Información sobre la encriptación de vSAN

La encriptación de los datos en reposo de vSAN requiere un sistema de administración de claves (KMS). De forma predeterminada, la administración de claves para la encriptación de datos vSAN en Google Cloud VMware Engine usa Cloud Key Management Service para las nubes privadas recién creadas, sin costo adicional.

En su lugar, puedes optar por implementar un KMS externo para la encriptación de datos en reposo de vSAN de uno de los proveedores compatibles que se encuentran a continuación. En esta página, se explica el comportamiento de la encriptación de vSAN y se resume cómo usar un KMS externo para encriptar los datos en reposo de las máquinas virtuales en VMware Engine.

Encriptación de datos de vSAN

De forma predeterminada, VMware Engine habilita la encriptación de vSAN para los datos en el clúster principal y en los clústeres agregados después a la nube privada. En la encriptación de datos en reposo de vSAN, se usa una clave de encriptación de datos (DEK) que se almacena en el disco físico local del clúster después de la encriptación. La DEK es una clave de encriptación AES de 256 bits que cumple con FIPS 140-2 y que los hosts ESXi generan de forma automática. Se usa una clave de encriptación de claves (KEK) proporcionada por el proveedor de claves administradas por Google para encriptar la DEK.

Te recomendamos inhabilitar la encriptación de vSAN de los datos en reposo, ya que puede infringir las condiciones específicas del servicio de Google Cloud VMware Engine. Cuando inhabilitas la encriptación vSAN de los datos en reposo en un clúster, la lógica de supervisión de VMware Engine genera una alerta. Para evitar que infrinjas las condiciones del servicio, esta alerta activa una acción basada en la atención al cliente de Cloud a fin de volver a habilitar la encriptación de vSAN en el clúster afectado.

De modo similar, si configuras un KMS externo, te recomendamos borrar la configuración del proveedor de claves de Cloud Key Management Service en vCenter Server.

Proveedor de claves predeterminado

VMware Engine configura vCenter Server en las nubes privadas recién creadas para conectarse a un proveedor de claves administradas por Google. VMware Engine crea una instancia del proveedor de claves por región, y este usa Cloud KMS para la encriptación de la KEK. VMware Engine administra por completo el proveedor de claves y lo configura para que tenga alta disponibilidad en todas las regiones.

El proveedor de claves administradas por Google complementa el proveedor de claves nativo en vCenter Server (en vSphere 7.0, Update 2 y versiones posteriores) y es el enfoque recomendado para los entornos de producción. El proveedor de claves nativo se ejecuta como un proceso dentro del vCenter Server, que se ejecuta en un clúster de vSphere en VMware Engine. VMware recomienda no usar el proveedor de clave nativo para encriptar el clúster que aloja vCenter Server. En su lugar, usa el proveedor de claves predeterminado administrado por Google o un KMS externo.

Rotación de claves

Cuando usas el proveedor de claves predeterminado, eres responsable de la rotación de la KEK. Para rotar la KEK en vSphere, consulta la documentación de VMware Genera nuevas claves de encriptación de datos en reposo.

Para conocer más formas de rotar una clave en vSphere, consulta los siguientes recursos de VMware:

Proveedores admitidos

Para cambiar el KMS activo, puedes seleccionar una solución de KMS de terceros que cumpla con KMIP 1.1 y que esté certificada por VMware para vSAN. Los siguientes proveedores validaron la solución de KMS con VMware Engine y publicaron guías de implementación y declaraciones de asistencia:

Para obtener instrucciones de configuración, consulta los siguientes documentos:

Usa un proveedor compatible

Cada implementación de un KMS externo requiere los mismos pasos básicos:

  • Crea un proyecto de Google Cloud o usa uno existente.
  • Crea una red de nube privada virtual (VPC) nueva o elige una red de VPC existente.
  • Conecta la red de VPC seleccionada a la red de VMware Engine.

Luego, implementa el KMS en una instancia de VM de Compute Engine:

  1. Configura los permisos de IAM necesarios para implementar instancias de VM de Compute Engine.
  2. Implementa KMS en Compute Engine.
  3. Establece la confianza entre vCenter y KMS
  4. Habilita la encriptación de datos de vSAN.

En las siguientes secciones, se describe brevemente este proceso de uso de uno de los proveedores compatibles.

Configura los permisos de IAM

Necesitas permisos suficientes para implementar instancias de VM de Compute Engine en un proyecto de Google Cloud y una red de VPC determinados, conectar la red de VPC a VMware Engine y configurar las reglas de firewall para la red de VPC.

Los propietarios del proyecto y las principales de IAM con la función de Administrador de red pueden crear rangos de IP asignados y administrar conexiones privadas. Para obtener más información sobre las funciones, consulta Funciones de IAM de Compute Engine.

Implementa Key Management Server en Compute Engine

Algunas soluciones de KMS están disponibles en un factor de forma de dispositivo en Google Cloud Marketplace. Para implementar estos dispositivos, importa el OVA directamente en tu red de VPC o proyecto de Google Cloud.

Para KMS basado en software, implementa una instancia de VM de Compute Engine con la configuración (recuento de CPU virtual, vMem y discos) recomendada por el proveedor de KMS. Instala el software de KMS en el sistema operativo invitado. Crea la instancia de VM de Compute Engine en una red de VPC que esté conectada a la red de VMware Engine.

Establece la confianza entre vCenter y KMS

Después de implementar KMS en Compute Engine, configura el vCenter de VMware Engine para recuperar las claves de encriptación de KMS.

Primero, agrega los detalles de la conexión de KMS a vCenter. Para establecer la confianza entre vCenter y KMS, sigue estos pasos: Para establecer la confianza entre vCenter y KMS, sigue estos pasos:

  1. Genera un certificado en vCenter.
  2. Firma mediante un token o una clave generados por el KMS.
  3. Proporciona o sube ese certificado a vCenter.
  4. Confirma el estado de la conectividad, comprueba la configuración y el estado de KMS en la página de configuración del servidor de vCenter.

Habilita la encriptación de datos de vSAN

En vCenter, el usuario predeterminado CloudOwner tiene privilegios suficientes para habilitar y administrar la encriptación de datos vSAN.

Si deseas cambiar de un KMS externo al proveedor predeterminado de claves administradas por Google, sigue los pasos para cambiar el proveedor de claves proporcionado en la documentación de VMware Configura y administra un proveedor de claves estándar.

¿Qué sigue?