vSAN-Verschlüsselung

Für die Verschlüsselung inaktiver vSAN-Daten ist ein Schlüsselverwaltungssystem (KMS) erforderlich. Standardmäßig verwendet die Schlüsselverwaltung für die vSAN-Datenverschlüsselung in Google Cloud VMware Engine Cloud Key Management Service für neu erstellte private Clouds ohne zusätzliche Kosten.

Sie können stattdessen auch einen externen KMS zur Verschlüsselung ruhender vSAN-Daten von einem der unterstützten Anbieter bereitstellen. Auf dieser Seite wird das Verhalten der vSAN-Verschlüsselung erläutert und es wird zusammengefasst, wie ein externer KMS zum Verschlüsseln ruhender VM-Daten in VMware Engine verwendet wird.

vSAN-Datenverschlüsselung

Standardmäßig aktiviert VMware Engine die vSAN-Verschlüsselung für Daten im primären Cluster und in Clustern, die anschließend der privaten Cloud hinzugefügt werden. Zur Verschlüsselung ruhender vSAN-Daten wird ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verwendet, der nach der Verschlüsselung auf dem lokalen physischen Laufwerk des Clusters gespeichert wird. Der DEK ist ein FIPS 140-2-konformer AES-256-Bit-Verschlüsselungsschlüssel, der automatisch von ESXi-Hosts generiert wird. Zur Verschlüsselung des DEK wird ein Schlüsselverschlüsselungsschlüssel (KEK) verwendet, der von einem von Google verwalteten Schlüsselanbieter bereitgestellt wird.

Es wird dringend davon abgeraten, die vSAN-Verschlüsselung ruhender Daten zu deaktivieren, da Sie sonst gegen die dienstspezifischen Nutzungsbedingungen für Google Cloud VMware Engine verstoßen könnten. Wenn Sie die vSAN-Verschlüsselung ruhender Daten in einem Cluster deaktivieren, löst die VMware Engine-Monitoring-Logik eine Warnung aus. Damit Sie nicht gegen die Dienstbedingungen verstoßen, löst diese Benachrichtigung eine von Cloud Customer Care gesteuerte Aktion aus, um die vSAN-Verschlüsselung im betroffenen Cluster wieder zu aktivieren.

Wenn Sie einen externen KMS konfigurieren, wird dringend davon abgeraten, die Schlüsselanbieterkonfiguration von Cloud Key Management Service in vCenter Server zu löschen.

Standardschlüsselanbieter

VMware Engine konfiguriert vCenter Server in neu erstellten privaten Clouds für die Verbindung mit einem von Google verwalteten Schlüsselanbieter. VMware Engine erstellt eine Instanz des Schlüsselanbieters pro Region und der Schlüsselanbieter verwendet Cloud KMS für die Verschlüsselung des KEK. VMware Engine verwaltet den Schlüsselanbieter vollständig und konfiguriert ihn so, dass er in allen Regionen hochverfügbar ist.

Der von Google verwaltete Schlüsselanbieter ergänzt den nativen Schlüsselanbieter in vCenter Server (in vSphere 7.0 Update 2 und höher) und ist der empfohlene Ansatz für Produktionsumgebungen. Der native Schlüsselanbieter wird als Prozess auf dem vCenter-Server ausgeführt, der in einem vSphere-Cluster in VMware Engine ausgeführt wird. VMware rät davon ab, den nativen Schlüsselanbieter zum Verschlüsseln des Clusters zu verwenden, der vCenter Server hostet. Verwenden Sie stattdessen den von Google verwalteten Standardschlüsselanbieter oder einen externen KMS.

Schlüsselrotation

Wenn Sie den Standardschlüsselanbieter verwenden, sind Sie für die Rotation des KEK verantwortlich. Informationen zum Rotieren des KEK in vSphere finden Sie in der VMware-Dokumentation unter Neue Verschlüsselungsschlüssel für ruhende Daten generieren.

Weitere Möglichkeiten zum Rotieren eines Schlüssels in vSphere finden Sie in den folgenden VMware-Ressourcen:

• PowerCLI-Beispielskript auf GitHub
• vSAN Management API

Zugelassene Anbieter

Für den Wechsel des aktiven KMS können Sie eine KMS-Lösung von einem Drittanbieter auswählen, die KMIP 1.1-konform ist und von VMware for vSAN zertifiziert wurde. Die KMS-Lösungen folgender Anbieter sind für VMware Engine validiert und es stehen Bereitstellungsanleitungen und Supportanweisungen für sie zur Verfügung:

• Thales CipherTrust Manager
• HyTrust-Schlüsselsteuerung
• Fortanix Self Defending KMS

Eine Konfigurationsanleitung finden Sie in den folgenden Dokumenten:

• VSAN-Verschlüsselung mit Fortanix KMS konfigurieren
• VSAN-Verschlüsselung mit CipherTrust Manager konfigurieren
• VSAN-Verschlüsselung mit HyTrust KeyControl konfigurieren

Unterstützten Anbieter verwenden

Für die Bereitstellung eines externen KMS sind dieselben grundlegenden Schritte erforderlich:

• Erstellen Sie ein Google Cloud-Projekt oder verwenden Sie ein vorhandenes Projekt.
• Erstellen Sie eine neue Virtual Private Cloud (VPC) oder wählen Sie ein vorhandenes VPC-Netzwerk aus.
• Verbinden Sie das ausgewählte VPC-Netzwerk mit dem VMware Engine-Netzwerk.

Stellen Sie dann den KMS in einer Compute Engine-VM-Instanz bereit:

1. Richten Sie die erforderlichen IAM-Berechtigungen ein, um Compute Engine-VM-Instanzen bereitzustellen.
2. Stellen Sie den KMS in Compute Engine bereit.
3. Vertrauensstellung zwischen vCenter und dem KMS herstellen
4. Aktivieren Sie die vSAN-Datenverschlüsselung.

In den folgenden Abschnitten wird dieser Vorgang einen der unterstützten Anbieter zu verwenden kurz beschrieben.

IAM-Berechtigungen einrichten

Sie benötigen ausreichende Berechtigungen, um Compute Engine-VM-Instanzen in einem bestimmten Google Cloud-Projekt und VPC-Netzwerk bereitzustellen, Ihr VPC-Netzwerk mit der VMware Engine zu verbinden und Firewallregeln für das VPC-Netzwerk zu konfigurieren.

Projektinhaber und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten. Weitere Informationen zu Rollen finden Sie unter Compute Engine-IAM-Rollen.

Schlüsselverwaltungssystem in Compute Engine bereitstellen

Einige KMS-Lösungen sind in einem Appliance-Formfaktor über Google Cloud Marketplace verfügbar. Sie können solche Appliances bereitstellen, indem Sie die OVA direkt in Ihr VPC-Netzwerk oder Google Cloud-Projekt importieren.

Stellen Sie für softwarebasierte KMS eine Compute Engine-VM-Instanz bereit. Verwenden Sie dabei die vom KMS-Anbieter empfohlene Konfiguration (vCPU-Anzahl, vMem und Laufwerke). Installieren Sie die KMS-Software im Gastbetriebssystem. Erstellen Sie die Compute Engine-VM-Instanz in einem VPC-Netzwerk, das mit dem VMware Engine-Netzwerk verbunden ist.

Vertrauensstellung zwischen vCenter und dem KMS herstellen

Nach der Bereitstellung von KMS in Compute Engine konfigurieren Sie Ihr VMware Engine vCenter so, dass die Verschlüsselungsschlüssel aus dem KMS abgerufen werden.

Fügen Sie zuerst KMS-Verbindungsdetails zu vCenter hinzu. Richten Sie dann eine Vertrauensstellung zwischen vCenter und KMS ein. So stellen Sie eine Vertrauensstellung zwischen vCenter und KMS her:

1. Generieren Sie ein Zertifikat in vCenter.
2. Signieren Sie es mit einem von Ihrem KMS generierten Token oder Schlüssel.
3. Stellen Sie dieses Zertifikat bereit oder laden Sie es in vCenter hoch.
4. Um den Verbindungsstatus zu verifizieren, prüfen Sie die KMS-Einstellung und den Status auf der vCenter-Serverkonfigurationsseite.

vSAN-Datenverschlüsselung aktivieren

In vCenter verfügt der Standardnutzer CloudOwner über ausreichende Berechtigungen, um die vSAN-Datenverschlüsselung zu aktivieren und zu verwalten.

Wenn Sie von einem externen KMS zum von Google verwalteten Standardschlüsselanbieter wechseln möchten, führen Sie die Schritte zum Ändern des Schlüsselanbieters aus der VMware-Dokumentation Standardschlüsselanbieter konfigurieren und verwalten aus.

Nächste Schritte

• Weitere Informationen zu Systemdiagnosen für vSAN KMS-Verbindungen.
• Weitere Informationen zur vSAN 7.0-Verschlüsselung