Sobre a criptografia vSAN
A criptografia de dados em vSAN em repouso requer um sistema de gerenciamento de chaves (KMS, na sigla em inglês). Por padrão, o gerenciamento de chaves para criptografia de dados vSAN no Google Cloud VMware Engine usa o Cloud Key Management Service para nuvens privadas recém-criadas sem custo adicional.
Você também pode optar por implantar um KMS externo para a criptografia de dados vSAN em repouso de um dos fornecedores compatíveis abaixo. Nesta página, explicamos o comportamento da criptografia vSAN e resumimos como usar um KMS externo para criptografar dados de máquina virtual em repouso no VMware Engine.
Criptografia de dados vSAN
Por padrão, o VMware Engine ativa a criptografia vSAN para dados no cluster principal e em clusters adicionados depois à nuvem privada. A criptografia de dados em vSAN em repouso usa uma chave de criptografia de dados (DEK) armazenada no disco físico local do cluster após a criptografia. A DEK é uma chave de criptografia AES-256 bits compatível com FIPS 140-2 gerada automaticamente pelos hosts ESXi. Uma chave de criptografia de chaves (KEK, na sigla em inglês) fornecida pelo provedor de chaves gerenciado pelo Google é usada para criptografar a DEK.
Recomendamos não desativar a criptografia vSAN de dados em repouso, já que isso pode colocar você em violação dos termos específicos do serviço do Google Cloud VMware Engine. Quando você desativa a criptografia vSAN de dados em repouso em um cluster, a lógica de monitoramento do VMware Engine gera um alerta. Para ajudar a evitar que você viole os termos de serviço, esse alerta aciona uma ação orientada ao Cloud Customer Care para reativar a criptografia vSAN no cluster afetado.
Da mesma forma, se você configurar um KMS externo, recomendamos excluir a configuração do provedor de chaves do Cloud Key Management Service no servidor vCenter.
Provedor de chaves padrão
O VMware Engine configura o servidor vCenter em nuvens privadas recém-criadas para se conectar a um provedor de chaves gerenciado pelo Google. O VMware Engine cria uma instância do provedor de chaves por região, e o provedor usa o Cloud KMS para criptografia da KEK. O VMware Engine gerencia totalmente o provedor de chaves e o configura para ficar altamente disponível em todas as regiões.
O provedor de chaves gerenciadas pelo Google complementa o provedor de chaves nativo no servidor vCenter (no vSphere 7.0 atualização 2 e versões mais recentes) e é a abordagem recomendada para ambientes de produção. O provedor de chaves nativas é executado como um processo no servidor vCenter, que é executado em um cluster do vSphere no VMware Engine. O VMware recomenda o uso do provedor de chaves nativo para criptografar o cluster que hospeda o servidor vCenter. Em vez disso, use um provedor de chaves padrão gerenciado pelo Google ou um KMS externo.
Troca de chaves
Ao usar o provedor de chaves padrão, você é responsável pela rotação da KEK. Para alternar a KEK no vSphere, consulte a documentação do VMware Gerar novas chaves de criptografia de dados em repouso.
Veja outras maneiras de fazer a rotação de uma chave no vSphere nos seguintes recursos do VMware:
Fornecedores compatíveis
Para alternar o seu KMS ativo, selecione uma solução de KMS de terceiros que esteja em conformidade com o KMS 1.1 e seja certificada pelo VMware para vSAN. Os seguintes fornecedores validaram a solução KMS com o VMware Engine e publicaram guias de implantação e declarações de suporte:
Veja instruções de configuração nos seguintes documentos:
- Como configurar a criptografia vSAN usando o KMS Fortanix
- Como configurar a criptografia vSAN usando o CipherTrust Manager
- Como configurar a criptografia vSAN usando HyTrust KeyControl
Usar um fornecedor com suporte
Cada implantação de um KMS externo requer as mesmas etapas básicas:
- Crie um projeto do Google Cloud ou use um atual.
- Crie uma nova nuvem particular virtual (VPC) ou escolha uma rede VPC existente.
- Conecte a rede VPC selecionada à rede do VMware Engine.
Em seguida, implante o KMS em uma instância de VM do Compute Engine:
- Configure as permissões necessárias do IAM para implantar instâncias de VM do Compute Engine.
- Implante o KMS no Compute Engine.
- Estabeleça confiança entre o vCenter e o KMS.
- Ative a criptografia de dados vSAN.
As seções a seguir descrevem brevemente esse processo de uso de um dos fornecedores compatíveis.
Configurar permissões do IAM
É preciso ter permissões suficientes para implantar instâncias de VM do Compute Engine em um determinado projeto do Google Cloud e rede VPC, para conectar a VPC ao VMware Engine e para configurar regras de firewall para a VPC.
Proprietários de projetos e principais do IAM com o papel de administrador de rede podem criar intervalos de IP alocados e gerenciar conexões particulares. Para mais informações sobre papéis, consulte Papéis do IAM do Compute Engine.
Implantar o sistema de gerenciamento de chaves no Compute Engine
Algumas soluções do KMS estão disponíveis em um formato de dispositivo no Google Cloud Marketplace. É possível implantar esses dispositivos ao importar a OVA diretamente na sua VPC ou projeto do Google Cloud.
Para o KMS baseado em software, implante uma instância de VM do Compute Engine usando a configuração (contagem de vCPU, vMem e discos) recomendada pelo fornecedor do KMS. Instale o software KMS no sistema operacional convidado. Crie a instância de VM do Compute Engine em uma rede VPC conectada à rede do VMware Engine.
Estabelecer confiança entre o vCenter e o KMS
Depois de implantar o KMS no Compute Engine, configure o vCenter do VMware Engine para recuperar chaves de criptografia do KMS.
Primeiro, adicione os detalhes da conexão KMS ao vCenter. Em seguida, estabeleça a confiança entre o vCenter e seu KMS. Para estabelecer confiança entre o vCenter e o KMS, faça o seguinte:
- Gere um certificado no vCenter.
- assine-o usando um token ou uma chave gerada pelo KMS;
- forneça ou faça o upload desse certificado ao vCenter;
- Confirme o status de conectividade verificando a configuração e o status do KMS na página de configuração do servidor vCenter.
Ativar criptografia de dados vSAN
No vCenter, o usuário CloudOwner
padrão tem privilégios suficientes para ativar
e gerenciar a criptografia de dados vSAN.
Para mudar de um KMS externo para o provedor de chaves padrão gerenciado pelo Google, siga as etapas para alterar o provedor de chaves fornecido na documentação do VMware Como configurar e gerenciar um provedor de chaves padrão.
A seguir
- Saiba mais sobre as verificações de integridade da conexão do vSAN KMS.
- Saiba mais sobre a criptografia vSAN.