Informazioni sulla crittografia vSAN

La crittografia dei dati at-rest di vSAN richiede un sistema di gestione delle chiavi (KMS). Per impostazione predefinita, la gestione delle chiavi per la crittografia dei dati vSAN in Google Cloud VMware Engine utilizza Cloud Key Management Service per i cloud privati appena creati, senza costi aggiuntivi.

In alternativa, puoi scegliere di implementare un KMS esterno per la crittografia dei dati vSAN a riposo di uno dei fornitori supportati di seguito. Questa pagina spiega il comportamento della crittografia vSAN e riassume come utilizzare un KMS esterno per criptare i dati at-rest delle macchine virtuali in VMware Engine.

Crittografia dei dati vSAN

Per impostazione predefinita, VMware Engine abilita la crittografia vSAN per i dati nel cluster principale e nei cluster aggiunti successivamente al cloud privato. La crittografia dei dati at-rest di vSAN utilizza una chiave di crittografia dei dati (DEK) memorizzata sul disco fisico locale del cluster dopo la crittografia. La DEK è una chiave di crittografia AES a 256 bit conforme a FIPS 140-2 generata automaticamente dagli host ESXi. Per criptare la DEK viene utilizzata una chiave di crittografia della chiave (KEK) fornita dal provider di chiavi gestito da Google.

Consigliamo vivamente di non disattivare la crittografia vSAN dei dati inattivi, in quanto potresti violare i termini specifici del servizio per Google Cloud VMware Engine. Quando disattivi la crittografia vSAN dei dati at-rest su un cluster, la logica di monitoraggio di VMware Engine genera un avviso. Per aiutarti a evitare di violare i termini di servizio, questo avviso attiva un'azione guidata dall'assistenza clienti Google Cloud per riattivare la crittografia vSAN nel cluster interessato.

Analogamente, se configuri un KMS esterno, ti consigliamo vivamente di non eliminare la configurazione del provider di chiavi di Cloud Key Management Service in vCenter Server.

Provider di chiavi predefinito

VMware Engine configura vCenter Server nei cloud privati appena creati per connettersi a un fornitore di chiavi gestito da Google. VMware Engine crea un'istanza del provider di chiavi per regione e il provider di chiavi utilizza Cloud KMS per la crittografia della KEK. VMware Engine gestisce completamente il provider di chiavi e lo configura per garantire un'elevata disponibilità in tutte le regioni.

Il provider di chiavi gestito da Google integra il provider di chiavi nativo in vCenter Server (in vSphere 7.0 Update 2 e versioni successive) ed è l'approccio consigliato per gli ambienti di produzione. Il provider di chiavi nativo viene eseguito come processo all'interno di vCenter Server, che viene eseguito su un cluster vSphere in VMware Engine. VMware sconsiglia di utilizzare il fornitore di chiavi nativo per criptare il cluster che ospita vCenter Server. Utilizza invece il fornitore di chiavi predefinito gestito da Google o un KMS esterno.

Rotazione chiave

Quando utilizzi il provider di chiavi predefinito, sei responsabile della rotazione della chiave KEK. Per ruotare la KEK in vSphere, consulta la documentazione VMware Genera nuove chiavi di crittografia dei dati a riposo.

Per altri modi per ruotare una chiave in vSphere, consulta le seguenti risorse VMware:

• Script di esempio PowerCLI su GitHub
• API di gestione vSAN

Fornitori supportati

Per cambiare il KMS attivo, puoi selezionare una soluzione KMS di terze parti conforme a KMIP 1.1 e certificata da VMware per vSAN. I seguenti fornitori hanno validate la loro soluzione KMS con VMware Engine e hanno pubblicato guide di implementazione e dichiarazioni di supporto:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Per le istruzioni di configurazione, consulta i seguenti documenti:

• Configurazione della crittografia vSAN mediante Fortanix KMS
• Configurazione della crittografia vSAN mediante CipherTrust Manager
• Configurazione della crittografia vSAN mediante HyTrust KeyControl

Utilizzare un fornitore supportato

Ogni implementazione di un KMS esterno richiede gli stessi passaggi di base:

• Crea un progetto Google Cloud o utilizzane uno esistente.
• Crea una nuova rete Virtual Private Cloud (VPC) o scegli una rete VPC esistente.
• Collega la rete VPC selezionata alla rete VMware Engine.

Poi, esegui il deployment di KMS in un'istanza VM Compute Engine:

1. Configura le autorizzazioni IAM richieste per eseguire il deployment di istanze VM di Compute Engine.
2. Esegui il deployment di KMS in Compute Engine.
3. Stabilisci la relazione di attendibilità tra vCenter e KMS.
4. Attiva la crittografia dei dati vSAN.

Le sezioni seguenti descrivono brevemente questa procedura per l'utilizzo di uno dei fornitori supportati.

Configura le autorizzazioni IAM

Devi disporre di autorizzazioni sufficienti per eseguire il deployment di istanze VM Compute Engine in un determinato progetto Google Cloud e in una rete VPC, collegare la tua rete VPC a VMware Engine e configurare le regole del firewall per la rete VPC.

I proprietari di progetti e le entità IAM con il ruolo Amministratore di rete possono creare intervalli IP allocati e gestire le connessioni private. Per ulteriori informazioni sui ruoli, consulta la sezione Ruoli IAM di Compute Engine.

Esegui il deployment del sistema di gestione delle chiavi in Compute Engine

Alcune soluzioni KMS sono disponibili in un fattore di forma dell'appliance in Google Cloud Marketplace. Puoi eseguire il deployment di queste appliance importando l'OVA direttamente nella tua rete VPC o nel tuo progetto Google Cloud.

Per KMS basato su software, esegui il deployment di un'istanza VM Compute Engine utilizzando la configurazione (numero di vCPU, vMem e dischi) consigliata dal fornitore KMS. Installa il software KMS nel sistema operativo ospite. Crea l'istanza VM Compute Engine in una rete VPC collegata alla rete VMware Engine.

Stabilisci la fiducia tra vCenter e KMS

Dopo aver eseguito il deployment di KMS in Compute Engine, configura vCenter di VMware Engine per recuperare le chiavi di crittografia da KMS.

Innanzitutto, aggiungi i dettagli di connessione KMS a vCenter. Dopodiché, stabilisci la fiducia tra vCenter e il tuo KMS. Per stabilire la fiducia tra vCenter e il tuo KMS, svolgi i seguenti passaggi:

1. Genera un certificato in vCenter.
2. Firmalo utilizzando un token o una chiave generata da KMS.
3. Fornisci o carica il certificato in vCenter.
4. Conferma lo stato della connettività controllando l'impostazione e lo stato di KMS nella pagina di configurazione del server vCenter.

Attiva la crittografia dei dati vSAN

In vCenter, l'utente CloudOwner predefinito dispone di privilegi sufficienti per attivare e gestire la crittografia dei dati vSAN.

Per passare da un KMS esterno al fornitore di chiavi gestito da Google predefinito, segui i passaggi per la modifica del fornitore di chiavi riportati nella documentazione di VMware Configurazione e gestione di un fornitore di chiavi standard.

Passaggi successivi

• Scopri di più sui controlli di integrità della connessione KMS vSAN.
• Scopri di più sulla crittografia vSAN 7.0.