Configurazione della crittografia vSAN mediante HyTrust KeyControl

Un'opzione per criptare i dati at-rest mediante la crittografia vSAN è utilizzare HyTrust KeyControl come Key Management Service (KMS) esterno. Per eseguire il deployment di HyTrust KeyControl in Google Cloud, segui i passaggi descritti in questo documento.

Prerequisiti

  • Una delle seguenti versioni di vSphere supportata da HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7 o 7.0
    • Trust Authority vSphere 7.0
    • Gestione universale delle chiavi per agenti di crittografia compatibili con KMIP
  • Autorizzazione Gestione KMS per vCenter nel cloud privato. Il ruolo predefinito CloudOwner in VMware Engine dispone di privilegi sufficienti.
  • Una licenza valida per HyTrust KeyControl. KeyControl di cui è stato eseguito il deployment ha una licenza di prova di 30 giorni.

Stabilisci una connessione privata tra il tuo cloud privato e la tua rete VPC

Identifica un progetto e una rete Virtual Private Cloud (VPC) in Google Cloud in cui prevedi di eseguire il deployment dei nodi HyTrust KeyControl. Configura una connessione privata tra la rete VPC e il cloud privato.

Crea un'istanza VM che diventerà il nodo KeyControl iniziale nel tuo cluster

  1. Se non disponi già di una rete VPC da utilizzare per il nodo KeyControl, crea una nuova rete VPC.

  2. Nella console Google Cloud, vai alla pagina Immagini.

    Vai alla pagina Immagini

  3. Fai clic sull'immagine HyTrust KeyControl.

  4. Fai clic su Crea istanza.

  5. Configura l'istanza:

    • In Tipo di macchina, seleziona n1-standard-2(2 vCPU, 7,5 GB).
    • Seleziona Consenti traffico HTTPS.
    • In Interfaccia di rete, scegli la rete VPC che vuoi utilizzare. Non potrai modificare questa impostazione in un secondo momento.
    • L'indirizzo IP esterno può essere statico o temporaneo. Per utilizzare un indirizzo IP statico, scegli qualsiasi IP pubblico creato in precedenza o scegli Crea indirizzo IP in IP esterno.
    • In Crea indirizzo IP pubblico, inserisci un nome e una descrizione per l'indirizzo IP.

  6. Fai clic su Ok.

  7. Fai clic su Crea.

Per creare nodi KeyControl aggiuntivi, puoi utilizzare i metadati dell'istanza appena creata. Per visualizzare i metadati dell'istanza, vai alla pagina Istanze VM.

Vai alla pagina Istanze VM

Configura le regole firewall per l'istanza KeyControl

Prima di iniziare a configurare KeyControl, assicurati che le seguenti porte siano aperte per KeyControl dalla tua rete VPC o da qualsiasi altra rete da cui prevedi di accedere a KeyControl.

Porte richieste

Tipo Protocollo Intervallo porte
SSH (22) TCP 22
HTTPS (443) TCP 443
Regola TCP personalizzata TCP 8443
Regola UDP personalizzata UDP 123

Porte aggiuntive

Le seguenti porte sono necessarie se prevedi di utilizzare KeyControl come server KMIP o se desideri utilizzare la funzione di polling SNMP per KeyControl.

Tipo Protocollo Porta predefinita
KMIP TCP 5696
SNMP UDP 161

Per scoprire come configurare il firewall, consulta le tabelle firewall.

Configura il primo nodo KeyControl e inizializza l'interfaccia web di KeyControl

Devi configurare l'istanza KeyControl tramite SSH prima di poter utilizzare l'interfaccia web di KeyControl per configurare e gestire il cluster KeyControl.

La procedura seguente descrive come configurare il primo nodo KeyControl nel cluster. Assicurati di avere l'ID istanza VM KeyControl e l'indirizzo IP esterno.

  1. Accedi all'account htadmin sull'istanza VM KeyControl.

    ssh htadmin@external-ip-address

  2. Quando viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl.

  3. Inserisci una nuova password per l'account di amministrazione del sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII. Questa password controlla l'accesso alla console di sistema di HyTrust KeyControl, che consente agli utenti di eseguire alcune attività di amministrazione di KeyControl. Non consente a un utente KeyControl di accedere all'intero sistema operativo.

  4. Nella schermata Configurazione di sistema, seleziona Installa nodo KeyControl iniziale e fai clic su Invio.

  5. Esamina la finestra di dialogo di conferma. Questa finestra di dialogo fornisce l'URL pubblico che puoi utilizzare con l'interfaccia web di KeyControl e l'indirizzo IP privato che puoi utilizzare se vuoi aggiungere altri nodi KeyControl al cluster.

  6. Fai clic su Invio.

  7. Per inizializzare l'interfaccia web di KeyControl per questo cluster:

    1. In un browser web, vai a https://external-ip-address, dove external-ip-address è l'indirizzo IP esterno associato all'istanza KeyControl.
    2. Se richiesto, aggiungi un'eccezione di sicurezza per l'indirizzo IP di KeyControl e procedi all'interfaccia web di KeyControl.
    3. Nella pagina di accesso di HyTrust KeyControl, inserisci secroot come nome utente e inserisci l'ID istanza per la password.
    4. Rivedi il Contratto di licenza con l'utente finale (EULA). Fai clic su Accetto per accettare i termini di licenza.
    5. Nella pagina Cambia password, inserisci una nuova password per l'account secroot e fai clic su Aggiorna password.

    6. Nella pagina Configura impostazioni email e server di posta, inserisci le impostazioni email. Se inserisci un indirizzo email, KeyControl invia un'email con la chiave di amministrazione per il nuovo nodo. Inoltre, invia avvisi di sistema a questo indirizzo email.

    7. Fai clic su Continua.

    8. Nella pagina Report Segnali automatici, specifica se vuoi attivare o disattivare i report relativi ai parametri vitali automatici. Il report automatico sui parametri vitali ti consente di condividere automaticamente informazioni sullo stato del tuo cluster KeyControl con l'assistenza HyTrust.

      Se attivi questo servizio, KeyControl invia periodicamente un bundle criptato contenente informazioni diagnostiche e sullo stato del sistema a un server HyTrust sicuro. L'assistenza di HyTrust potrebbe contattarti in modo proattivo se il servizio Vitals identifica problemi con l'integrità del tuo cluster.

      Gli amministratori della sicurezza di KeyControl possono abilitare o disabilitare questo servizio in qualsiasi momento selezionando Impostazioni > Vitals nell'interfaccia web di KeyControl. Per maggiori dettagli, consulta la pagina Configurare i report di Segnali automatici.

    9. Fai clic su Salva e continua.

    10. Se utilizzi Internet Explorer, importa il certificato e aggiungi l'indirizzo IP KeyControl all'elenco dei siti attendibili. Verifica che l'opzione Download > Download di file sia attivata in Opzioni Internet > Sicurezza > Livello personalizzato.

Configura nodi aggiuntivi e aggiungili al cluster esistente (facoltativo)

Dopo aver configurato il primo nodo KeyControl, puoi aggiungere altri nodi da altre zone o regioni. Tutte le informazioni di configurazione del primo nodo nel cluster vengono copiate in tutti i nodi che aggiungi al cluster.

Assicurati di disporre dell'ID istanza per l'istanza VM KeyControl, dell'indirizzo IP esterno associato a questa istanza VM e dell'indirizzo IP privato di uno dei nodi KeyControl esistenti nel cluster.

  1. Accedi all'account htadmin sull'istanza VM KeyControl.

      ssh htadmin@external-ip-address

  2. Quando viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl che stai configurando.

  3. Inserisci una nuova password per l'account di amministrazione del sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII.

  4. Questa password controlla l'accesso alla console di sistema HyTrust KeyControl, che consente agli utenti di eseguire alcune attività di amministrazione di KeyControl. Non consente a un utente KeyControl di accedere all'intero sistema operativo.

  5. Nella schermata Configurazione del sistema, seleziona Aggiungi il nodo KeyControl al cluster esistente e fai clic su Invio.

  6. Digita l'indirizzo IP interno di qualsiasi nodo KeyControl già presente nel cluster e fai clic su Invio. KeyControl avvia il processo di configurazione iniziale del nodo.

  7. Per trovare l'indirizzo IP interno del nodo esistente, accedi all'interfaccia web di KeyControl e fai clic su Cluster nella barra dei menu in alto. Vai alla scheda Server e controlla l'indirizzo IP nella tabella.

  8. Se in precedenza questo nodo faceva parte del cluster selezionato, KeyControl mostra una richiesta che chiede se vuoi cancellare i dati esistenti e rientrare nel cluster. Seleziona e fai clic su Invio.

  9. Se questo nodo era membro di un cluster diverso o se era stato originariamente configurato come unico nodo nel cluster, KeyControl ti chiede che, se continui, tutti i dati verranno eliminati nel nodo attuale. Seleziona e fai clic su Invio, quindi premi di nuovo Invio per confermare l'azione nella richiesta successiva.

  10. Se richiesto, inserisci una password unica per questo nodo KeyControl e fai clic su Invio. La password deve contenere almeno 16 caratteri alfanumerici. Non può contenere spazi o caratteri speciali. Questa password è una stringa temporanea utilizzata per criptare la comunicazione iniziale tra il nodo e il cluster KeyControl esistente. Quando autentichi il nuovo nodo con il cluster esistente, inserisci questa passphrase nell'interfaccia web di KeyControl in modo che il nodo esistente possa decriptare la comunicazione e verificare che la richiesta di partecipazione sia valida.

  11. Se la procedura guidata riesce a connettersi al nodo KeyControl designato, viene visualizzata la schermata Autenticazione, che indica che il nodo ora fa parte del cluster, ma che deve essere autenticato nell'interfaccia web di KeyControl prima di poter essere utilizzato dal sistema.

  12. Autentica il nodo nell'interfaccia web di KeyControl. Quando la schermata Partecipazione al cluster di KeyControl mostra un messaggio che serve a un amministratore di dominio per autenticare il nuovo nodo, accedi all'interfaccia web di KeyControl su tale nodo e autentica il nuovo server. Una volta autenticato il nodo, KeyControl continua il processo di configurazione.

  13. Fai clic su Invio.

Autentica i nuovi nodi KeyControl

Quando aggiungi un nuovo nodo KeyControl a un cluster esistente, devi autenticare il nuovo nodo dall'interfaccia web di KeyControl del nodo specificato nella console di sistema del nodo di unione. Ad esempio, se hai tre nodi e ti unisci a un quarto nodo specificando il secondo, devi autenticare il nuovo nodo dall'interfaccia web per il secondo. Se tenti di autenticarti da un nodo diverso, il processo non riesce.

  1. Accedi all'interfaccia web di KeyControl utilizzando un account con privilegi di amministratore del dominio.
  2. Nella barra dei menu, fai clic su Cluster.
  3. Fai clic sulla scheda Server.
  4. Seleziona il nodo che vuoi autenticare. La colonna Stato mostra Unione in attesa per tutti i nodi non ancora autenticati.
  5. Fai clic su Azioni > Autentica.
  6. Inserisci la password unica e fai clic su Autentica. Questa passphrase deve corrispondere esattamente alla passphrase specificata al momento dell'installazione del nodo KeyControl. La passphrase è sensibile alle maiuscole.
  7. Fai clic su Aggiorna e assicurati che lo stato sia Online.
  8. Se vuoi monitorare l'avanzamento del processo di autenticazione, accedi alla console VM KeyControl sul nodo che stai autenticando come htadmin.

Configura le regole firewall tra il tuo cloud privato e il VPC di KeyControl

vCenter comunica con HyTrust KeyControl tramite il protocollo KMIP sulla porta KMIP. Il valore predefinito è TCP 5696. È configurabile dall'interfaccia web di KeyControl.

  1. Nella console Google Cloud, fai clic su Rete VPC > Firewall.
  2. Fai clic su Crea regola firewall.
  3. Inserisci i dettagli della regola firewall. Consenti all'indirizzo IP di vCenter di comunicare con KeyControl sulla porta KMIP.

Configura vCenter per utilizzare HyTrust KeyControl come KMS esterno

  1. Configurare il server KMIP
  2. Crea un cluster KMS in vCenter
  3. Stabilisci una connessione affidabile tra vCenter e KeyControl utilizzando una richiesta di firma di certificato generata da vCenter