VSAN-Verschlüsselung mit HyTrust KeyControl konfigurieren

Eine Möglichkeit, mit dem vSAN-Verschlüsselung inaktive Daten zu verschlüsseln, ist HyTrust KeyControl als externer Schlüsselverwaltungsdienst (KMS). Führen Sie die Schritte in diesem Dokument aus, um HyTrust KeyControl in Google Cloud bereitzustellen.

Vorbereitung

Eine der folgenden von HyTrust KeyControl unterstützten vSphere-Versionen:
- vSphere 6.5, 6.6, 6.7 oder 7.0
- vSphere Trust Authority 7.0
- Universelle Schlüsselverwaltung für KMIP-kompatible Verschlüsselungs-Agents
Die Berechtigung zum Verwalten von KMS für vCenter in der privaten Cloud. Die Standardrolle CloudOwner in VMware Engine bietet ausreichende Berechtigungen.
Eine gültige Lizenz für HyTrust KeyControl. Die bereitgestellte KeyControl hat eine Testlizenz von 30 Tagen.

Private Verbindung zwischen der privaten Cloud und dem VPC-Netzwerk herstellen

Identifizieren Sie ein Projekt und ein VPC-Netzwerk (Virtual Private Cloud) in Google Cloud, auf dem Sie HyTrust KeyControl-Knoten bereitstellen möchten. Konfigurieren Sie eine private Verbindung zwischen diesem VPC-Netzwerk und Ihrer privaten Cloud.

VM-Instanz erstellen, die zum ersten KeyControl-Knoten im Cluster wird

Falls Sie noch kein VPC-Netzwerk haben, das Sie für den KeyControl-Knoten verwenden möchten, erstellen Sie ein neues VPC-Netzwerk.
Rufen Sie in der Google Cloud Console die Seite Images auf.

Zur Seite "Images"
Klicken Sie auf das HyTrust KeyControl-Image.
Klicken Sie auf Instanz erstellen.
Konfigurieren Sie die Instanz:
- Wählen Sie unter Maschinentyp die Option n1-standard-2 (2 vCPUs, 7,5 GB) aus.
- Klicken Sie auf das Kästchen HTTPS-Traffic zulassen.
- Wählen Sie unter Netzwerkschnittstelle das VPC-Netzwerk aus, das Sie verwenden möchten. Diese Angabe kann später nicht mehr geändert werden.
- Die externe IP-Adresse kann statisch oder sitzungsspezifisch sein. Wählen Sie eine zuvor erstellte öffentliche IP-Adresse aus oder wählen Sie unter Externe IP-Adresse die Option IP-Adresse erstellen aus, um eine statische IP-Adresse zu verwenden.
- Geben Sie unter Öffentliche IP-Adresse erstellen einen Namen und eine Beschreibung für die IP-Adresse ein.
Klicken Sie auf OK.
Klicken Sie auf Erstellen.

Zum Erstellen weiterer KeyControl-Knoten können Sie Metadaten aus der gerade erstellten Instanz verwenden. Rufen Sie die Seite VM-Instanzen auf, um sich die Instanzmetadaten anzeigen zu lassen.

Die Seite VM-Instanzen aufrufen

Firewallregeln für die KeyControl-Instanz konfigurieren

Stellen Sie vor dem Konfigurieren von KeyControl sicher, dass die folgenden Ports für KeyControl Ihres VPC-Netzwerks oder eines anderen Netzwerks, über das Sie auf KeyControl zugreifen möchten, geöffnet sind.

Erforderliche Ports

Typ	Protokoll	Portbereich
SSH (22)	TCP	22
HTTPS (443)	TCP	443
Benutzerdefinierte TCP-Regel	TCP	8443
Benutzerdefinierte UDP-Regel	UDP	123

Zusätzliche Ports

Die folgenden Ports sind erforderlich, wenn Sie KeyControl als KMIP-Server verwenden möchten oder wenn Sie das SNMS-Abfragefeature für KeyControl verwenden möchten.

Typ	Protokoll	Standardport
KMIP	TCP	5696
SNMP	UDP	161

Informationen zum Einrichten der Firewall finden Sie unter Firewalltabellen.

Den ersten KeyControl-Knoten konfigurieren und die KeyControl-Weboberfläche initialisieren

Sie müssen die KeyControl-Instanz mit SSH konfigurieren, bevor Sie die KeyControl-Weboberfläche zum Konfigurieren und Verwalten des KeyControl-Clusters verwenden können.

Im Folgenden wird beschrieben, wie der erste KeyControl-Knoten im Cluster konfiguriert wird. Vergewissern Sie sich, dass Sie die ID und die externe IP-Adresse der KeyControl-VM-Instanz haben.

Melden Sie sich auf der KeyControl-VM-Instanz im Konto htadmin an.
```
ssh htadmin@external-ip-address
```
Wenn Sie zur Eingabe des htadmin-Passworts aufgefordert werden, geben Sie die Instanz-ID für die KeyControl-Instanz ein.
Geben Sie ein neues Passwort für das KeyControl-Systemverwaltungskonto "htadmin" ein und drücken Sie die Eingabetaste. Das Passwort muss mindestens 6 Zeichen lang sein und darf keine Leerzeichen oder Nicht-ASCII-Zeichen enthalten. Dieses Passwort steuert den Zugriff auf die HyTrust KeyControl System Console, über die Nutzer einige KeyControl-Verwaltungsaufgaben ausführen können. Es verhindert einem KeyControl-Nutzer nicht, auf das vollständige Betriebssystem zuzugreifen.

Wichtig: Bewahren Sie dieses Passwort an einem sicheren Ort auf. Wenn Sie das Passwort vergessen, müssen Sie sich an den HyTrust-Support wenden. Aus Sicherheitsgründen bietet KeyControl keinen Mechanismus zur Wiederherstellung von Passwörtern, auf die der Nutzer zugreifen kann.
Wählen Sie auf dem Bildschirm Systemkonfiguration die Option Ersten KeyControl-Knoten installieren aus und drücken Sie die Eingabetaste.
Lesen Sie das Bestätigungsdialogfeld. In diesem Dialogfeld sind die öffentliche URL, die Sie auf der Weboberfläche von KeyControl verwenden können, und die private IP-Adresse angegeben, die Sie verwenden können, wenn Sie diesem Cluster weitere KeyControl-Knoten hinzufügen möchten.
Drücken Sie die Eingabetaste.
Initialisieren Sie die KeyControl-Weboberfläche für diesen Cluster:
1. Rufen Sie in einem Webbrowser https://external-ip-address auf, wobei external-ip-address die externe IP-Adresse ist, die der KeyControl-Instanz zugeordnet ist.
2. Wenn Sie dazu aufgefordert werden, fügen Sie eine Sicherheitsausnahme für die IP-Adresse von KeyControl hinzu. Fahren Sie dann auf der Weboberfläche von KeyControl fort.
3. Geben Sie auf der Anmeldeseite von HyTrust KeyControl secroot als Nutzername und die Instanz-ID als Passwort ein.
4. Lesen Sie den Endnutzer-Lizenzvertrag (EULA). Klicken Sie auf I Agree, um die Lizenzbedingungen zu akzeptieren.
5. Geben Sie auf der Seite Change Password ein neues Passwort für das Konto "secroot" ein und klicken Sie auf Update Password.
6. Geben Sie auf der Seite Configure E-Mail and Mail Server Settings Ihre E-Mail-Einstellungen ein. Wenn Sie eine E-Mail-Adresse eingeben, erhalten Sie von KeyControl eine E-Mail mit dem Administratorschlüssel für den neuen Knoten. Außerdem werden Systembenachrichtigungen an diese E-Mail-Adresse gesendet.
  
  Hinweis: Falls Sie keine Benachrichtigungen per E-Mail erhalten möchten, klicken Sie auf E-Mail-Benachrichtigungen deaktivieren. Den Administratorschlüssel können Sie auf der Weboberfläche von KeyControl über den Tab Settings herunterladen. Sie müssen den Administratorschlüssel herunterladen und speichern, um verschiedene Verwaltungsvorgänge auszuführen.
7. Klicken Sie auf Weiter.
8. Geben Sie auf der Seite Automatic Vitals Reporting an, ob Sie automatische Vitals-Berichte aktivieren oder deaktivieren möchten. Mit der automatischen Vitals-Berichterstellung können Informationen zum Zustand Ihres KeyControl-Clusters automatisch an den HyTrust-Support gesendet werden.
  
  Wenn Sie diesen Dienst aktivieren, sendet KeyControl regelmäßig ein verschlüsseltes Bundle mit Systemstatus- und Diagnoseinformationen an einen sicheren HyTrust-Server. Der HyTrust-Support nimmt möglicherweise selbstständig Kontakt zu Ihnen auf, wenn der Vitals-Dienst Probleme mit dem Zustand Ihres Clusters feststellt.
  
  KeyControl-Sicherheitsadministratoren können diesen Dienst jederzeit aktivieren oder deaktivieren, indem Sie auf der Weboberfläche von KeyControl Settings > Vitals auswählen. Weitere Informationen finden Sie unter Automatische Vitals-Berichte konfigurieren.
9. Klicken Sie auf Speichern und weiter.
10. Wenn Sie den Internet Explorer verwenden, importieren Sie das Zertifikat und fügen Sie die KeyControl-IP-Adresse Ihrer Liste vertrauenswürdiger Websites hinzu. Prüfen Sie, ob die Option Downloads > Dateidownload unter Internetoptionen > Sicherheit > Benutzerdefinierte Stufe aktiviert ist.

Zusätzliche Knoten konfigurieren und dem vorhandenen Cluster hinzufügen (optional)

Nachdem der erste KeyControl-Knoten konfiguriert wurde, können Sie zusätzliche Knoten aus anderen Zonen oder Regionen hinzufügen. Alle Konfigurationsinformationen vom ersten Knoten im Cluster werden auf alle Knoten kopiert, die Sie dem Cluster hinzufügen.

Sie benötigen die Instanz-ID der KeyControl-VM-Instanz, die externe IP-Adresse, die dieser VM-Instanz zugeordnet ist, und die private IP-Adresse eines vorhandenen KeyControl-Knotens in Ihrem Cluster.

Melden Sie sich bei der KeyControl-VM-Instanz mit dem Konto htadmin an.
```
  ssh htadmin@external-ip-address
  
```
Wenn Sie zur Eingabe des htadmin-Passworts aufgefordert werden, geben Sie die Instanz-ID der KeyControl-Instanz ein, die Sie konfigurieren möchten.
Geben Sie ein neues Passwort für das KeyControl-Systemverwaltungskonto htadmin ein und drücken Sie die Eingabetaste. Das Passwort muss mindestens 6 Zeichen lang sein und darf keine Leerzeichen oder Nicht-ASCII-Zeichen enthalten.
Dieses Passwort steuert den Zugriff auf die HyTrust KeyControl System Console, über die Nutzer einige KeyControl-Verwaltungsaufgaben ausführen können. Es ermöglicht dem KeyControl-Nutzer nicht, auf das vollständige Betriebssystem zuzugreifen.

Wichtig: Bewahren Sie dieses Passwort an einem sicheren Ort auf. Wenn Sie das Passwort vergessen, müssen Sie sich an den HyTrust-Support wenden. Aus Sicherheitsgründen bietet KeyControl keinen Mechanismus zur Wiederherstellung von Passwörtern, auf die der Nutzer zugreifen kann.
Wählen Sie auf dem Bildschirm Systemkonfiguration die Option KeyControl-Konten zum bestehen Cluster hinzufügen aus und drücken Sie die Eingabetaste.
Geben Sie die interne IP-Adresse eines KeyControl-Knotens ein, der sich bereits im Cluster befindet, und drücken Sie die Eingabetaste. KeyControl beginnt mit dem initialen Konfigurationsprozess für den Knoten.
Melden Sie sich bei der Weboberfläche von KeyControl an und klicken Sie in der oberen Menüleiste auf Cluster, um die interne IP-Adresse für den vorhandenen Knoten zu ermitteln. Wechseln Sie zum Tab Server und sehen Sie sich die IP-Adresse in der Tabelle an.
Wenn dieser Knoten zuvor Teil des ausgewählten Clusters war, wird in KeyControl eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die vorhandenen Daten bereinigen und den Knoten wieder dem Cluster hinzufügen möchten. Wählen Sie Yes aus und drücken Sie die Eingabetaste.
Wenn dieser Knoten Mitglied eines anderen Clusters war oder ursprünglich als einziger Knoten im Cluster konfiguriert wurde, erhalten Sie von KeyControl die Meldung, dass alle Daten auf dem aktuellen Knoten gelöscht werden, falls Sie fortfahren. Wählen Sie Yes aus, drücken Sie die Eingabetaste und dann noch einmal die Eingabetaste, um die Aktion bei der nächsten Eingabeaufforderung zu bestätigen.
Wenn Sie dazu aufgefordert werden, geben Sie ein Einmalpasswort für diesen KeyControl-Knoten ein und drücken Sie die Eingabetaste. Das Passwort muss mindestens 16 alphanumerische Zeichen enthalten. Er darf keine Leerzeichen oder Sonderzeichen enthalten. Dieses Passwort ist ein temporärer String, der zum Verschlüsseln der ersten Kommunikation zwischen diesem Knoten und dem vorhandenen KeyControl-Cluster verwendet wird. Wenn Sie den neuen Knoten beim vorhandenen Cluster authentifizieren, geben Sie diese Passphrase in der Weboberfläche von KeyControl ein, damit der vorhandene Knoten die Kommunikation entschlüsseln und verifizieren kann, ob die Anfrage zum Hinzufügen gültig ist.
Wenn der Assistent eine Verbindung zum vorgesehenen KeyControl-Knoten herstellen kann, wird der Bildschirm Authentification angezeigt. Sie erhalten dann die Information, dass der Knoten jetzt Teil des Clusters ist, aber zuerst auf der Weboberfläche von KeyControl authentifiziert werden muss, bevor er vom System verwendet werden kann.
Authentifizieren Sie den Knoten auf der Weboberfläche von KeyControl. Wenn auf dem Bildschirm Joining KeyControl Cluster eine Nachricht angezeigt wird, dass der neue Knoten von einem Domainadministrator authentifiziert werden muss, melden Sie sich auf diesem Knoten bei der Weboberfläche von KeyControl an und authentifizieren Sie den neuen Server. Nachdem der Knoten authentifiziert wurde, setzt KeyControl den Einrichtungsvorgang fort.
Drücken Sie die Eingabetaste.

Neue KeyControl-Knoten authentifizieren

Wenn Sie einen neuen KeyControl-Knoten zu einem vorhandenen Cluster hinzufügen, müssen Sie den neuen Knoten über die KeyControl-Weboberfläche des Knotens authentifizieren, der in der Systemkonsole des Join-Knotens angegeben wurde. Wenn Sie beispielsweise drei Knoten haben, einen vierten Knoten hinzufügen möchten und dafür den zweiten Knoten angeben, müssen Sie den neuen Knoten über die Weboberfläche für den zweiten Knoten authentifizieren. Wenn Sie die Authentifizierung von einem anderen Knoten aus durchführen, schlägt der Vorgang fehl.

Melden Sie sich mit einem Konto mit Domainadministratorberechtigungen in der KeyControl-Weboberfläche an.
Klicken Sie in der Menüleiste auf Cluster.
Klicken Sie auf den Tab Server.
Wählen Sie den Knoten aus, den Sie authentifizieren möchten. In der Spalte Status wird für alle Knoten, die noch nicht authentifiziert wurden, der Status Join Pending angezeigt.
Klicken Sie auf Actions > Authenticate.
Geben Sie das einmalige Passwort ein und klicken Sie auf Authenticate. Diese Passphrase muss genau mit der Passphrase übereinstimmen, die Sie bei der Installation des KeyControl-Knotens angegeben haben. Bei der Passphrase wird zwischen Groß- und Kleinschreibung unterschieden.
Klicken Sie auf Refresh und vergewissern Sie sich, dass der Status Online lautet.
Wenn Sie den Fortschritt des Authentifizierungsvorgangs verfolgen möchten, melden Sie sich in der KeyControl-VM-Konsole auf dem Knoten an, den Sie als htadmin authentifizieren.

Firewallregeln für die private Cloud und die KeyControl-VPC konfigurieren

vCenter kommuniziert mit HyTrust KeyControl über das KMIP-Protokoll auf dem KMIP-Port. Der Standardwert ist TCP 5696. Der Port kann über die Weboberfläche von KeyControl konfiguriert werden.

Klicken Sie in der Google Cloud Console auf VPC-Netzwerk > Firewall.
Klicken Sie auf Firewallregel erstellen.
Geben Sie die Details für die Firewallregel ein. Lassen Sie zu, dass die IP-Adresse von vCenter auf dem KMIP-Port mit KeyControl kommuniziert.