Configura la encriptación de vSAN mediante HyTrust KeyControl

Una opción para encriptar datos en reposo mediante la encriptación de vSAN es usar HyTrust KeyControl como un servicio de administración de claves externo (KMS). Para implementar HyTrust KeyControl en Google Cloud, sigue los pasos de este documento.

Requisitos previos

  • Debes tener una de las siguientes versiones de vSphere compatibles con HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7, o 7.0
    • vSphere Trust Authority 7.0
    • Administración universal de claves para agentes de encriptación compatibles con KMIP
  • Debes administrar el permiso de KMS para vCenter en tu nube privada. La función predeterminada CloudOwner de VMware Engine tiene los privilegios suficientes.
  • Debes tener una licencia válida para HyTrust KeyControl. El KeyControl implementado tiene una licencia de prueba de 30 días.

Establece una conexión privada entre tu nube privada y tu red de VPC

Identifica un proyecto y una red de nube privada virtual (VPC) en Google Cloud en la que planeas implementar nodos de HyTrust KeyControl. Configura una conexión privada entre esa red de VPC y tu nube privada.

Crea una instancia de VM que se convertirá en el nodo de KeyControl inicial en tu clúster

  1. Si no tienes una VPC existente que desees usar para el nodo de KeyControl, crea una red de VPC nueva.

  2. En la consola de Google Cloud, ve a la página Imágenes.

    Ir a la página Imágenes

  3. Haz clic en la imagen de HyTrust KeyControl.

  4. Haz clic en Crear instancias.

  5. Configura la instancia:

    • En Tipo de máquina, selecciona n1-standard-2 (2 CPU virtuales, 7.5 GB).
    • Marca Permitir el tráfico HTTPS.
    • En Interfaz de red, elige la VPC que deseas usar. No podrás cambiar este dato más tarde.
    • La dirección IP externa puede ser estática o efímera. Para usar una dirección IP estática, elige cualquier IP pública creada con anterioridad o selecciona Crear dirección IP en IP externa.
    • En Create public IP address, ingresa un nombre y una descripción para la dirección IP.

  6. Haz clic en Aceptar.

  7. Haz clic en Crear.

Para crear nodos de KeyControl adicionales, puedes usar metadatos de la instancia que acabas de crear. Para ver los metadatos de la instancia, ve a la página Instancias de VM.

Ir a la página Instancias de VM

Configura reglas de firewall para la instancia de KeyControl

Antes de comenzar a configurar KeyControl, asegúrate de que los siguientes puertos estén abiertos para KeyControl desde tu red de VPC o desde cualquier otra red desde la que planeas acceder a KeyControl.

Puertos requeridos

Tipo Protocolo Intervalo de puerto
SSH (22) TCP 22
HTTPS (443) TCP 443
Regla de TCP personalizada TCP 8443
Regla de UDP personalizada UDP 123

Puertos adicionales

Necesitas los siguientes puertos si planeas usar KeyControl como un servidor KMIP o si quieres usar la función de sondeo de SNMP para KeyControl.

Tipo Protocolo Puerto predeterminado
KMIP TCP 5696
SNMP UDP 161

Para aprender a configurar el firewall, consulta las Tablas de firewall.

Configura el primer nodo de KeyControl e inicializa la interfaz web de KeyControl

Debes configurar la instancia de KeyControl mediante SSH antes de poder usar la interfaz web de KeyControl para configurar y mantener tu clúster de KeyControl.

En el siguiente procedimiento, se describe cómo configurar el primer nodo de KeyControl en el clúster. Asegúrate de tener el ID de la instancia de VM de KeyControl y la dirección IP externa.

  1. Accede a la cuenta htadmin en tu instancia de VM de KeyControl.

    ssh htadmin@external-ip-address

  2. Cuando se te solicite la contraseña de htadmin, ingresa el ID de tu instancia de KeyControl.

  3. Ingresa una contraseña nueva para la cuenta htadmin de administración del sistema de KeyControl y haz clic en Ingresar. La contraseña debe tener al menos 6 caracteres y no puede contener espacios ni caracteres que no sean ASCII. Esta contraseña controla el acceso a la consola del sistema HyTrust KeyControl que permite a los usuarios realizar algunas tareas de administración de KeyControl. No permite que un usuario de KeyControl acceda al sistema operativo completo.

  4. En la pantalla System configuration, selecciona Install Initial KeyControl Node y haz clic en Ingresar.

  5. Revisa el cuadro de diálogo de confirmación. En este cuadro de diálogo, se proporciona la URL pública, que puedes usar con la interfaz web de KeyControl, y la dirección IP privada, que puedes usar si deseas agregar otros nodos de KeyControl a este clúster.

  6. Haz clic en Ingresar.

  7. Si deseas inicializar la interfaz web de KeyControl para este clúster, haz lo siguiente:

    1. En un navegador web, navega a https://external-ip-address, en el que external-ip-address es la dirección IP externa asociada con la instancia de KeyControl.
    2. Si se te solicita, agrega una excepción de seguridad para la dirección IP de KeyControl y continúa con la interfaz web de KeyControl.
    3. En la página de acceso de HyTrust KeyControl, ingresa secroot como nombre de usuario y el ID de instancia como contraseña.
    4. Revisa el CLUF (Contrato de licencia para el usuario final). Haz clic en Acepto para aceptar los términos de la licencia.
    5. En la página Cambiar contraseña, ingresa una contraseña nueva para la cuenta secroot y haz clic en Update Password.

    6. En la página Configure E-Mail and Mail Server Settings, ingresa tu configuración de correo electrónico. Si ingresas una dirección de correo electrónico, KeyControl envía un correo electrónico con la clave de administrador para el nodo nuevo. También envía alertas del sistema a esta dirección de correo electrónico.

    7. Haz clic en Continuar.

    8. En la página Automatic Vitals Reporting, especifica si deseas habilitar o inhabilitar los informes automáticos de Vitals. Los informes de Vitals automáticos te permiten compartir de forma automática la información sobre el estado de tu clúster de KeyControl con la asistencia de HyTrust.

      Si habilitas este servicio, KeyControl envía de forma periódica un paquete encriptado que contiene información de diagnóstico y el estado del sistema a un servidor HyTrust seguro. La asistencia de HyTrust podría comunicarse contigo de forma proactiva si el servicio de Vitals identifica problemas en el estado del clúster.

      Los administradores de seguridad de KeyControl pueden habilitar o inhabilitar este servicio en cualquier momento. Para ello, selecciona Settings > Vitals en la interfaz web de KeyControl. Para obtener más información, consulta Configura los informes automáticos de Vitals.

    9. Haz clic en Guardar y continuar.

    10. Si usas Internet Explorer, importa el certificado y agrega la dirección IP de KeyControl a la lista de sitios de confianza. Verifica que la opción Descargas > Descargar archivo esté habilitada en Internet Options > Seguridad > Custom Level.

Configura nodos adicionales y agrégalos al clúster existente (opcional)

Después de configurar el primer nodo de KeyControl, puedes agregar nodos adicionales de otras zonas o regiones. Toda la información de configuración del primer nodo en tu clúster se copia en cualquier nodo que agregues al clúster.

Asegúrate de tener el ID de tu instancia de VM de KeyControl, la dirección IP externa asociada a esa instancia de VM y la dirección IP privada de uno de los nodos KeyControl existentes de tu clúster.

  1. Accede a la cuenta htadmin en la instancia de VM de KeyControl.

      ssh htadmin@external-ip-address

  2. Cuando se te solicite la contraseña htadmin, ingresa el ID de la instancia de KeyControl que estás configurando.

  3. Ingresa una contraseña nueva para la cuenta htadmin de administración del sistema de KeyControl y haz clic en Ingresar. La contraseña debe tener al menos 6 caracteres y no puede contener espacios ni caracteres que no sean ASCII.

  4. Esta contraseña controla el acceso a la consola del sistema HyTrust KeyControl que permite a los usuarios realizar algunas tareas de administración de KeyControl. No permite que los usuarios de KeyControl accedan al sistema operativo completo.

  5. En la pantalla System configuration, selecciona Add KeyControl node to existing cluster y haz clic en Ingresar.

  6. Escribe la dirección IP interna de cualquier nodo de KeyControl que ya esté en el clúster y haz clic en Ingresar. KeyControl inicia el proceso de configuración inicial del nodo.

  7. Si quieres buscar la dirección IP interna del nodo existente, accede a la interfaz web de KeyControl y haz clic en Clúster, en la barra de menú superior. Ve a la pestaña Servidores y observa la dirección IP en la tabla.

  8. Si este nodo antes era parte del clúster seleccionado, KeyControl muestra un mensaje que te pregunta si deseas borrar los datos existentes y volver a unirte al clúster. Selecciona y haz clic en Ingresar.

  9. Si este nodo era miembro de un clúster diferente o se configuró originalmente como el único nodo en el clúster, KeyControl te advierte que todos los datos se destruirán en el nodo actual si continúas. Selecciona y haz clic en Ingresar. Luego, vuelve a hacer clic en Ingresar para confirmar la acción en el siguiente mensaje.

  10. Si se te solicita, ingresa una contraseña de un solo uso para este nodo de KeyControl y haz clic en Ingresar. La contraseña debe contener al menos 16 caracteres alfanuméricos. No puede contener espacios ni caracteres especiales. Esta contraseña es una string temporal usada para encriptar la comunicación inicial entre este nodo y el clúster de KeyControl existente. Cuando autenticas el nodo nuevo con el clúster existente, ingresas esta frase de contraseña en la interfaz web de KeyControl para que el nodo existente pueda desencriptar la comunicación y verificar que la solicitud de unión sea válida.

  11. Si el asistente se puede conectar al nodo de KeyControl designado, muestra la pantalla Authentication, que te informa que el nodo ahora es parte del clúster, pero debe autenticarse en la interfaz web de KeyControl antes de que el sistema puede usarla.

  12. Autentica el nodo en la interfaz web de KeyControl. Cuando la pantalla Joining KeyControl Cluster muestre un mensaje que diga que un administrador de dominio necesita autenticarse con el nodo nuevo, accede a la interfaz web de KeyControl en ese nodo y autentica el servidor nuevo. Una vez que el nodo se haya autenticado, KeyControl continúa el proceso de configuración.

  13. Haz clic en Ingresar.

Autentica los nodos de KeyControl nuevos

Cuando agregas un nodo de KeyControl nuevo a un clúster existente, debes autenticarlo desde la interfaz web de KeyControl del nodo que se especificó en la consola del sistema del nodo de unión. Por ejemplo, si tienes tres nodos y te unes a un cuarto nodo mediante la especificación del nodo dos, debes autenticar el nodo nuevo desde la interfaz web del nodo dos. Si intentas autenticar desde un nodo diferente, el proceso falla.

  1. Accede a la interfaz web de KeyControl mediante una cuenta con privilegios de administrador de dominio.
  2. En la barra de menú, haz clic en Clúster.
  3. Haz clic en la pestaña Servidores.
  4. Selecciona el nodo que deseas autenticar. La columna Estado muestra Join Pending para todos los nodos que todavía no se autenticaron.
  5. Haz clic en Acciones > Autenticar.
  6. Ingresa la contraseña de un solo uso y haz clic en Autenticar. Esta frase de contraseña debe coincidir de forma exacta con la frase de contraseña que especificaste cuando instalaste el nodo de KeyControl. La frase de contraseña distingue entre mayúsculas y minúsculas.
  7. Haz clic en Actualizar y asegúrate de que el estado sea En línea.
  8. Si deseas realizar un seguimiento del progreso del proceso de autenticación, accede a la consola de VM de KeyControl en el nodo que estás autenticando como htadmin.

Configura reglas de firewall entre tu nube privada y la VPC de KeyControl

vCenter se comunica con HyTrust KeyControl a través del protocolo KMIP en el puerto KMIP. El valor predeterminado es TCP 5696. El puerto se puede configurar desde la interfaz web de KeyControl.

  1. En la consola de Google Cloud, haz clic en Red de VPC > Firewall.
  2. Haga clic en Crear regla de firewall.
  3. Ingresa los detalles de la regla de firewall. Permite que la dirección IP de vCenter se comunique con KeyControl en el puerto KMIP.

Configura vCenter para usar HyTrust KeyControl como un KMS externo

  1. Configura el servidor KMIP
  2. Crea un clúster de KMS en vCenter.
  3. Establece una conexión de confianza entre vCenter y KeyControl mediante una CSR generada por vCenter