Configura la encriptación de vSAN mediante Thales KMS

Para encriptar datos en reposo mediante la encriptación de vSAN, una de las opciones es usar las imágenes de Next Generation KeySecure, un servicio de administración de claves de Thales (KMS).

Antes de comenzar

  • Crea un proyecto de Google Cloud o usa uno existente.

Accede y, luego, instala el KMS de imágenes Next Generation KeySecure

Tras comprar el KMS, recibirás un mensaje de correo electrónico de Thales. Haz clic en Aceptar esta invitación para acceder a los privilegios del grupo de Google k170v-image-read.

Para acceder a una imagen de KeySecure, es posible que debas copiarla en otra cuenta. Para ello, crea una imagen de Compute Engine a partir de una imagen de disco comprimida. Para obtener permiso sobre las imágenes de disco comprimidas, comunícate con tu administrador de ventas o con el equipo de asistencia.

Crea una imagen a partir de una imagen comprimida de KeySecure

Para crear una imagen a partir del URI de origen gs://kylo-images/k170v-2411- 20181031022613.tar.gz, ejecuta el siguiente comando:

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

Puedes enumerar imágenes mediante el siguiente comando:

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

Crea una instancia a partir de la imagen de KeySecure

  1. En Google Cloud Console, ve a la página Imágenes.

    Ir a la página Imágenes

  2. Selecciona la imagen k170v.

  3. Selecciona Crear instancia.

  4. Selecciona Nueva instancia de VM y configura la máquina de la siguiente manera:

    1. Usa un disco de arranque que tenga al menos 30 GB para la evaluación o al menos 135 GB para la producción.
    2. Elige un tipo de máquina con 16 GB de memoria y al menos 2 CPU virtuales.
  5. Crea una clave SSH mediante el generador de claves PuTTYgen.

    1. Descarga y abre PuTTYgen.
    2. Marca SSH-2RSA.
    3. Haz clic en Generar.
    4. Guarda las claves SSH privadas y públicas en una ubicación segura.
  6. En la página Crear una instancia, en Claves SSH, pega la clave SSH pública que acabas de generar en la ventana de clave SSH.

  7. Haz clic en Crear.

Configura el entorno de vSphere

  1. En vCenter, navega hasta Configurations  > More  > Key management servers.
  2. Selecciona la imagen k170v.
  3. Haz clic en Add.
  4. Crea un clúster nuevo. Los clústeres se usan a fin de garantizar una alta disponibilidad del administrador de claves para varios casos de uso de administración de claves y encriptación. Un clúster puede tener varios nodos de 170v. Incluye un nombre de clúster y una dirección IP accesible de 170v, y usa el puerto 5696.
  5. En Establish trust, haz clic en Make vCenter trust KMS.
  6. Haz clic en Trust.
  7. Genera una solicitud de firma de certificado (CSR) nueva para ayudar a establecer la conexión entre vCenter y k170v. Selecciona New Certificate Signing Request (CSR) y haz clic en Next. Puedes copiar o descargar la CSR.

Configura el dispositivo k170v

  1. Accede a KeySecure Management Console.
  2. En un navegador, navega a https://IP-address, en el que IP-address es la dirección IP del servidor de k170v.
  3. El nombre de usuario y la contraseña predeterminados son admin.
  4. Se te solicitará que cambies la contraseña.
  5. Vuelve a acceder con tu nombre de usuario y contraseña nuevos.
  6. En vCenter, haz clic en Keys & access management.
  7. Haz clic en Registration tokens > New registration token.
  8. Haz clic en Begin.
  9. Define los metadatos del token. Configura los valores de Name Prefix, Token Lifetime, Certificate Duration y Client Capacity.
  10. Haz clic en Next.
  11. Se preselecciona la Local CA predeterminada. Haz clic en Create token.
  12. Copia el token de registro generado y haz clic en Done.
  13. En el menú principal de vCenter, navega hasta Admin settings > System > Interfaces.
  14. Configura un puerto para que el servidor k170v use a fin de comunicarse con vCenter.
  15. KMIP usa el puerto 5696 predeterminado. Puedes editar o crear una interfaz KMIP nueva si haces clic en el menú vertical de más y en Edit.
  16. Pega el token de registro que generaste antes.
  17. Haz clic en Update.
  18. Reinicia el servicio del sistema KMIP. Navega hasta el menú System > Services y haz clic en System restart.

Firma la solicitud de firma de certificado (CSR) de vCenter

  1. En vSphere, navega hasta Keys & access management y haz clic en CA.
  2. En Local certificate authorities, haz clic en el hipervínculo Subject.
  3. Selecciona Upload and sign CSR.
  4. Pega el CSR que copiaste desde vSphere y haz clic en Issue certificate.
  5. Haz clic en el menú vertical de más junto al certificado que firmaste y en Copy.
  6. Crea un usuario en 170v con el nombre del certificado que generó vCenter.
  7. En Keys & access management, haz clic en Users.
  8. Haz clic en Create new user. El nombre de usuario se deriva de la CSR firmada:

      /C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
      

  9. Después de crear el usuario, haz clic en User en el menú de navegación.

  10. Para agregar permisos, haz clic en el menú vertical de más del usuario que acabas de crear.

  11. Haz clic en Manage.

  12. Haz clic en Groups.

  13. Marca Key users para agregar el usuario al grupo de usuarios clave.

Sube la CSR firmada a vSphere

  1. En vSphere, haz clic en Upload signed certificate.
  2. Selecciona el archivo de correo con privacidad mejorada (.PEM) para el certificado, o copia y pega la CSR del dispositivo k170v.
  3. Haz clic en Make vCenter trust KMS.
  4. Haz clic en Trust.
  5. Para habilitar la encriptación de vSAN, accede al cliente de vSphere y navega hasta VSAN > Service. Haz clic en Encryption y, luego, en Edit para generar claves de encriptación nuevas.
  6. En la ventana vSAN services, habilita la encriptación. Elige el clúster que creaste antes y haz clic en Apply.
  7. En la pestaña Records, vCenter genera un token y una clave.

Crea un clúster de 170v y agrégalo a vCenter

Para admitir una alta disponibilidad, ejecuta dos servidores de k170v en el clúster. Una vez configurado el clúster de 170v, los elementos configurados con anterioridad se replican como parte del proceso de agrupamiento en clústeres. Por ejemplo, vSphere replica los pasos de configuración, como la creación del token de registro, la definición del usuario y del puerto KMIP, las claves de encriptación y la CSR.

  1. En vSphere, selecciona Key management servers.
  2. Selecciona el nodo k170v adicional y haz clic en Add.
  3. En Make vCenter trust KMS, haz clic en Trust.