dalam Membuat template instance untuk membuat template instance baru.
  2. Pada Machine type, pilih n1-standard-4 (4 vCPU, 15GB memory) atau yang lebih tinggi.
    1. Di kolom Boot disk, pilih Ubuntu 16.04 LTS + 200GB SSD.

Membuat grup instance terkelola

Dengan menggunakan langkah-langkah dalam Membuat grup instance terkelola, buat grup instance terkelola yang menggunakan template instance yang Anda buat di langkah sebelumnya.

  • Nonaktifkan penskalaan otomatis.
  • Di bagian Number of instances, masukkan jumlah node cluster Fortanix KMS yang Anda inginkan.

Membuat health check

Di halaman Create a health check, periksa port 443. Klik Create untuk membuat health check.

Membuat load balancer TCP internal

  1. Di halaman Create a load balancer, di bagian kolom Internal facing or internal only, pilih Only between my VMs.
  2. Klik Continue untuk membuat load balancer internal baru.
  3. Pilih Backend configuration di panel kiri.
    1. Pilih jaringan VPC baru yang Anda buat.
    2. Pilih grup instance terkelola yang Anda buat.
  4. Di panel kiri, pilih Frontend configuration.
    1. Pilih jaringan VPC baru yang Anda buat.
    2. Di bagian Internal IP, cadangkan alamat IP internal.
    3. Di bagian Port number, perlihatkan port 443, 4445, dan 5696.

Membuat load balancer eksternal

  1. Di halaman Create a load balancer, di bagian Internal facing or internal only, pilih From internet to my VMs.
  2. Klik Lanjutkan.
  3. Di panel kiri, pilih Backend configuration.
    1. Pilih Wilayah.
    2. Pilih grup instance terkelola yang Anda buat.
    3. Pilih health check yang Anda buat.
  4. Di panel kiri, pilih Frontend configuration.
    1. Pilih jaringan VPC yang Anda buat.
    2. Cadangkan alamat IP publik di kolom IP.
    3. Di bagian Port number, perlihatkan port 443, 4445, dan 5696.

Tambahkan aturan firewall

Secara default, aturan firewall jaringan VPC Deny ingress yang tersirat memblokir koneksi masuk yang tidak diminta ke VM di jaringan VPC.

Untuk mengizinkan koneksi masuk, siapkan aturan firewall untuk VM Anda. Setelah koneksi masuk dibuat dengan VM, traffic diizinkan di kedua arah melalui koneksi tersebut.

Anda dapat membuat aturan firewall untuk mengizinkan akses eksternal ke port tertentu, atau untuk membatasi akses antar-VM di jaringan yang sama.

Tambahkan aturan firewall untuk mengizinkan port 443, 4445, dan 5696. Pilih jaringan VPC yang Anda buat dan batasi IP sumbernya, berdasarkan persyaratan keamanan Anda.

Membuat DNS

Anda dapat membuat DNS untuk load balancer internal dan eksternal menggunakan Cloud DNS. Di halaman ini, sdkms.vpc.gcloud adalah endpoint Fortanix KMS yang dapat dijangkau dari jaringan VPC, dan sdkms.external.gcloud adalah endpoint yang dapat dijangkau dari internet.

Mendownload dan menginstal Fortanix KMS

Instal software Fortanix KMS pada setiap instance VM. Untuk mendapatkan petunjuk, baca panduan penginstalan Self-Defending KMS Fortanix. Untuk paket penginstalan yang kompatibel dengan Google Cloud, hubungi Dukungan Fortanix.

Mengonfigurasi akses UI/KMIP

UI dapat diakses menggunakan perintah sdkms.external.gcloud. Key Management Interoperability Protocol (KMIP) untuk VMware dapat diakses menggunakan sdkms.vpc.gcloud.

Menyiapkan akses layanan pribadi

Siapkan akses layanan pribadi ke VMware Engine dan hubungkan jaringan VPC ke cloud pribadi Anda. Untuk mengetahui petunjuknya, lihat Menyiapkan akses layanan pribadi.

Membangun kepercayaan antara vCenter dan Fortanix KMS

  1. Di Fortanix KMS, konfigurasikan aplikasi baru.
  2. Di halaman Applications, klik View credentials untuk aplikasi yang baru saja dibuat. Kemudian, pilih tab Username/Password, lalu catat nama pengguna dan sandi untuk mengonfigurasi KMS di vCenter.
  3. Di vCenter, pada bagian Key Management Servers, konfigurasi IP internal sdkms.vpc.gcloud.
  4. Buat vCenter memercayai Fortanix KMS:
    1. Di tab Configure vCenter, klik Fortanix KMS yang tercantum.
    2. Klik Bangun kepercayaan, lalu klik Make vCenter trust KMS.
    3. Klik Percayai.
  5. Jadikan Fortanix KMS trust vCenter:
    1. Klik Bangun kepercayaan, lalu klik Make KMS trust vCenter.
    2. Di bagian Pilih metode, klik Sertifikat vCenter.
    3. Di bagian Download sertifikat vCenter, klik Download, lalu klik Selesai.
  6. Aktifkan enkripsi vSAN.
    1. Di klien vSphere, buka Cluster > vSAN > Services.
    2. Aktifkan enkripsi vSAN.

Fortanix KMS siap digunakan dengan enkripsi vSAN dan enkripsi VM vCenter. Log audit tahan perusakan mencatat semua operasi kripto yang dilakukan oleh aplikasi. Untuk enkripsi VSAN, kunci keamanan baru dibuat di Fortanix KMS menggunakan protokol KMIP.