Acerca del encriptado vSAN

Para cifrar los datos en reposo de vSAN, se necesita un sistema de gestión de claves (KMS). De forma predeterminada, la gestión de claves para el cifrado de datos de vSAN en Google Cloud VMware Engine usa Cloud Key Management Service para las nubes privadas recién creadas, sin coste adicional.

En su lugar, puede implementar un KMS externo para cifrar los datos de vSAN en reposo de uno de los proveedores admitidos que se indican a continuación. En esta página se explica el comportamiento del cifrado de vSAN y se resume cómo usar un KMS externo para cifrar los datos en reposo de las máquinas virtuales en VMware Engine.

Encriptado de datos de vSAN

De forma predeterminada, VMware Engine habilita el cifrado de vSAN para los datos del clúster principal y de los clústeres que se añadan posteriormente a la nube privada. El cifrado de los datos en reposo de vSAN usa una clave de cifrado de datos (DEK) que se almacena en el disco físico local del clúster después del cifrado. La DEK es una clave de cifrado AES de 256 bits que cumple el estándar FIPS 140-2 y que generan automáticamente los hosts ESXi. Se usa una clave de cifrado de claves (KEK) proporcionada por el Google-owned and managed key proveedor para cifrar la DEK.

No recomendamos inhabilitar el cifrado de datos en reposo de vSAN, ya que puede infringir los términos específicos del servicio de Google Cloud VMware Engine. Cuando inhabilitas el cifrado de datos inactivos de vSAN en un clúster, la lógica de monitorización de VMware Engine genera una alerta. Para evitar que infrinjas los términos del servicio, esta alerta activa una acción basada en el servicio de atención al cliente de Cloud para volver a habilitar el cifrado de vSAN en el clúster afectado.

Del mismo modo, si configura un KMS externo, le recomendamos que no elimine la configuración del proveedor de claves de Cloud Key Management Service en vCenter Server.

Proveedor de claves predeterminado

VMware Engine configura vCenter Server en las nubes privadas recién creadas para conectarse a un Google-owned and managed key proveedor. VMware Engine crea una instancia del proveedor de claves por región y el proveedor de claves usa Cloud KMS para cifrar la KEK. VMware Engine gestiona por completo el proveedor de claves y lo configura para que tenga una alta disponibilidad en todas las regiones.

El proveedor Google-owned and managed key complementa el proveedor de claves integrado en vCenter Server (en vSphere 7.0 Update 2 y versiones posteriores) y es el enfoque recomendado para entornos de producción. El proveedor de claves integrado se ejecuta como un proceso en vCenter Server, que se ejecuta en un clúster de vSphere en VMware Engine. VMware no recomienda usar el proveedor de claves integrado para cifrar el clúster que aloja vCenter Server. En su lugar, usa el proveedor de claves predeterminado gestionado por Google o un KMS externo.

Rotación de claves

Si utilizas el proveedor de claves predeterminado, eres responsable de la rotación de la KEK. Para rotar la KEK en vSphere, consulta la documentación de VMware sobre cómo generar nuevas claves de cifrado de datos en reposo.

Para obtener más información sobre cómo rotar una clave en vSphere, consulta los siguientes recursos de VMware:

• Script de ejemplo de PowerCLI en GitHub
• API de gestión de vSAN

Proveedores admitidos

Para cambiar tu KMS activo, puedes seleccionar una solución de KMS de terceros que cumpla el estándar KMIP 1.1 y que esté certificada por VMware para vSAN. Los siguientes proveedores han validado su solución de KMS con VMware Engine y han publicado guías de implementación y declaraciones de asistencia:

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

Para obtener instrucciones de configuración, consulta los siguientes documentos:

• Configurar el cifrado de vSAN con Fortanix KMS
• Configurar el encriptado vSAN con CipherTrust Manager
• Configurar el cifrado de vSAN con HyTrust KeyControl

Usar un proveedor admitido

Cada implementación de un KMS externo requiere los mismos pasos básicos:

• Crea un Google Cloud proyecto o usa uno que ya tengas.
• Crea una red de nube privada virtual (VPC) o elige una que ya tengas.
• Conecta la red VPC seleccionada a la red de VMware Engine.

A continuación, despliega el KMS en una instancia de VM de Compute Engine:

1. Configura los permisos de gestión de identidades y accesos necesarios para desplegar instancias de VM de Compute Engine.
2. Despliega el KMS en Compute Engine.
3. Establecer una relación de confianza entre vCenter y el KMS.
4. Habilita el cifrado de datos de vSAN.

En las siguientes secciones se describe brevemente este proceso de uso de uno de los proveedores admitidos.

Configurar permisos de gestión de identidades y accesos

Necesitas permisos suficientes para implementar instancias de VM de Compute Engine en un Google Cloud proyecto y una red de VPC determinados, conectar tu red de VPC a VMware Engine y configurar reglas de firewall para la red de VPC.

Los propietarios de proyectos y los principales de IAM que tengan el rol Administrador de red pueden crear intervalos de IP asignados y gestionar conexiones privadas. Para obtener más información sobre los roles, consulta el artículo Roles de gestión de identidades y accesos de Compute Engine.

Desplegar un sistema de gestión de claves en Compute Engine

Algunas soluciones de KMS están disponibles en formato de dispositivo en Google Cloud Marketplace. Puedes implementar estos dispositivos importando el archivo OVA directamente en tu red de VPC o en tu proyecto. Google Cloud

En el caso de los KMS basados en software, despliega una instancia de VM de Compute Engine con la configuración (número de vCPUs, vMem y discos) recomendada por el proveedor del KMS. Instala el software KMS en el sistema operativo invitado. Crea la instancia de VM de Compute Engine en una red de VPC que esté conectada a la red de VMware Engine.

Establecer una relación de confianza entre vCenter y el KMS

Después de implementar el KMS en Compute Engine, configura tu vCenter de VMware Engine para que obtenga las claves de cifrado del KMS.

Primero, añade los detalles de conexión de KMS a vCenter. A continuación, establezca una relación de confianza entre vCenter y su KMS. Para establecer una relación de confianza entre vCenter y tu KMS, haz lo siguiente:

1. Genera un certificado en vCenter.
2. Fírmalo con un token o una clave generados por tu KMS.
3. Proporciona o sube ese certificado a vCenter.
4. Para confirmar el estado de la conectividad, comprueba la configuración y el estado de KMS en la página de configuración del servidor vCenter.

Habilitar el cifrado de datos de vSAN

En vCenter, el usuario CloudOwner predeterminado tiene privilegios suficientes para habilitar y gestionar el cifrado de datos de vSAN.

Para cambiar de un KMS externo al proveedorGoogle-owned and managed key predeterminado, sigue los pasos para cambiar el proveedor de claves que se indican en la documentación de VMware Configurar y gestionar un proveedor de claves estándar.

Siguientes pasos

• Consulta información sobre las comprobaciones del estado de la conexión de KMS de vSAN.
• Consulta información sobre el cifrado de vSAN 7.0.