Tentang enkripsi vSAN

Enkripsi data vSAN dalam penyimpanan memerlukan sistem pengelolaan kunci (KMS). Secara default, pengelolaan kunci untuk enkripsi data vSAN di Google Cloud VMware Engine menggunakan Cloud Key Management Service untuk cloud pribadi yang baru dibuat, tanpa biaya tambahan.

Sebagai gantinya, Anda dapat memilih untuk men-deploy KMS eksternal untuk enkripsi data vSAN dalam istirahat dari salah satu vendor yang didukung di bawah. Halaman ini menjelaskan perilaku enkripsi vSAN dan merangkum cara menggunakan KMS eksternal untuk mengenkripsi data virtual machine dalam penyimpanan di VMware Engine.

Enkripsi data vSAN

Secara default, VMware Engine mengaktifkan enkripsi vSAN untuk data di cluster utama dan di cluster yang kemudian ditambahkan ke cloud pribadi. Enkripsi data vSAN dalam penyimpanan menggunakan kunci enkripsi data (DEK) yang disimpan di disk fisik lokal cluster setelah enkripsi. DEK adalah kunci enkripsi AES-256 bit yang mematuhi FIPS 140-2 dan dibuat secara otomatis oleh host ESXi. Kunci enkripsi kunci (KEK) yang disediakan oleh penyedia kunci yang dikelola Google digunakan untuk mengenkripsi DEK.

Sebaiknya jangan menonaktifkan enkripsi data dalam penyimpanan vSAN, karena dapat membuat Anda melanggar persyaratan khusus layanan untuk Google Cloud VMware Engine. Saat Anda menonaktifkan enkripsi data dalam penyimpanan vSAN di cluster, logika pemantauan VMware Engine akan memunculkan pemberitahuan. Untuk membantu mencegah Anda melanggar persyaratan layanan, pemberitahuan ini memicu tindakan yang didorong oleh Layanan Pelanggan Cloud untuk mengaktifkan kembali enkripsi vSAN di cluster yang terpengaruh.

Demikian pula, jika Anda mengonfigurasi KMS eksternal, sebaiknya jangan menghapus konfigurasi penyedia kunci Cloud Key Management Service di vCenter Server.

Penyedia kunci enkripsi default

VMware Engine mengonfigurasi vCenter Server di cloud pribadi yang baru dibuat untuk terhubung ke penyedia kunci yang dikelola Google. VMware Engine membuat satu instance penyedia kunci per region, dan penyedia kunci menggunakan Cloud KMS untuk enkripsi KEK. VMware Engine sepenuhnya mengelola penyedia kunci enkripsi dan mengonfigurasinya agar sangat tersedia di semua region.

Penyedia kunci yang dikelola Google melengkapi penyedia kunci native di vCenter Server (di vSphere 7.0 Update 2 dan yang lebih baru) dan merupakan pendekatan yang direkomendasikan untuk lingkungan produksi. Penyedia kunci native berjalan sebagai proses dalam Server vCenter, yang berjalan di cluster vSphere di VMware Engine. VMware tidak merekomendasikan penggunaan penyedia kunci native untuk mengenkripsi cluster yang menghosting vCenter Server. Sebagai gantinya, gunakan penyedia kunci default yang dikelola Google atau KMS eksternal.

Rotasi kunci

Saat menggunakan penyedia kunci default, Anda bertanggung jawab atas rotasi KEK. Untuk memutar KEK di vSphere, lihat dokumentasi VMware Membuat Kunci Enkripsi Data dalam Penyimpanan Baru.

Untuk mengetahui cara lain memutar kunci di vSphere, lihat referensi VMware berikut:

Vendor yang didukung

Untuk beralih KMS aktif, Anda dapat memilih solusi KMS pihak ketiga yang mematuhi KMIP 1.1 dan disertifikasi oleh VMware untuk vSAN. Vendor berikut telah memvalidasi solusi KMS mereka dengan VMware Engine dan memublikasikan panduan deployment dan pernyataan dukungan:

Untuk petunjuk konfigurasi, lihat dokumen berikut:

Menggunakan vendor yang didukung

Setiap deployment KMS eksternal memerlukan langkah-langkah dasar yang sama:

  • Buat project Google Cloud atau gunakan project yang sudah ada.
  • Buat jaringan Virtual Private Cloud (VPC) baru atau pilih jaringan VPC yang ada.
  • Hubungkan jaringan VPC yang dipilih ke jaringan VMware Engine.

Kemudian, deploy KMS di instance VM Compute Engine:

  1. Siapkan izin IAM yang diperlukan untuk men-deploy instance VM Compute Engine.
  2. Deploy KMS di Compute Engine.
  3. Buat kepercayaan antara vCenter dan KMS.
  4. Aktifkan enkripsi data vSAN.

Bagian berikut menjelaskan secara singkat proses penggunaan salah satu vendor yang didukung.

Menyiapkan Izin IAM

Anda memerlukan izin yang memadai untuk men-deploy instance VM Compute Engine di project Google Cloud dan jaringan VPC tertentu, menghubungkan jaringan VPC ke VMware Engine, dan mengonfigurasi aturan firewall untuk jaringan VPC.

Pemilik project dan akun utama IAM dengan peran Admin Jaringan dapat membuat rentang IP yang dialokasikan dan mengelola koneksi pribadi. Untuk mengetahui informasi selengkapnya tentang peran, lihat Peran IAM Compute Engine.

Men-deploy sistem pengelolaan kunci di Compute Engine

Beberapa solusi KMS tersedia dalam faktor bentuk appliance di Google Cloud Marketplace. Anda dapat men-deploy appliance tersebut dengan mengimpor OVA langsung di jaringan VPC atau project Google Cloud.

Untuk KMS berbasis software, deploy instance VM Compute Engine menggunakan konfigurasi (jumlah vCPU, vMem, dan disk) yang direkomendasikan oleh vendor KMS. Instal software KMS di sistem operasi tamu. Buat instance VM Compute Engine di jaringan VPC yang terhubung ke jaringan VMware Engine.

Membangun kepercayaan antara vCenter dan KMS

Setelah men-deploy KMS di Compute Engine, konfigurasikan vCenter VMware Engine untuk mengambil kunci enkripsi dari KMS.

Pertama, tambahkan detail koneksi KMS ke vCenter. Kemudian, bangun kepercayaan antara vCenter dan KMS Anda. Untuk membangun kepercayaan antara vCenter dan KMS, lakukan langkah-langkah berikut:

  1. Buat sertifikat di vCenter.
  2. Tanda tangani menggunakan token atau kunci yang dibuat oleh KMS Anda.
  3. Berikan atau upload sertifikat tersebut ke vCenter.
  4. Konfirmasi status konektivitas dengan memeriksa setelan dan status KMS di halaman konfigurasi server vCenter.

Mengaktifkan enkripsi data vSAN

Di vCenter, pengguna CloudOwner default memiliki hak istimewa yang memadai untuk mengaktifkan dan mengelola enkripsi data vSAN.

Untuk beralih dari KMS eksternal kembali ke penyedia kunci default yang dikelola Google, ikuti langkah-langkah untuk mengubah penyedia kunci yang disediakan dalam dokumentasi VMware Mengonfigurasi dan Mengelola Penyedia Kunci Standar.

Langkah selanjutnya