À propos du chiffrement vSAN

Le chiffrement des données vSAN au repos nécessite un système de gestion de clés (KMS). Par défaut, la gestion des clés pour le chiffrement des données vSAN dans Google Cloud VMware Engine utilise Cloud Key Management Service pour les clouds privés nouvellement créés, sans frais supplémentaire.

À la place, vous pouvez déployer un service de gestion des clés externe pour le chiffrement des données vSAN au repos proposé par l'un des fournisseurs compatibles ci-dessous. Cette page explique le comportement du chiffrement vSAN et décrit comment utiliser un KMS externe pour chiffrer les données de machine virtuelle au repos dans VMware Engine.

Chiffrement des données vSAN

Par défaut, VMware Engine active le chiffrement vSAN pour les données du cluster principal et des clusters ajoutés ultérieurement au cloud privé. Le chiffrement des données vSAN au repos utilise une clé de chiffrement des données (DEK) stockée sur le disque physique local du cluster après le chiffrement. La DEK est une clé de chiffrement AES-256 conforme à la norme FIPS 140-2 et générée automatiquement par les hôtes ESXi. Les clés de chiffrement de clé (KEK, Key Encryption Key) mises à disposition par le fournisseur de clés géré par Google permettent de chiffrer la DEK.

Nous vous déconseillons vivement de désactiver le chiffrement vSAN des données au repos, car cela peut vous empêcher de respecter les conditions spécifiques du service Google Cloud VMware Engine. Lorsque vous désactivez le chiffrement vSAN des données au repos sur un cluster, la logique de surveillance VMware Engine déclenche une alerte. Pour vous aider à éviter le non-respect des conditions de service, cette alerte déclenche une action basée sur Cloud Customer Care pour réactiver le chiffrement vSAN sur le cluster concerné.

De même, si vous configurez un service de gestion des clés externe, nous vous déconseillons vivement de supprimer la configuration du fournisseur de clé Cloud Key Management Service dans vCenter Server.

Fournisseur de clé par défaut

VMware Engine configure le serveur vCenter dans des clouds privés nouvellement créés pour se connecter à un fournisseur de clé géré par Google. VMware Engine crée une instance du fournisseur de clé par région, et le fournisseur de clés utilise Cloud KMS pour chiffrer la clé KEK. VMware Engine gère entièrement le fournisseur de clés et le configure pour qu'il soit hautement disponible dans toutes les régions.

Le fournisseur de clés géré par Google complète le fournisseur de clés natif dans vCenter Server (dans la deuxième mise à jour de la version 7.0 de vSphere et versions ultérieures) et constitue l'approche recommandée pour les environnements de production. Le fournisseur de clé natif s'exécute en tant que processus dans vCenter Server, qui s'exécute sur un cluster vSphere dans VMware Engine. VMware déconseille d'utiliser le fournisseur de clé natif pour chiffrer le cluster qui héberge vCenter Server. Utilisez plutôt le fournisseur de clés par défaut géré par Google ou un service de gestion des clés externe.

Rotation des clés

Lorsque vous utilisez le fournisseur de clé par défaut, vous êtes responsable de la rotation de la KEK. Pour effectuer une rotation de la KEK dans vSphere, consultez la documentation de VMware sur la gestion de nouvelles clés de chiffrement des données au repos.

Pour découvrir d'autres méthodes de rotation de clé dans vSphere, consultez les ressources VMware suivantes :

Fournisseurs acceptés

Pour changer votre service de gestion des clés actif, vous pouvez sélectionner une solution de service de gestion des clés tierce conforme à la norme KMIP 1.1 et certifiée par VMware pour vSAN. Les fournisseurs suivants ont validé leur solution KMS avec VMware Engine et publié des guides de déploiement et des déclarations d'assistance :

Pour obtenir des instructions de configuration, consultez les documents suivants :

Utiliser un fournisseur compatible

Chaque déploiement d'un service de gestion des clés externe nécessite les mêmes étapes de base :

  • Créez un projet Google Cloud ou utilisez-en un existant.
  • Créez un réseau de cloud privé virtuel (VPC) ou choisissez un réseau VPC existant.
  • Connectez le réseau VPC sélectionné au service VMware Engine à l'aide de l'accès aux services privés.

Déployez ensuite le service de gestion des clés dans une instance de VM Compute Engine:

  1. Configurez les autorisations IAM requises pour déployer des instances de VM Compute Engine.
  2. Déployez le service de gestion des clés dans Compute Engine.
  3. Établissez des relations d'approbation entre vCenter et le service de gestion des clés.
  4. Activer le chiffrement des données vSAN.

Les sections suivantes décrivent brièvement ce processus d'utilisation de l'un des fournisseurs compatibles.

Configurer les autorisations IAM

Vous devez disposer des autorisations suffisantes pour déployer des instances de VM Compute Engine dans un projet Cloud et un VPC donné, connecter votre réseau VPC à VMware Engine et configurer des règles de pare-feu pour le réseau VPC.

Les propriétaires de projet et les entités principales IAM dotés du rôle [Administrateur réseau][compute iam compute.networkAdmin] peuvent créer des plages d'adresses IP allouées et gérer les connexions privées. Pour en savoir plus sur les rôles, consultez la page [Rôles IAM Compute Engine][compute iam].

Déployer le système de gestion des clés dans Compute Engine

Certaines solutions KMS sont disponibles sous forme de dispositifs dans Google Cloud Marketplace. Vous pouvez déployer ces dispositifs en important le fichier OVA directement dans votre réseau VPC ou votre projet Google Cloud.

Pour le KMS basé sur logiciel, déployez une instance de VM Compute Engine en utilisant la configuration (nombre de processeurs virtuels, vMem et disques) recommandée par le fournisseur de KMS. Installez le logiciel KMS sur le système d'exploitation invité. Créez l'instance de VM Compute Engine dans un VPC connecté à VMware Engine à l'aide de l'accès aux services privés.

Établir des relations d'approbation entre vCenter et KMS

Après avoir déployé le KMS dans Compute Engine, configurez VMware Engine vCenter pour récupérer les clés de chiffrement depuis ce service.

Commencez par ajouter les informations de connexion du KMS à vCenter. Établissez ensuite une approbation entre vCenter et votre KMS. Pour établir une relation d'approbation entre vCenter et votre service de gestion des clés, procédez comme suit:

  1. Générez un certificat dans vCenter.
  2. Signez-le à l'aide d'un jeton ou d'une clé générés par votre KMS.
  3. Fournissez ou importez ce certificat dans vCenter.
  4. Confirmez l'état de la connectivité en vérifiant le paramètre KMS et l'état sur la page de configuration du serveur vCenter.

Activer le chiffrement des données vSAN.

Dans vCenter, l'utilisateur par défaut CloudOwner dispose de droits suffisants pour activer et gérer le chiffrement des données vSAN.

Pour passer d'un service de gestion des clés externe au fournisseur de clés géré par Google par défaut, suivez la procédure permettant de modifier le fournisseur de clés inclut dans la documentation de VMware sur la configuration et la gestion d'un fournisseur de clé standard.

Étape suivante