Configurar a criptografia vSAN usando o KMS Thales

Para criptografar dados em repouso usando criptografia vSAN, uma opção é usar a imagem de última geração do KeySecure, um serviço de gerenciamento de chaves Thales (KMS).

Antes de começar

  • Crie um projeto do Google Cloud ou use um atual.

Acesse e instale o KMS de imagem de última geração do KeySecure

Após comprar o KMS, você receberá uma mensagem de e-mail do Thales. Clique em Aceitar este convite para acessar os privilégios do grupo do Google k170v-image-read.

Para acessar uma imagem do KeySecure, talvez seja necessário copiar a imagem para outra conta. Para fazer isso, crie uma imagem do Compute Engine a partir de uma imagem de disco compactada. Para conseguir permissão à imagens de disco compactadas, entre em contato com seu gerente de vendas ou suporte.

Criar uma imagem a partir de uma imagem compactada de KeySecure

Para criar uma imagem a partir do URI de origem gs://kylo-images/k170v-2411- 20181031022613.tar.gz, execute o seguinte comando:

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

É possível listar imagens usando o seguinte comando:

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

Criar uma instância a partir da imagem do KeySecure

  1. No Console do Google Cloud, acesse a página Imagens.

    Acessar a página "Imagens"

  2. Selecione a imagem k170v.

  3. Selecione Criar instância.

  4. Selecione Nova instância de VM e configure a máquina da seguinte maneira:

    1. Use um disco de inicialização de pelo menos 30 GB para fins de avaliação ou pelo menos 135 GB para uso em produção.
    2. Escolha um tipo de máquina com 16 GB de memória e pelo menos 2 vCPUs.
  5. Crie uma chave SSH usando o gerador de chaves PuTTYgen.

    1. Faça o download e abra o PuTTYgen.
    2. Verifique o SSH-2RSA.
    3. Clique em Gerar.
    4. Salve as chaves SSH privadas e públicas em um local seguro.
  6. Na página Criar uma instância, em Chaves SSH, cole a chave SSH pública que você acabou de gerar na janela da chave SSH.

  7. Clique em Criar

Configurar o ambiente vSphere

  1. No vCenter, navegue até Configurações > Mais > Servidores de gerenciamento de chaves.
  2. Selecione a imagem do k170v.
  3. Clique em Adicionar.
  4. Crie um novo cluster. Os clusters são usados para garantir alta disponibilidade do gerenciador de chaves para vários casos de uso de gerenciamento e criptografia de chaves. Um cluster pode ter vários nós 170v. Inclua um nome de cluster e um endereço IP 170v acessível e use a porta 5696.
  5. Em Estabelecer confiança, clique em Tornar o KMS confiável para o vCenter.
  6. Clique em Confiar.
  7. Gere uma nova solicitação de assinatura de certificado (CSR, na sigla em inglês) para ajudar a estabelecer a conexão entre o vCenter e o k170v. Selecione Nova solicitação de assinatura de certificado (CSR, na sigla em inglês) e clique em Avançar. Você pode copiar ou fazer o download da CSR.

Configurar o dispositivo k170v

  1. Faça login no console de gerenciamento do KeySecure.
  2. Em um navegador, acesse https://IP-address, em que IP-address é o endereço IP do servidor do k170v.
  3. O nome de usuário e a senha padrão são admin.
  4. Você receberá uma solicitação para alterar a senha.
  5. Faça login novamente com seu novo nome de usuário e senha.
  6. No vCenter, clique em Gerenciamento de acesso e chaves.
  7. Clique em Tokens de registro > Novo token de registro.
  8. Clique em Iniciar.
  9. Defina os metadados do token. Defina os valores de Prefixo do nome, Ciclo de vida do token, Duração do certificado e Capacidade do cliente.
  10. Clique em Próxima.
  11. A CA local padrão fica pré-selecionada. Clique em Criar token.
  12. Copie o token de registro gerado e clique em Concluído.
  13. No menu principal do vCenter, acesse Configurações do administrador > Sistema > Interfaces.
  14. Configure uma porta para o servidor k170v usar na comunicação com o vCenter.
  15. O KMIP usa a porta padrão 5696. É possível editar ou criar uma nova interface do KMIP clicando em , no menu vertical "mais" e clicando em Editar.
  16. Cole o token de registro gerado anteriormente.
  17. Clique em Atualizar.
  18. Reinicie o serviço do sistema KMIP. Navegue até o menu Sistema > Serviços e clique em Reinicialização do sistema.

Assinar a solicitação de assinatura de certificado (CSR, na sigla em inglês) do vCenter

  1. No vSphere, acesse Gerenciamento de acesso e chaves e clique em CA.
  2. Em Autoridades de certificado local, clique no hiperlink Assunto.
  3. Selecione Fazer upload e assinar CSR.
  4. Cole a CSR copiada do vSphere e clique em Emitir certificado.
  5. Clique no menu vertical ao lado do certificado assinado e clique em Copiar.
  6. Crie um usuário no 170v com o nome do certificado gerado pelo vCenter.
  7. Em Gerenciamento de chaves e acesso, clique em Usuários.
  8. Clique em Criar novo usuário. O nome de usuário é derivado da CSR assinada:

      /C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
      

  9. Depois que o usuário for criado, clique em Usuário no menu de navegação.

  10. Para adicionar permissões, clique em no menu vertical "mais" para o usuário que você acabou de criar.

  11. Clique em Gerenciar.

  12. Clique em Grupos.

  13. Marque a opção Usuários chave para adicionar o usuário ao grupo de usuários chave.

Fazer upload da CSR assinada para o vSphere

  1. No vSphere, clique em Fazer upload do certificado assinado.
  2. Selecione o arquivo Privacy Enhanced Mail (.PEM) do certificado ou copie e cole a CSR do dispositivo K170v.
  3. Clique em Tornar o KMS confiável para o vCenter.
  4. Clique em Confiar.
  5. Para ativar a criptografia vSAN, faça login no cliente vSphere e vá até VSAN > Serviço. Clique em Criptografia e em Editar para gerar novas chaves de criptografia.
  6. Na janela Serviços vSAN, ative a criptografia. Escolha o cluster que você criou anteriormente e clique em Aplicar.
  7. Na guia Registros, o vCenter gera um token e uma chave.

Criar um cluster 170v e adicioná-lo ao vCenter

Para dar suporte à alta disponibilidade, execute dois servidores k170v no cluster. Depois que o cluster do 170v é configurado, os itens configurados anteriormente são replicados como parte do processo de clustering. Por exemplo, o vSphere replica as etapas de configuração, como a criação do token de registro, a definição do usuário, definindo a porta do KMIP, as chaves de criptografia e a CSR.

  1. No vSphere, selecione Servidores de gerenciamento de chaves.
  2. Selecione o nó k170v adicional e clique em Adicionar.
  3. Em Tornar o KMS confiável para o vCenter, clique em Confiar.