Para criptografar dados em repouso usando criptografia vSAN, uma opção é usar a imagem de última geração do KeySecure, um serviço de gerenciamento de chaves (KMS) Thales.
Acesse e instale o KMS de imagem de última geração do KeySecure
Após comprar o KMS, você receberá uma mensagem de e-mail do Thales. Clique em Aceitar este convite para acessar os privilégios do grupo do Google k170v-image-read
.
Para acessar uma imagem do KeySecure, talvez seja necessário copiar a imagem para outra conta. Para fazer isso, crie uma imagem do Compute Engine a partir de uma imagem de disco compactada. Para conseguir permissão à imagens de disco compactadas, entre em contato com seu gerente de vendas ou suporte.
Criar uma imagem a partir de uma imagem compactada de KeySecure
Para criar uma imagem a partir do URI de origem gs://kylo-images/k170v-2411-
20181031022613.tar.gz
, execute o seguinte comando:
gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411- 20181031022613.tar.gz
É possível listar imagens usando o seguinte comando:
gsutil ls gs://kylo-images gs://kylo-images/k170v-2369-20181008172807.tar.gz gs://kylo-images/k170v-2411-20181031022613.tar.gz
Criar uma instância a partir da imagem do KeySecure
No Console do Google Cloud, acesse a página Imagens do Compute Engine.
Selecione a imagem k170v.
Selecione Criar instância.
Selecione Nova instância de VM e configure a máquina da seguinte maneira:
- Use um disco de inicialização de pelo menos 30 GB para fins de avaliação ou pelo menos 135 GB para uso em produção.
- Escolha um tipo de máquina com 16 GB de memória e pelo menos 2 vCPUs.
Crie uma chave SSH usando o gerador de chaves PuTTYgen.
- Faça o download e abra o PuTTYgen.
- Verifique o SSH-2RSA.
- Clique em Gerar.
- Salve as chaves SSH privadas e públicas em um local seguro.
Na página Criar uma instância, em Chaves SSH, cole a chave SSH pública que você acabou de gerar na janela da chave SSH.
Clique em Criar
Configurar o ambiente vSphere
- No vCenter, navegue até Configurações > Mais > Servidores de gerenciamento de chaves.
- Selecione a imagem do k170v.
- Clique em Add.
- Crie um novo cluster. Os clusters são usados para garantir alta disponibilidade do gerenciador de chaves para vários casos de uso de gerenciamento e criptografia de chaves. Um cluster pode ter vários nós 170v. Inclua um nome de cluster e um endereço IP 170v acessível e use a porta 5696.
- Em Estabelecer confiança, clique em Tornar o KMS confiável para o vCenter.
- Clique em Confiar.
- Gere uma nova solicitação de assinatura de certificado (CSR, na sigla em inglês) para ajudar a estabelecer a conexão entre o vCenter e o k170v. Selecione Nova solicitação de assinatura de certificado (CSR, na sigla em inglês) e clique em Avançar. Você pode copiar ou fazer o download da CSR.
Configurar o dispositivo k170v
- Faça login no console de gerenciamento do KeySecure.
- Em um navegador, acesse https://IP-address, em que IP-address é o endereço IP do servidor do k170v.
- O nome de usuário e a senha padrão são admin.
- Você receberá uma solicitação para alterar a senha.
- Faça login novamente com seu novo nome de usuário e senha.
- No vCenter, clique em Gerenciamento de acesso e chaves.
- Clique em Tokens de registro > Novo token de registro.
- Clique em Iniciar.
- Defina os metadados do token. Defina os valores de Prefixo do nome, Ciclo de vida do token, Duração do certificado e Capacidade do cliente.
- Clique em Próxima.
- A CA local padrão fica pré-selecionada. Clique em Criar token.
- Copie o token de registro gerado e clique em Concluído.
- No menu principal do vCenter, acesse Configurações do administrador > Sistema > Interfaces.
- Configure uma porta para o servidor k170v usar na comunicação com o vCenter.
- O KMIP usa a porta padrão 5696. É possível editar ou criar uma nova interface do KMIP clicando no menu vertical "mais" ( ) e em Editar.
- Cole o token de registro gerado anteriormente.
- Clique em Atualizar.
- Reinicie o serviço do sistema KMIP. Navegue até o menu Sistema > Serviços e clique em Reinicialização do sistema.
Assinar a solicitação de assinatura de certificado (CSR, na sigla em inglês) do vCenter
- No vSphere, acesse Gerenciamento de acesso e chaves e clique em CA.
- Em Autoridades de certificado local, clique no hiperlink Assunto.
- Selecione Fazer upload e assinar CSR.
- Cole a CSR copiada do vSphere e clique em Emitir certificado.
- Clique no menu vertical ao lado do certificado assinado e clique em Copiar.
- Crie um usuário no 170v com o nome do certificado gerado pelo vCenter.
- Em Gerenciamento de chaves e acesso, clique em Usuários.
Clique em Criar novo usuário. O nome de usuário é derivado da CSR assinada:
/C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
Depois que o usuário for criado, clique em Usuário no menu de navegação.
Para adicionar permissões, clique no menu vertical "mais" (
) do usuário que você acabou de criar.Clique em Gerenciar.
Clique em Grupos.
Marque a opção Usuários chave para adicionar o usuário ao grupo de usuários chave.
Fazer upload da CSR assinada para o vSphere
- No vSphere, clique em Fazer upload do certificado assinado.
- Selecione o arquivo Privacy Enhanced Mail (.PEM) do certificado ou copie e cole a CSR do dispositivo K170v.
- Clique em Tornar o KMS confiável para o vCenter.
- Clique em Confiar.
- Para ativar a criptografia vSAN, faça login no cliente vSphere e vá até VSAN > Serviço. Clique em Criptografia e em Editar para gerar novas chaves de criptografia.
- Na janela Serviços vSAN, ative a criptografia. Escolha o cluster criado anteriormente e clique em Aplicar.
- Na guia Registros, o vCenter gera um token e uma chave.
Criar um cluster 170v e adicioná-lo ao vCenter
Para dar suporte à alta disponibilidade, execute dois servidores k170v no cluster. Depois que o cluster do 170v é configurado, os itens configurados anteriormente são replicados como parte do processo de clustering. Por exemplo, o vSphere replica as etapas de configuração, como a criação do token de registro, a definição do usuário, definindo a porta do KMIP, as chaves de criptografia e a CSR.
- No vSphere, selecione Servidores de gerenciamento de chaves.
- Selecione o nó k170v adicional e clique em Adicionar.
- Em Tornar o KMS confiável para o vCenter, clique em Confiar.