Configurar el encriptado vSAN con HyTrust KeyControl

Una opción para cifrar datos en reposo con cifrado vSAN es usar HyTrust KeyControl como servicio de gestión de claves (KMS) externo. Para implementar HyTrust KeyControl en Google Cloud, siga los pasos que se indican en este documento.

Requisitos previos

  • Una de las siguientes versiones de vSphere compatibles con HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7 o 7.0
    • vSphere Trust Authority 7.0
    • Gestión de claves universal para agentes de cifrado compatibles con KMIP
  • Gestionar el permiso KMS de vCenter en tu nube privada. El rol CloudOwner predeterminado de VMware Engine tiene privilegios suficientes.
  • Una licencia válida de HyTrust KeyControl. La instancia de KeyControl implementada tiene una licencia de prueba de 30 días.

Establecer una conexión privada entre tu nube privada y tu red de VPC

Identifica un proyecto y una red de nube privada virtual (VPC) en Google Cloud donde tengas previsto implementar nodos de HyTrust KeyControl. Configura una conexión privada entre esa red de VPC y tu nube privada.

Crea una instancia de VM que se convertirá en el nodo KeyControl inicial de tu clúster.

  1. Si aún no tienes una red de VPC que quieras usar para el nodo KeyControl, crea una.

  2. En la Google Cloud consola, ve a la página Imágenes.

    Ir a la página Imágenes

  3. Haz clic en la imagen de HyTrust KeyControl.

  4. Haz clic en Crear instancia.

  5. Configura la instancia:

    • En Tipo de máquina, selecciona n1-standard-2(2 vCPU, 7,5 GB).
    • Marca Permitir el tráfico HTTPS.
    • En Interfaz de red, elige la red de VPC que quieras usar. No podrás cambiar esta opción más adelante.
    • La dirección IP externa puede ser estática o efímera. Para usar una dirección IP estática, elige cualquier IP pública creada anteriormente o selecciona Crear dirección IP en IP externa.
    • En Crear dirección IP pública, introduce un nombre y una descripción para la dirección IP.

  6. Haz clic en Aceptar.

  7. Haz clic en Crear.

Para crear nodos KeyControl adicionales, puedes usar los metadatos de la instancia que acabas de crear. Para ver los metadatos de la instancia, ve a la página Instancias de VM.

Ve a la página Instancias de VM.

Configurar reglas de cortafuegos para la instancia de KeyControl

Antes de empezar a configurar KeyControl, asegúrate de que los siguientes puertos estén abiertos para KeyControl desde tu red de VPC o desde cualquier otra red desde la que quieras acceder a KeyControl.

Puertos obligatorios

Tipo Protocolo Intervalo de puertos
SSH (22) TCP 22
HTTPS (443) TCP 443
Regla TCP personalizada TCP 8443
Regla UDP personalizada UDP 123

Puertos adicionales

Se necesitan los siguientes puertos si tienes previsto usar KeyControl como servidor KMIP o si quieres usar la función de sondeo SNMP para KeyControl.

Tipo Protocolo Puerto predeterminado
KMIP TCP 5696
SNMP UDP 161

Para saber cómo configurar el cortafuegos, consulte Tablas de cortafuegos.

Configurar el primer nodo KeyControl e inicializar la interfaz web de KeyControl

Debes configurar la instancia de KeyControl mediante SSH para poder usar la interfaz web de KeyControl y configurar y mantener tu clúster de KeyControl.

En el siguiente procedimiento se describe cómo configurar el primer nodo KeyControl del clúster. Asegúrate de tener el ID de instancia de VM de KeyControl y la dirección IP externa.

  1. Inicia sesión en la cuenta htadmin de tu instancia de VM de KeyControl.

    ssh htadmin@external-ip-address

  2. Cuando se te pida la contraseña de htadmin, introduce el ID de instancia de tu instancia de KeyControl.

  3. Introduce una nueva contraseña para la cuenta de administración del sistema KeyControl htadmin y haz clic en Intro. La contraseña debe tener al menos 6 caracteres y no puede contener espacios ni caracteres que no sean ASCII. Esta contraseña controla el acceso a la consola del sistema HyTrust KeyControl, que permite a los usuarios realizar algunas tareas de administración de KeyControl. No permite que un usuario de KeyControl acceda al sistema operativo completo.

  4. En la pantalla Configuración del sistema, selecciona Instalar Initial KeyControl Node y haz clic en Intro.

  5. Revisa el cuadro de diálogo de confirmación. Este cuadro de diálogo proporciona la URL pública que puedes usar con la interfaz web de KeyControl y la dirección IP privada que puedes usar si quieres añadir otros nodos de KeyControl a este clúster.

  6. Pulsa Intro.

  7. Para inicializar la interfaz web de KeyControl en este clúster, haz lo siguiente:

    1. En un navegador web, vaya a https://external-ip-address, donde external-ip-address es la dirección IP externa asociada a la instancia de KeyControl.
    2. Si se te pide, añade una excepción de seguridad para la dirección IP de KeyControl y ve a la interfaz web de KeyControl.
    3. En la página de inicio de sesión de HyTrust KeyControl, introduce secroot como nombre de usuario y el ID de instancia como contraseña.
    4. Lee el CLUF (contrato de licencia de usuario final). Haz clic en Acepto para aceptar los términos de la licencia.
    5. En la página Cambiar contraseña, introduce una nueva contraseña para la cuenta secroot y haz clic en Actualizar contraseña.

    6. En la página Configure E-Mail and Mail Server Settings (Configurar el correo electrónico y los ajustes del servidor de correo), introduce los ajustes de correo. Si introduces una dirección de correo electrónico, KeyControl enviará un correo con la clave de administrador del nuevo nodo. También envía alertas del sistema a esta dirección de correo.

    7. Haz clic en Continuar.

    8. En la página Informes automáticos de métricas vitales, especifica si quieres habilitar o inhabilitar esta función. La función de informes automáticos de signos vitales te permite compartir automáticamente información sobre el estado de tu clúster KeyControl con el servicio de asistencia de HyTrust.

      Si habilitas este servicio, KeyControl enviará periódicamente un paquete cifrado que contiene el estado del sistema e información de diagnóstico a un servidor seguro de HyTrust. El equipo de asistencia de HyTrust puede ponerse en contacto contigo de forma proactiva si el servicio Vitals identifica problemas con el estado de tu clúster.

      Los administradores de seguridad de KeyControl pueden habilitar o inhabilitar este servicio en cualquier momento seleccionando Configuración > Signos vitales en la interfaz web de KeyControl. Para obtener más información, consulta el artículo sobre cómo configurar informes automáticos de métricas vitales.

    9. Haz clic en Guardar y continuar.

    10. Si usas Internet Explorer, importa el certificado y añade la dirección IP de KeyControl a tu lista de sitios de confianza. Comprueba que la opción Descargas > Descarga de archivos esté habilitada en Opciones de Internet > Seguridad > Nivel personalizado.

Configurar nodos adicionales y añadirlos al clúster (opcional)

Una vez configurado el primer nodo KeyControl, puedes añadir nodos adicionales de otras zonas o regiones. Toda la información de configuración del primer nodo de tu clúster se copia en los nodos que añadas al clúster.

Asegúrate de tener el ID de instancia de tu instancia de VM de KeyControl, la dirección IP externa asociada a esa instancia de VM y la dirección IP privada de uno de los nodos de KeyControl de tu clúster.

  1. Inicia sesión en la cuenta htadmin de tu instancia de VM de KeyControl.

      ssh htadmin@external-ip-address

  2. Cuando se te pida la contraseña de htadmin, introduce el ID de instancia de la instancia de KeyControl que estés configurando.

  3. Introduce una nueva contraseña para la cuenta de administración del sistema KeyControl htadmin y haz clic en Intro. La contraseña debe tener al menos 6 caracteres y no puede contener espacios ni caracteres que no sean ASCII.

  4. Esta contraseña controla el acceso a la consola del sistema HyTrust KeyControl, que permite a los usuarios realizar algunas tareas de administración de KeyControl. No permite que un usuario de KeyControl acceda al sistema operativo completo.

  5. En la pantalla Configuración del sistema, selecciona Añadir nodo KeyControl a clúster existente y haz clic en Intro.

  6. Escribe la dirección IP interna de cualquier nodo KeyControl que ya esté en el clúster y haz clic en Intro. KeyControl inicia el proceso de configuración inicial del nodo.

  7. Para encontrar la dirección IP interna del nodo, inicia sesión en la interfaz web de KeyControl y haz clic en Clúster en la barra de menú superior. Ve a la pestaña Servidores y consulta la dirección IP de la tabla.

  8. Si este nodo formaba parte del clúster seleccionado, KeyControl mostrará un mensaje preguntando si quieres borrar los datos y volver a unirte al clúster. Selecciona y haz clic en Intro.

  9. Si este nodo formaba parte de otro clúster o se configuró originalmente como el único nodo del clúster, KeyControl te indicará que se destruirán todos los datos del nodo actual si continúas. Selecciona y haz clic en Intro. A continuación, haz clic en Intro de nuevo para confirmar la acción en la siguiente petición.

  10. Si se te solicita, introduce una contraseña de un solo uso para este nodo de KeyControl y haz clic en Intro. La contraseña debe contener al menos 16 caracteres alfanuméricos. No puede contener espacios ni caracteres especiales. Esta contraseña es una cadena temporal que se usa para cifrar la comunicación inicial entre este nodo y el clúster KeyControl. Cuando autentiques el nuevo nodo con el clúster, introduce esta contraseña en la interfaz web de KeyControl para que el nodo pueda descifrar la comunicación y verificar que la solicitud de unión es válida.

  11. Si el asistente puede conectarse al nodo KeyControl designado, muestra la pantalla Autenticación, en la que se indica que el nodo ahora forma parte del clúster, pero que debe autenticarse en la interfaz web de KeyControl para que el sistema pueda usarlo.

  12. Autentica el nodo en la interfaz web de KeyControl. Cuando la pantalla Unión al clúster KeyControl muestre un mensaje que indique que un administrador de dominio debe autenticar el nuevo nodo, inicia sesión en la interfaz web de KeyControl en ese nodo y autentica el nuevo servidor. Una vez que se haya autenticado el nodo, KeyControl continuará con el proceso de configuración.

  13. Pulsa Intro.

Autenticar los nuevos nodos KeyControl

Cuando añadas un nuevo nodo KeyControl a un clúster, debes autenticarlo desde la interfaz web KeyControl del nodo que se haya especificado en la consola del sistema del nodo que se va a unir. Por ejemplo, si tienes tres nodos y añades un cuarto nodo especificando el nodo dos, debes autenticar el nuevo nodo desde la interfaz web del nodo dos. Si intentas autenticarte desde otro nodo, el proceso fallará.

  1. Inicia sesión en la interfaz web de KeyControl con una cuenta que tenga privilegios de administrador de dominio.
  2. En la barra de menú, haz clic en Clúster.
  3. Haz clic en la pestaña Servidores.
  4. Selecciona el nodo que quieras autenticar. En la columna Estado se muestra el valor Pendiente de unión en todos los nodos que aún no se han autenticado.
  5. Haz clic en Acciones > Autenticar.
  6. Introduce la contraseña de un solo uso y haz clic en Autenticar. Esta frase de contraseña debe coincidir exactamente con la que especificaste al instalar el nodo KeyControl. La contraseña distingue entre mayúsculas y minúsculas.
  7. Haz clic en Actualizar y comprueba que el estado sea En línea.
  8. Si quieres monitorizar el progreso del proceso de autenticación, inicia sesión en la consola de la VM KeyControl en el nodo en el que te estás autenticando como htadmin.

Configurar reglas de cortafuegos entre tu nube privada y la VPC de KeyControl

vCenter se comunica con HyTrust KeyControl a través del protocolo KMIP en el puerto KMIP. El valor predeterminado es TCP 5696. El puerto se puede configurar desde la interfaz web de KeyControl.

  1. En la Google Cloud consola, haz clic en Red de VPC > Cortafuegos.
  2. Haz clic en Crear regla de cortafuegos.
  3. Introduce los detalles de la regla de cortafuegos. Permite que la dirección IP de vCenter se comunique con KeyControl en el puerto KMIP.

Configurar vCenter para usar HyTrust KeyControl como KMS externo

  1. Configurar el servidor KMIP
  2. Crear un clúster de KMS en vCenter
  3. Establecer una conexión de confianza entre vCenter y KeyControl mediante una CSR generada por vCenter