Como configurar a criptografia vSAN usando o KMS Fortanix

Para criptografar dados em repouso usando criptografia vSAN, uma opção é usar o serviço de gerenciamento de chaves (KMS, na sigla em inglês) do Fortanix.

Antes de começar

  • Crie um projeto do Google Cloud ou use um atual.
  • Verifique se você tem pelo menos três instâncias de n1-standard-4, ou maiores, máquinas virtuais.

Implante o Forttanix KMS no Google Cloud

Crie uma rede VPC

Por motivos de segurança, crie uma nova rede de nuvem privada virtual (VPC). Para controlar quem tem acesso a ela, adicione regras de firewall ou use outro método de controle de acesso. Caso o projeto tenha uma rede VPC padrão, não a use. Em vez disso, crie sua própria rede VPC com um intervalo de IP de sub-rede diferente para que as únicas regras de firewall aplicadas sejam aquelas explicitamente criadas por você.

Criar um modelo de instância de VM

  1. Siga as etapas em Como criar modelos de instância para criar um novo modelo.
  2. Em Tipo de máquina, selecione n1-standard-4 (4 vCPU, 15 GB de memória) ou mais.
    1. No campo Disco de inicialização, selecione Ubuntu 16.04 LTS + 200 GB SSD.

Criar um grupo de instâncias gerenciadas

Usando as etapas em Como criar grupos de instâncias gerenciadas, crie um grupo de instâncias gerenciadas que use o modelo de instância que você criou na etapa anterior.

  • Desative o escalonamento automático.
  • Em Número de instâncias, insira o número de nós de cluster do KMS Fortanix que você quer.

Criar verificação de integridade

Na página Criar verificação de integridade, verifique a porta 443. Clique em Criar para criar uma verificação de integridade.

Criar um balanceador de carga TCP interno

  1. Na página Criar balanceador de carga, no campo Somente interno ou interno, selecione Apenas entre minhas VMs.
  2. Clique em Continuar para criar um novo balanceador de carga interno.
  3. Selecione Configuração de back-end no painel esquerdo.
    1. Selecione a nova rede VPC que você criou.
    2. Selecione o grupo de instâncias gerenciadas que você criou.
  4. No painel esquerdo, selecione Configuração de front-end.
    1. Selecione a nova rede VPC que você criou.
    2. Em IP interno, reserve um endereço IP interno.
    3. Em Número da porta, exponha as portas 443, 4445 e 5696.

Criar um balanceador de carga externo

  1. Na página Criar um balanceador de carga, em Somente interno ou interno, selecione Da Internet para minhas VMs.
  2. Clique em Continuar.
  3. No painel esquerdo, selecione Configuração de back-end.
    1. Selecione a Região.
    2. Selecione o grupo de instâncias gerenciadas que você criou.
    3. Selecione a verificação de integridade que você criou.
  4. No painel esquerdo, selecione Configuração de front-end.
    1. Selecione a rede VPC que você criou.
    2. Reserve um endereço IP público no campo IP.
    3. Em Número da porta, exponha as portas 443, 4445 e 5696.

Adicionar uma regra de firewall

Por padrão, a regra de firewall de rede VPC negar entrada implícita bloqueia conexões de entrada não solicitadas para VMs na rede VPC.

Para permitir conexões de entrada, configure uma regra de firewall para a VM. Depois que uma conexão de entrada for estabelecida com uma VM, será permitido o tráfego nas duas direções nessa conexão.

É possível criar uma regra de firewall para permitir o acesso externo a portas especificadas ou para restringir o acesso entre as VMs na mesma rede.

Adicione uma regra de firewall para permitir as portas 443, 4445 e 5696. Selecione a rede VPC que você criou e restrinja o IP de origem, com base nos seus requisitos de segurança.

Criar um DNS

É possível criar um DNS para balanceadores de carga internos e externos usando o Cloud DNS. Nesta página, sdkms.vpc.gcloud é o endpoint do KMS do Fortanix que pode ser acessado pela rede VPC e sdkms.external.gcloud é o endpoint acessível pela Internet.

Faça o download e a instalação do Forttanix KMS

Instale o software Fortanix KMS em cada instância de VM. Para mais instruções, consulte o Guia de instalação do Fortanix Self-Defending KMS. Para o pacote de instalação compatível com o Google Cloud, entre em contato com o suporte do Forttanix.

Configurar o acesso à IU/KMIP

Use o comando sdkms.external.gcloud para acessar a IU. O protocolo de interoperabilidade de gerenciamento de chaves (KMIP, na sigla em inglês) para VMware pode ser acessado usando sdkms.vpc.gcloud.

Configurar o acesso privado a serviços

Configure o acesso privado a serviços do VMware Engine e conecte a rede VPC à nuvem privada. Para mais instruções, consulte Como configurar o acesso privado a serviços.

Estabelecer confiança entre o vCenter e o Fortanix KMS

  1. No KMS do KMS para configuração de um novo aplicativo.
  2. Na página Aplicativos, clique em Ver credenciais do aplicativo que você acabou de criar. Em seguida, selecione a guia Nome de usuário/Senha e anote o nome de usuário e a senha para configurar o KMS no vCenter.
  3. No vCenter, em Key Management Servers, configure o IP interno sdkms.vpc.gcloud.
  4. Faça com que o vCenter confie no KMS do Fortanix:
    1. Na guia Configure do vCenter, clique no KMS KMS listado.
    2. Clique em Estabelecer confiança e em Tornar o vCenter confiável do vCenter.
    3. Clique em Confiar.
  5. Faça com que o vCenter confie no Fortanix KMS:
    1. Clique em Estabelecer confiança e em Tornar o KMS confiável do KMS.
    2. Em Escolher um método, clique em certificado do vCenter.
    3. Em Fazer o download do certificado vCenter, clique em Fazer download e em Concluído.
  6. Ative a criptografia vSAN.
    1. No cliente vSphere, acesse Cluster > vSAN > Serviços.
    2. Ative a criptografia vSAN.

O Fortanix KMS está pronto para ser usado com criptografia vSAN e criptografia de VM do vCenter. Um registro de auditoria de prova captura todas as operações de criptografia realizadas pelo aplicativo. Para a criptografia VSAN, novas chaves de segurança são criadas no Forttanix KMS que usa o protocolo KMIP.