Fortanix KMS を使用した vSAN 暗号化の構成

vSAN 暗号化を使用して保存データを暗号化するための 1 つのオプションは、Fortanix Key Management Service(KMS)を使用することです。

始める前に

  • Google Cloud プロジェクトを作成するか、既存のプロジェクトを使用します。
  • 少なくとも 3 つの n1-standard-4 以上の仮想マシン(VM)インスタンスがあることを確認します。

Google Cloud に Fortanix KMS をデプロイする

VPC ネットワークの作成

セキュリティ上の理由から、新しい Virtual Private Cloud(VPC)ネットワークを作成してください。アクセスできるユーザーを制御するには、ファイアウォール ルールを追加するか、別のアクセス制御方法を使用します。プロジェクトにデフォルトの VPC ネットワークがあっても、使用しないでください。その代わりに、明示的に作成したファイアウォール ルールが唯一の有効なルールとなるように、サブネット IP 範囲が異なる独自の VPC ネットワークを作成してください。

VM インスタンス テンプレートを作成する

  1. インスタンス テンプレートの作成の手順に沿って、新しいインスタンス テンプレートを作成します。
  2. [マシンタイプ] で、n1-standard-4(4 個の vCPU、15 GB のメモリ)以上を選択します。
    1. [ブートディスク] フィールドで、[Ubuntu 16.04 LTS + 200 GB SSD] を選択します。

マネージド インスタンス グループを作成する

マネージド インスタンス グループの作成の手順に沿って、前のステップで作成したインスタンス テンプレートを使用するマネージド インスタンス グループを作成します。

  • 自動スケーリングを無効にします。
  • [インスタンス数] で、必要な Fortanix KMS クラスタノードの数を入力します。

ヘルスチェックを作成する

[ヘルスチェックの作成] ページで、ポート 443 を確認します。[作成] をクリックしてヘルスチェックを作成します。

内部 TCP ロードバランサを作成する

  1. [ロードバランサの作成] ページの [インターネット接続または内部専用] フィールドで、[VM 間のみ] を選択します。
  2. [続行] をクリックして、新しい内部ロードバランサを作成します。
  3. 左側のパネルで [バックエンドの構成] を選択します。
    1. 作成した新しい VPC ネットワークを選択します。
    2. 作成したマネージド インスタンス グループを選択します。
  4. 左側のパネルで [フロントエンドの構成] を選択します。
    1. 作成した新しい VPC ネットワークを選択します。
    2. [内部 IP] で、内部 IP アドレスを予約します。
    3. [ポート番号] で、ポート 443、4445、5696 を公開します。

外部ロードバランサを作成する

  1. [ロードバランサの作成] ページの [インターネット接続または内部専用] で、[インターネットから自分の VM へ] を選択します。
  2. [続行] をクリックします。
  3. 左側のパネルで [バックエンドの構成] を選択します。
    1. リージョンを選択します。
    2. 作成したマネージド インスタンス グループを選択します。
    3. 作成したヘルスチェックを選択します。
  4. 左側のパネルで [フロントエンドの構成] を選択します。
    1. 作成した VPC ネットワークを選択します。
    2. [IP] フィールドでパブリック IP アドレスを予約します。
    3. [ポート番号] で、ポート 443、4445、5696 を公開します。

ファイアウォール ルールの追加

デフォルトでは、暗黙の上り(内向き)拒否の VPC ネットワーク ファイアウォール ルールによって、VPC ネットワーク内の VM に対する未承諾の受信接続がブロックされます。

受信側の接続を許可するには、VM にファイアウォール ルールを設定します。VM との受信接続が確立されると、トラフィックはその接続を介して双方向に許可されます。

ファイアウォール ルールを作成すると、特定ポートへの外部アクセスの許可、または同じネットワーク上の VM 間のアクセスを制限できます。

ポート 443、4445、5696 を許可するファイアウォール ルールを追加します。作成した VPC ネットワークを選択し、セキュリティ要件に基づいてソース IP を制限します。

DNS を作成する

内部ロードバランサや外部ロードバランサの DNS を作成するには、Cloud DNS を使用します。このページでは、sdkms.vpc.gcloud は VPC ネットワークから到達可能な Fortanix KMS のエンドポイントで、sdkms.external.gcloud はインターネットから到達可能なエンドポイントです。

Fortanix KMS をダウンロードしてインストールする

各 VM インスタンスに Fortanix KMS ソフトウェアをインストールします。手順については、Fortanix Self-Defending KMS インストール ガイドをご覧ください。Google Cloud 対応のインストール パッケージについては、Fortanix サポートにお問い合わせください。

UI / KMIP アクセスを構成する

UI にアクセスするには、sdkms.external.gcloud コマンドを使用します。Key Management Interoperability Protocol(KMIP)for VMware には、sdkms.vpc.gcloud を使用してアクセスできます。

プライベート サービス アクセスを設定する

VMware Engine へのプライベート サービス アクセスを設定し、VPC ネットワークをプライベート クラウドに接続します。手順については、プライベート サービス アクセスの設定をご覧ください。

vCenter と Fortanix KMS 間の信頼関係を確立する

  1. Fortanix KMS で新しいアプリを構成します。
  2. [Applications] ページで、作成したアプリの [View credentials] をクリックします。次に、[Username/Password] タブを選択し、vCenter で KMS を構成するためのユーザー名とパスワードをメモします。
  3. vCenter の [Key Management Servers] で、内部 IP sdkms.vpc.gcloud を構成します。
  4. vCenter で Fortanix KMS を信頼します。
    1. vCenter の [Configure] タブで、一覧表示された Fortanix KMS をクリックします。
    2. [Establish trust] をクリックし、[Make vCenter trust KMS] をクリックします。
    3. [Trust] をクリックします。
  5. Fortanix KMS で vCenter を信頼します。
    1. [Establish trust] をクリックし、[Make KMS trust vCenter] をクリックします。
    2. [Choose a method] で [vCenter certificate] をクリックします。
    3. [Download vCenter certificate] で [Download] をクリックし、[Done] をクリックします。
  6. vSAN 暗号化を有効にします。
    1. vSphere クライアントで、[Cluster] > [vSAN] > [Service] に移動します。
    2. vSAN 暗号化を有効にします。

Fortanix KMS で、vSAN の暗号化と vCenter VM の暗号化を使用できるようになりました。改ざん防止監査ログでは、アプリケーションによって実行されたすべての暗号化のオペレーションをキャプチャします。VSAN 暗号化の場合、KMIP プロトコルを使用して Fortanix KMS で新しいセキュリティ キーが作成されます。