Configurazione della crittografia vSAN mediante HyTrust KeyControl

Un'opzione per criptare i dati at-rest utilizzando la crittografia vSAN è utilizzare HyTrust KeyControl come Key Management Service (KMS) esterno. Per eseguire il deployment di HyTrust KeyControl in Google Cloud, segui i passaggi descritti in questo documento.

Prerequisiti

  • Una delle seguenti versioni di vSphere supportate da HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7 o 7.0
    • vSphere Trust Authority 7.0
    • Gestione delle chiavi universale per gli agenti di crittografia compatibili con KMIP
  • Autorizzazione Gestisci KMS per vCenter nel tuo cloud privato. Il ruolo predefinito CloudOwner in VMware Engine dispone di privilegi sufficienti.
  • Una licenza valida per HyTrust KeyControl. KeyControl di cui è stato eseguito il deployment ha una licenza di prova di 30 giorni.

Stabilisci una connessione privata tra il tuo cloud privato e la tua rete VPC

Identifica un progetto e una rete Virtual Private Cloud (VPC) in Google Cloud dove prevedi di implementare i nodi HyTrust KeyControl. Configura una connessione privata tra la rete VPC e il tuo cloud privato.

Crea un'istanza VM che diventerà il nodo KeyControl iniziale nel cluster

  1. Se non hai già una rete VPC esistente che vuoi utilizzare per il nodo KeyControl, crea una nuova rete VPC.

  2. Nella console Google Cloud , vai alla pagina Immagini.

    Vai alla pagina Immagini

  3. Fai clic sull'immagine di HyTrust KeyControl.

  4. Fai clic su Crea istanza.

  5. Configura l'istanza:

    • In Tipo di macchina, seleziona n1-standard-2(2 vCPU, 7,5 GB).
    • Seleziona Consenti traffico HTTPS.
    • In Interfaccia di rete, scegli la rete VPC che vuoi utilizzare. Non potrai modificare questa impostazione in un secondo momento.
    • L'indirizzo IP esterno può essere statico o temporaneo. Per utilizzare un indirizzo IP statico, scegli un indirizzo IP pubblico creato in precedenza o Crea indirizzo IP in IP esterno.
    • In Crea indirizzo IP pubblico, inserisci un nome e una descrizione per l'indirizzo IP.

  6. Fai clic su OK.

  7. Fai clic su Crea.

Per creare altri nodi KeyControl, puoi utilizzare i metadati dell'istanza appena creata. Per visualizzare i metadati dell'istanza, vai alla pagina Istanze VM.

Vai alla pagina Istanze VM

Configura le regole del firewall per l'istanza KeyControl

Prima di iniziare a configurare KeyControl, assicurati che le seguenti porte siano aperte per KeyControl dalla rete VPC o da qualsiasi altra rete da cui prevedi di accedere a KeyControl.

Porte richieste

Tipo Protocollo Intervallo porte
SSH (22) TCP 22
HTTPS (443) TCP 443
Regola TCP personalizzata TCP 8443
Regola UDP personalizzata UDP 123

Porte aggiuntive

Le seguenti porte sono necessarie se prevedi di utilizzare KeyControl come server KMIP o se vuoi utilizzare la funzionalità di polling SNMP per KeyControl.

Tipo Protocollo Porta predefinita
KMIP TCP 5696
SNMP UDP 161

Per scoprire come configurare il firewall, consulta Tabelle del firewall.

Configura il primo nodo KeyControl e inizializza l'interfaccia web di KeyControl

Devi configurare l'istanza KeyControl utilizzando SSH prima di poter utilizzare l'interfaccia web di KeyControl per configurare e gestire il cluster KeyControl.

La procedura seguente descrive come configurare il primo nodo KeyControl nel cluster. Assicurati di disporre dell'ID istanza VM KeyControl e dell'indirizzo IP esterno.

  1. Accedi all'account htadmin nell'istanza VM KeyControl.

    ssh htadmin@external-ip-address

  2. Quando ti viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl.

  3. Inserisci una nuova password per l'account di amministrazione di sistema di KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII. Questa password controlla l'accesso alla console di sistema HyTrust KeyControl che consente agli utenti di eseguire alcune attività di amministrazione di KeyControl. Non consente a un utente KeyControl di accedere all'intero sistema operativo.

  4. Nella schermata Configurazione di sistema, seleziona Installa Nodo KeyControl iniziale e fai clic su Invio.

  5. Esamina la finestra di dialogo di conferma. Questa finestra di dialogo fornisce l'URL pubblico che puoi utilizzare con l'interfaccia web di KeyControl e l'indirizzo IP privato che puoi utilizzare se vuoi aggiungere altri nodi KeyControl a questo cluster.

  6. Fai clic su Invio.

  7. Per inizializzare l'interfaccia web di KeyControl per questo cluster:

    1. In un browser web, vai su https://external-ip-address, dove external-ip-address è l'indirizzo IP esterno associato all'istanza KeyControl.
    2. Se richiesto, aggiungi un'eccezione di sicurezza per l'indirizzo IP di KeyControl e vai all'interfaccia web di KeyControl.
    3. Nella pagina di accesso di HyTrust KeyControl, inserisci secroot per il nome utente e l'ID istanza per la password.
    4. Esamina il Contratto di licenza con l'utente finale (EULA). Fai clic su Accetto per accettare i termini della licenza.
    5. Nella pagina Cambia password, inserisci una nuova password per l'account secroot e fai clic su Aggiorna password.

    6. Nella pagina Configura le impostazioni email e del server di posta, inserisci le impostazioni email. Se inserisci un indirizzo email, KeyControl invia un'email con la chiave di amministrazione per il nuovo nodo. Inoltre, invia avvisi di sistema a questo indirizzo email.

    7. Fai clic su Continua.

    8. Nella pagina Report automatici sui parametri vitali, specifica se attivare o disattivare i report automatici sui parametri vitali. I report automatici sulle informazioni di base ti consentono di condividere automaticamente informazioni sullo stato del cluster KeyControl con l'assistenza HyTrust.

      Se attivi questo servizio, KeyControl invia periodicamente un bundle criptato contenente lo stato del sistema e informazioni di diagnostica a un server HyTrust sicuro. L'assistenza HyTrust potrebbe contattarti in modo proattivo se il servizio Vitals rileva problemi di integrità del cluster.

      Gli amministratori della sicurezza di KeyControl possono attivare o disattivare questo servizio in qualsiasi momento selezionato Impostazioni > Informazioni di base nell'interfaccia web di KeyControl. Per maggiori dettagli, consulta Configurare i report automatici sugli indicatori.

    9. Fai clic su Salva e continua.

    10. Se utilizzi Internet Explorer, importa il certificato e aggiungi l'indirizzo IP di KeyControl all'elenco dei siti attendibili. Verifica che l'opzione Download > Download file sia attivata in Opzioni internet > Sicurezza > Livello personalizzato.

(Facoltativo) Configura nodi aggiuntivi e aggiungili al cluster esistente

Dopo aver configurato il primo nodo KeyControl, puoi aggiungere altri nodi da altre zone o regioni. Tutte le informazioni di configurazione del primo nodo nel cluster vengono copiate in tutti i nodi che aggiungi al cluster.

Assicurati di disporre dell'ID istanza per l'istanza VM KeyControl, dell'indirizzo IP esterno associato a quell'istanza VM e dell'indirizzo IP privato di uno dei nodi KeyControl esistenti nel cluster.

  1. Accedi all'account htadmin nell'istanza VM KeyControl.

      ssh htadmin@external-ip-address

  2. Quando ti viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl che stai configurando.

  3. Inserisci una nuova password per l'account di amministrazione di sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII.

  4. Questa password controlla l'accesso alla console di sistema HyTrust KeyControl che consente agli utenti di eseguire alcune attività di amministrazione di KeyControl. Non consente a un utente KeyControl di accedere all'intero sistema operativo.

  5. Nella schermata Configurazione di sistema, seleziona Aggiungi nodo KeyControl al cluster esistente e fai clic su Invio.

  6. Digita l'indirizzo IP interno di qualsiasi nodo KeyControl già presente nel cluster e fai clic su Invio. KeyControl avvia la procedura di configurazione iniziale del nodo.

  7. Per trovare l'indirizzo IP interno del nodo esistente, accedi all'interfaccia web di KeyControl e fai clic su Cluster nella barra dei menu in alto. Vai alla scheda Server e controlla l'indirizzo IP nella tabella.

  8. Se questo nodo faceva in precedenza parte del cluster selezionato, KeyControl visualizza un messaggio che ti chiede se vuoi cancellare i dati esistenti e ricollegare il cluster. Seleziona e fai clic su Invio.

  9. Se questo nodo faceva parte di un cluster diverso o se inizialmente era configurato come unico nodo del cluster, KeyControl ti avvisa che tutti i dati verranno distrutti sul nodo corrente se continui. Seleziona e fai clic su Invio, quindi di nuovo su Invio per confermare l'azione al prompt successivo.

  10. Se richiesto, inserisci una password monouso per questo nodo KeyControl e fai clic su Invio. La password deve contenere almeno 16 caratteri alfanumerici. Non può contenere spazi o caratteri speciali. Questa password è una stringa temporanea utilizzata per criptare la comunicazione iniziale tra questo nodo e il cluster KeyControl esistente. Quando autentichi il nuovo nodo con il cluster esistente, inserisci questa passphrase nell'interfaccia web di KeyControl in modo che il nodo esistente possa decriptare la comunicazione e verificare che la richiesta di adesione sia valida.

  11. Se la procedura guidata riesce a connettersi al nodo KeyControl designato, viene visualizzata la schermata Autenticazione che ti informa che il nodo fa ora parte del cluster, ma deve essere autenticato nell'interfaccia web di KeyControl prima di poter essere utilizzato dal sistema.

  12. Connettiti al nodo nell'interfaccia web di KeyControl. Quando nella schermata Joining KeyControl Cluster viene visualizzato un messaggio che indica che un amministratore del dominio deve autenticare il nuovo nodo, accedi all'interfaccia web di KeyControl su quel nodo e autentica il nuovo server. Dopo che il nodo è stato autenticato, KeyControl continua la procedura di configurazione.

  13. Fai clic su Invio.

Autentica i nuovi nodi KeyControl

Quando aggiungi un nuovo nodo KeyControl a un cluster esistente, devi autenticare il nuovo nodo dall'interfaccia web KeyControl del nodo specificato nella console di sistema del nodo che si unisce. Ad esempio, se hai tre nodi e ne colleghi un quarto specificando il secondo, devi autenticare il nuovo nodo dall'interfaccia web del secondo. Se provi ad autenticarti da un altro nodo, la procedura non va a buon fine.

  1. Accedi all'interfaccia web di KeyControl utilizzando un account con privilegi di amministratore del dominio.
  2. Nella barra dei menu, fai clic su Cluster.
  3. Fai clic sulla scheda Server.
  4. Seleziona il nodo da autenticare. La colonna Stato mostra Join Pending (Partecipazione in attesa) per tutti i nodi che non sono ancora stati autenticati.
  5. Fai clic su Azioni > Autentica.
  6. Inserisci la password monouso e fai clic su Autentica. Questa passphrase deve corrispondere esattamente alla passphrase specificata durante l'installazione del nodo KeyControl. La passphrase è sensibile alle maiuscole.
  7. Fai clic su Aggiorna e assicurati che lo stato sia Online.
  8. Se vuoi monitorare l'avanzamento della procedura di autenticazione, accedi alla console della VM KeyControl sul nodo di cui stai eseguendo l'autenticazione come htadmin.

Configura le regole firewall tra il tuo cloud privato e la VPC KeyControl

vCenter comunica con HyTrust KeyControl tramite il protocollo KMIP sulla porta KMIP. Il valore predefinito è TCP 5696. La porta è configurabile dall'interfaccia web di KeyControl.

  1. Nella console Google Cloud , fai clic su Rete VPC > Firewall.
  2. Fai clic su Crea regola firewall.
  3. Inserisci i dettagli della regola firewall. Consenti all'indirizzo IP di vCenter di comunicare con KeyControl sulla porta KMIP.

Configurare vCenter per utilizzare HyTrust KeyControl come KMS esterno

  1. Configura il server KMIP
  2. Creare un cluster KMS in vCenter
  3. Stabilire una connessione attendibile tra vCenter e KeyControl utilizzando una CSR generata da vCenter