Informazioni sulla crittografia vSAN

La crittografia dei dati at-SAN vSAN richiede un sistema di gestione delle chiavi (KMS). Per impostazione predefinita, la gestione delle chiavi per la crittografia dei dati vSAN in Google Cloud VMware Engine utilizza Cloud Key Management Service per i cloud privati appena creati, senza costi aggiuntivi.

Puoi scegliere di eseguire il deployment di un KMS esterno per la crittografia dei dati at-rest di vSAN da uno dei fornitori supportati riportati di seguito. Questa pagina spiega il comportamento della crittografia vSAN e riassume come utilizzare un KMS esterno per criptare i dati at-rest delle macchine virtuali in VMware Engine.

Crittografia dei dati vSAN

Per impostazione predefinita, VMware Engine consente la crittografia vSAN per i dati nel cluster principale e nei cluster successivamente aggiunti al cloud privato. La crittografia dei dati at-rest di vSAN utilizza una chiave di crittografia dei dati (DEK) archiviata sul disco fisico locale del cluster dopo la crittografia. La DEK è una chiave di crittografia AES-256 bit conforme allo standard FIPS 140-2 generata automaticamente dagli host ESXi. Per criptare la DEK viene utilizzata una chiave di crittografia della chiave (KEK) fornita dal provider di chiavi gestite da Google.

Consigliamo vivamente di contro disabilitare la crittografia vSAN dei dati at-rest, in quanto potrebbe violare i termini specifici dei servizi per Google Cloud VMware Engine. Quando disabiliti la crittografia vSAN dei dati at-rest su un cluster, la logica di monitoraggio di VMware Engine genera un avviso. Per aiutarti a evitare di violare i termini di servizio, questo avviso attiva un'azione basata sull'assistenza clienti Google Cloud per riabilitare la crittografia vSAN sul cluster interessato.

Allo stesso modo, se configuri un KMS esterno, ti consigliamo vivamente contro di eliminare la configurazione del provider di chiavi di Cloud Key Management Service in vCenter Server.

Fornitore di chiavi predefinito

VMware Engine configura vCenter Server nei cloud privati appena creati per la connessione a un provider di chiavi gestite da Google. VMware Engine crea un'istanza del provider di chiavi per ogni regione, mentre il provider delle chiavi utilizza Cloud KMS per la crittografia della KEK. VMware Engine gestisce completamente il provider di chiavi e lo configura affinché sia ad alta disponibilità in tutte le regioni.

Il provider di chiavi gestito da Google integra il provider di chiavi native in vCenter Server (in vSphere 7.0 Update 2 e versioni successive) ed è l'approccio consigliato per gli ambienti di produzione. Il provider di chiavi native viene eseguito come processo all'interno di vCenter Server, che viene eseguito su un cluster vSphere in VMware Engine. VMware consiglia di non utilizzare il provider di chiavi nativo per criptare il cluster che ospita vCenter Server. Utilizza invece il provider di chiavi predefinito gestito da Google o un KMS esterno.

Rotazione chiave

Quando utilizzi il provider di chiavi predefinito, sei responsabile della rotazione della KEK. Per ruotare la KEK in vSphere, consulta la documentazione di VMware Genera nuove chiavi di crittografia dei dati at-rest.

Per altri modi per ruotare una chiave in vSphere, consulta le seguenti risorse VMware:

• Script di esempio PowerCLI su GitHub
• API vSAN Management

Fornitori supportati

Per cambiare il KMS attivo, puoi selezionare una soluzione KMS di terze parti conforme a KMIP 1.1 e certificata da VMware per vSAN. I seguenti fornitori hanno convalidato la propria soluzione KMS con VMware Engine e hanno pubblicato guide al deployment e dichiarazioni di assistenza:

• Thales CipherTrust Manager
• Controllo chiavi HyTrust
• KMS autodifesa Fortanix

Per le istruzioni di configurazione, consulta i seguenti documenti:

• Configurazione della crittografia vSAN utilizzando KMS Fortanix
• Configurazione della crittografia vSAN mediante CipherTrust Manager
• Configurazione della crittografia vSAN mediante HyTrust KeyControl

Utilizza un fornitore supportato

Ogni deployment di un KMS esterno richiede gli stessi passaggi di base:

• Crea un progetto Google Cloud o utilizzane uno esistente.
• Crea una nuova rete Virtual Private Cloud (VPC) o scegli una rete VPC esistente.
• Connetti la rete VPC selezionata alla rete VMware Engine.

Quindi, esegui il deployment del KMS in un'istanza VM di Compute Engine:

1. Configura le autorizzazioni IAM necessarie per eseguire il deployment delle istanze VM di Compute Engine.
2. Eseguire il deployment del KMS in Compute Engine.
3. Creazione di un rapporto di fiducia tra vCenter e KMS.
4. Abilita la crittografia dei dati vSAN.

Le seguenti sezioni descrivono brevemente la procedura di utilizzo di uno dei fornitori supportati.

Configura le autorizzazioni IAM

Devi disporre di autorizzazioni sufficienti per eseguire il deployment delle istanze VM di Compute Engine in un determinato progetto Google Cloud e una determinata rete VPC, connettere la tua rete VPC a VMware Engine e configurare le regole firewall per la rete VPC.

I proprietari del progetto e le entità IAM con il ruolo Amministratore rete possono creare intervalli IP allocati e gestire le connessioni private. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM di Compute Engine.

Esegui il deployment del sistema di gestione delle chiavi in Compute Engine

Alcune soluzioni KMS sono disponibili in un fattore di forma dell'appliance in Google Cloud Marketplace. Per eseguire il deployment di queste appliance, puoi importare l'OVA direttamente nella rete VPC o nel progetto Google Cloud.

Per KMS basato su software, esegui il deployment di un'istanza VM di Compute Engine utilizzando la configurazione (conteggio di vCPU, vMem e dischi) consigliata dal fornitore KMS. Installa il software KMS nel sistema operativo guest. Crea l'istanza VM di Compute Engine in una rete VPC connessa alla rete VMware Engine.

Stabilisci una relazione di fiducia tra vCenter e il KMS

Dopo aver eseguito il deployment del KMS in Compute Engine, configura il tuo vCenter VMware Engine per recuperare le chiavi di crittografia dal KMS.

Per prima cosa, aggiungi i dettagli della connessione KMS a vCenter. Quindi, instaura un rapporto di attendibilità tra vCenter e il tuo KMS. Per instaurare un attendibilità tra vCenter e il KMS:

1. Genera un certificato in vCenter.
2. Firmala utilizzando un token o una chiave generati dal KMS.
3. Fornisci o carica il certificato in vCenter.
4. Conferma lo stato della connettività controllando l'impostazione e lo stato KMS nella pagina di configurazione del server vCenter.

Abilita crittografia dati vSAN

In vCenter, l'utente CloudOwner predefinito dispone di privilegi sufficienti per abilitare e gestire la crittografia dei dati vSAN.

Per passare da un KMS esterno al provider di chiavi gestito da Google predefinito, segui i passaggi per modificare il provider di chiavi indicato nella documentazione di VMware Configurazione e gestione di un provider di chiavi standard.

Passaggi successivi

• Scopri di più sui controlli di integrità della connessione KMS vSAN.
• Scopri di più sulla crittografia vSAN 7.0.