Como configurar a criptografia vSAN usando o CipherTrust Manager

Para criptografar dados em repouso com a criptografia vSAN, uma opção é mudar o serviço de gerenciamento de chaves ativo (KMS) para um externo. O Thales CipherTrust Manager é uma solução de KMS externa compatível com KMIP 1.1 e certificada pela VMware para vSAN.

Para informações sobre o comportamento de criptografia vSAN padrão do Google Cloud VMware Engine, consulte Sobre a criptografia vSAN.

Antes de começar

Para usar os exemplos de linha de comando do guia do CipherTrust Manager, instale ou atualize para a versão mais recente da Google Cloud CLI.

A documentação do Thales CipherTrust Manager (em inglês) fornece mais informações sobre os pré-requisitos dessa integração.

Visão geral da configuração

A configuração do VMware Engine com o CipherTrust Manager envolve as seguintes etapas principais:

1. Acesse e instale uma imagem do CipherTrust Manager em uma VM do Compute Engine.
2. No CipherTrust Manager, configure os detalhes da rede e atribua usuários a um domínio de gerenciamento de chaves.
3. Crie um token de registro e um cliente registrado para usar ao configurar a conexão do protocolo de interoperabilidade de gerenciamento de chaves (KMIP, na sigla em inglês) com o servidor vCenter.
4. Registre o cliente KMIP no Thales CipherTrust Manager usando uma chave privada e um certificado.
5. No vCenter Server, declare o CipherTrust Manager como um provedor de chaves padrão.

Para uma descrição completa das etapas necessárias para essa integração, consulte a documentação do Thales CipherTrust Manager (em inglês) para o Google Cloud VMware Engine.