Configurazione della crittografia vSAN mediante Fortanix KMS

Per criptare i dati at-rest con la crittografia vSAN, puoi scegliere tra l'utilizzo di Fortanix Key Management Service (KMS).

Prima di iniziare

  • Crea un progetto Google Cloud o utilizzane uno esistente.
  • Verifica di avere almeno tre istanze di macchina virtuale (VM) n1-standard-4 o superiore.

Esegui il deployment di Fortanix KMS su Google Cloud

Crea una rete VPC

Per motivi di sicurezza, crea una nuova rete Virtual Private Cloud (VPC). Puoi controllare chi ha accesso aggiungendo regole firewall o utilizzando un altro metodo di controllo dell'accesso. Se il progetto dispone di una rete VPC predefinita, non utilizzarla. Crea invece la tua rete VPC con un intervallo IP di subnet diverso, in modo che le uniche regole firewall attive siano quelle create in modo esplicito.

Crea un modello di istanza VM

  1. Segui la procedura descritta in Creazione di modelli di istanza per creare un nuovo modello di istanza.
  2. In Tipo di macchina, seleziona n1-standard-4 (4 vCPU, 15 GB di memoria) o un valore superiore.
    1. Nel campo Disco di avvio, seleziona Ubuntu 16.04 LTS + SSD da 200 GB.

Creare un gruppo di istanze gestite

Seguendo la procedura descritta in Creazione di gruppi di istanze gestite, crea un gruppo di istanze gestite che utilizza il modello di istanza creato nel passaggio precedente.

  • Disattiva la scalabilità automatica.
  • In Numero di istanze, inserisci il numero desiderato di nodi cluster di KMS Fortanix.

Crea un controllo di integrità

Nella pagina Crea un controllo di integrità, verifica la porta 443. Fai clic su Crea per creare un controllo di integrità.

Crea un bilanciatore del carico TCP interno

  1. Nella pagina Crea un bilanciatore del carico, nel campo Per uso interno o solo interno, seleziona Solo tra le mie VM.
  2. Fai clic su Continua per creare un nuovo bilanciatore del carico interno.
  3. Seleziona Configurazione backend nel riquadro a sinistra.
    1. Seleziona la nuova rete VPC che hai creato.
    2. Seleziona il gruppo di istanze gestite che hai creato.
  4. Nel riquadro a sinistra, seleziona Configurazione frontend.
    1. Seleziona la nuova rete VPC che hai creato.
    2. In IP interno, prenota un indirizzo IP interno.
    3. In Numero porta, espone le porte 443, 4445 e 5696.

Crea un bilanciatore del carico esterno

  1. Nella pagina Crea un bilanciatore del carico, in Per uso interno o solo interno, seleziona Da internet alle mie VM.
  2. Fai clic su Continua.
  3. Nel riquadro a sinistra, seleziona Configurazione backend.
    1. Seleziona la Regione.
    2. Seleziona il gruppo di istanze gestite che hai creato.
    3. Seleziona il controllo di integrità che hai creato.
  4. Nel riquadro a sinistra, seleziona Configurazione frontend.
    1. Seleziona la rete VPC che hai creato.
    2. Prenota un indirizzo IP pubblico nel campo IP.
    3. In Numero porta, espone le porte 443, 4445 e 5696.

Aggiungi una regola firewall

Per impostazione predefinita, la regola firewall di rete VPC nega il traffico in entrata implicita blocca le connessioni in entrata non richieste con le VM nella rete VPC.

Per consentire le connessioni in entrata, configura una regola firewall per la tua VM. Dopo che viene stabilita una connessione in entrata con una VM, il traffico è consentito in entrambe le direzioni su quella connessione.

Puoi creare una regola firewall per consentire l'accesso esterno alle porte specificate o per limitare l'accesso tra VM sulla stessa rete.

Aggiungi una regola firewall per consentire le porte 443, 4445 e 5696. Seleziona la rete VPC che hai creato e limita l'IP di origine in base ai tuoi requisiti di sicurezza.

Crea un DNS

Puoi creare un DNS per i bilanciatori del carico interni ed esterni utilizzando Cloud DNS. In questa pagina, sdkms.vpc.gcloud è l'endpoint del KMS Fortanix raggiungibile dalla rete VPC e sdkms.external.gcloud è l'endpoint raggiungibile da internet.

Scarica e installa Fortanix KMS

Installa il software Fortanix KMS su ogni istanza VM. Per le istruzioni, consulta la guida all'installazione di Fortanix Self-Defending KMS. Per il pacchetto di installazione compatibile con Google Cloud, contatta l'assistenza Fortanix.

Configura l'accesso UI/KMIP

È possibile accedere all'interfaccia utente utilizzando il comando sdkms.external.gcloud. Per accedere al protocollo KMIP (Key Management Interoperability Protocol) per VMware, è possibile utilizzare sdkms.vpc.gcloud.

Configura l'accesso privato ai servizi

Configura l'accesso privato ai servizi a VMware Engine e connetti la tua rete VPC al cloud privato. Per le istruzioni, consulta Configurazione dell'accesso privato ai servizi.

Stabilisci una relazione di fiducia tra vCenter e Fortanix KMS

  1. In Fortanix KMS, configura una nuova app.
  2. Nella pagina Applicazioni, fai clic su Visualizza credenziali per l'app appena creata. Quindi, seleziona la scheda Nome utente/password e prendi nota del nome utente e della password per configurare KMS in vCenter.
  3. In vCenter, nella sezione Key Management Servers, configura l'IP interno sdkms.vpc.gcloud.
  4. Imposta vCenter come attendibile per Fortanix KMS:
    1. Nella scheda Configura vCenter, fai clic sul KMS Fortanix elencato.
    2. Fai clic su Stabilisci trust, quindi fai clic su Rendi vCenter attendibile il KMS.
    3. Fai clic su Attendibile.
  5. Imposta Fortanix KMS Trust come vCenter:
    1. Fai clic su Stabilisci attendibilità, quindi fai clic su Imposta KMS come vCenter attendibile.
    2. In Scegli un metodo, fai clic su Certificato vCenter.
    3. In Scarica certificato vCenter, fai clic su Scarica, quindi su Fine.
  6. Abilita crittografia vSAN.
    1. Nel client vSphere, vai a Cluster > vSAN > Servizi.
    2. Abilita crittografia vSAN.

Fortanix KMS è pronto per l'uso con la crittografia vSAN e la crittografia delle VM vCenter. Un audit log a prova di manomissione acquisisce tutte le operazioni crittografiche eseguite dall'applicazione. Per la crittografia VSAN, i nuovi token di sicurezza vengono creati in Fortanix KMS utilizzando il protocollo KMIP.