Configurar el encriptado vSAN con Fortanix KMS

Para cifrar los datos en reposo con el cifrado de vSAN, una opción es usar Fortanix Key Management Service (KMS).

Antes de empezar

  • Crea un Google Cloud proyecto o usa uno que ya tengas.
  • Comprueba que tengas al menos tres instancias de máquina virtual (VM) n1-standard-4 o superior.

Desplegar Fortanix KMS en Google Cloud

Crear una red VPC

Por motivos de seguridad, crea una red de nube privada virtual (VPC). Puedes controlar quién tiene acceso añadiendo reglas de cortafuegos o usando otro método de control de acceso. Si tu proyecto tiene una red de VPC predeterminada, no la uses. En su lugar, crea tu propia red de VPC con un intervalo de IPs de subred diferente para que las únicas reglas de cortafuegos que se apliquen sean las que crees explícitamente.

Crear una plantilla de instancia de VM

  1. Sigue los pasos que se indican en Crear plantillas de instancia para crear una.
  2. En Tipo de máquina, selecciona n1-standard-4 (4 vCPU, 15 GB de memoria) o un tipo superior.
    1. En el campo Disco de arranque, selecciona Ubuntu 16.04 LTS + SSD de 200 GB.

Crear un grupo de instancias gestionado

Sigue los pasos que se indican en Crear grupos de instancias gestionados para crear un grupo de instancias gestionado que use la plantilla de instancia que has creado en el paso anterior.

  • Inhabilita el autoescalado.
  • En Número de instancias, introduce el número de nodos de clúster de Fortanix KMS que quieras.

Crear una comprobación del estado

En la página Crear una comprobación del estado, comprueba el puerto 443. Haz clic en Crear para crear una comprobación del estado.

Crear un balanceador de carga TCP interno

  1. En la página Crear un balanceador de carga, en el campo Orientado a Internet o solo de uso interno, selecciona Solo entre mis máquinas virtuales.
  2. Haz clic en Continuar para crear un balanceador de carga interno.
  3. En el panel de la izquierda, selecciona Configuración de backend.
    1. Selecciona la red de VPC que has creado.
    2. Selecciona el grupo de instancias gestionado que has creado.
  4. En el panel de la izquierda, selecciona Configuración de frontend.
    1. Selecciona la red de VPC que has creado.
    2. En IP interna, reserve una dirección IP interna.
    3. En Número de puerto, expón los puertos 443, 4445 y 5696.

Crear un balanceador de carga externo

  1. En la página Crear un balanceador de carga, en Orientado a Internet o solo de uso interno, selecciona De Internet a mis VMs.
  2. Haz clic en Continuar.
  3. En el panel de la izquierda, selecciona Configuración de backend.
    1. Seleccione la región.
    2. Selecciona el grupo de instancias gestionado que has creado.
    3. Selecciona la comprobación del estado que has creado.
  4. En el panel de la izquierda, selecciona Configuración de frontend.
    1. Selecciona la red de VPC que has creado.
    2. Reserva una dirección IP pública en el campo IP.
    3. En Número de puerto, expón los puertos 443, 4445 y 5696.

Añadir una regla de cortafuegos

De forma predeterminada, la regla de cortafuegos de red de VPC de denegación implícita de entrada bloquea las conexiones entrantes no solicitadas a las VMs de la red de VPC.

Para permitir las conexiones entrantes, configura una regla de cortafuegos para tu VM. Una vez que se establece una conexión entrante con una máquina virtual, se permite el tráfico en ambas direcciones a través de esa conexión.

Puedes crear una regla de cortafuegos para permitir el acceso externo a puertos específicos o para restringir el acceso entre VMs de la misma red.

Añade una regla de cortafuegos para permitir los puertos 443, 4445 y 5696. Selecciona la red de VPC que has creado y restringe la IP de origen según tus requisitos de seguridad.

Crear un DNS

Puedes crear un DNS para balanceadores de carga internos y externos con Cloud DNS. En esta página, sdkms.vpc.gcloud es el endpoint de Fortanix KMS al que se puede acceder desde la red VPC y sdkms.external.gcloud es el endpoint al que se puede acceder desde Internet.

Descargar e instalar Fortanix KMS

Instala el software Fortanix KMS en cada instancia de VM. Para obtener instrucciones, consulta la guía de instalación de Fortanix Self-Defending KMS. Para obtener el paquete de instalación compatible con Google Cloud, ponte en contacto con el equipo de asistencia de Fortanix.

Configurar el acceso a la interfaz de usuario o a KMIP

Se puede acceder a la interfaz de usuario mediante el comando sdkms.external.gcloud. Se puede acceder al protocolo de interoperabilidad de gestión de claves (KMIP) para VMware mediante sdkms.vpc.gcloud.

Configurar el acceso privado a servicios

Configura el acceso a servicios privados en VMware Engine y conecta tu red de VPC a tu nube privada. Para obtener instrucciones, consulta Configurar el acceso privado a servicios.

Establecer una relación de confianza entre vCenter y Fortanix KMS

  1. En Fortanix KMS, configura una aplicación nueva.
  2. En la página Aplicaciones, haz clic en Ver credenciales de la aplicación que acabas de crear. A continuación, selecciona la pestaña Nombre de usuario/Contraseña y anota el nombre de usuario y la contraseña para configurar KMS en vCenter.
  3. En vCenter, en Servidores de gestión de claves, configura la IP interna. sdkms.vpc.gcloud
  4. Hacer que vCenter confíe en Fortanix KMS:
    1. En la pestaña Configurar de vCenter, haga clic en el KMS de Fortanix que aparece en la lista.
    2. Haga clic en Establecer confianza y, a continuación, en Hacer que vCenter confíe en KMS.
    3. Haz clic en Confiar.
  5. Hacer que Fortanix KMS confíe en vCenter:
    1. Haga clic en Establecer confianza y, a continuación, en Hacer que KMS confíe en vCenter.
    2. En Elige un método, haz clic en Certificado de vCenter.
    3. En Descargar certificado de vCenter, haz clic en Descargar y, a continuación, en Hecho.
  6. Habilita el cifrado de vSAN.
    1. En el cliente de vSphere, ve a Clúster > vSAN > Servicios.
    2. Habilita el cifrado de vSAN.

Fortanix KMS está listo para usarse con el cifrado de vSAN y el cifrado de máquinas virtuales de vCenter. Un registro de auditoría a prueba de manipulaciones registra todas las operaciones criptográficas realizadas por la aplicación. Para el cifrado de vSAN, se crean nuevas claves de seguridad en Fortanix KMS mediante el protocolo KMIP.