Tentang enkripsi vSAN

Enkripsi data vSAN dalam penyimpanan memerlukan sistem pengelolaan kunci (KMS). Secara default, pengelolaan kunci untuk enkripsi data vSAN di Google Cloud VMware Engine menggunakan Cloud Key Management Service untuk cloud pribadi yang baru dibuat, tanpa biaya tambahan.

Sebagai gantinya, Anda dapat memilih men-deploy KMS eksternal untuk enkripsi data vSAN dalam penyimpanan dari salah satu vendor yang didukung di bawah. Halaman ini menjelaskan perilaku enkripsi vSAN dan merangkum cara menggunakan KMS eksternal untuk mengenkripsi data virtual machine dalam penyimpanan di VMware Engine.

Enkripsi data vSAN

Secara default, VMware Engine mengaktifkan enkripsi vSAN untuk data di cluster utama dan dalam cluster yang kemudian ditambahkan ke cloud pribadi. Enkripsi data vSAN dalam penyimpanan menggunakan kunci enkripsi data (DEK) yang disimpan di disk fisik lokal cluster setelah enkripsi. DEK adalah kunci enkripsi AES-256 bit yang sesuai dengan FIPS 140-2 yang otomatis dihasilkan oleh host ESXi. Kunci enkripsi kunci (KEK) yang disediakan oleh penyedia kunci yang dikelola Google digunakan untuk mengenkripsi DEK.

Sebaiknya jangan menonaktifkan enkripsi vSAN data dalam penyimpanan, karena dapat membuat Anda melanggar persyaratan khusus layanan untuk Google Cloud VMware Engine. Jika Anda menonaktifkan enkripsi vSAN data dalam penyimpanan di cluster, logika pemantauan VMware Engine akan memunculkan pemberitahuan. Untuk membantu mencegah Anda melanggar persyaratan layanan, pemberitahuan ini memicu tindakan berbasis Layanan Pelanggan Cloud untuk mengaktifkan kembali enkripsi vSAN di cluster yang terpengaruh.

Demikian pula, jika Anda mengonfigurasi KMS eksternal, sebaiknya jangan menghapus konfigurasi penyedia kunci Cloud Key Management Service di vCenter Server.

Penyedia kunci default

VMware Engine mengonfigurasi Server vCenter di cloud pribadi yang baru dibuat untuk terhubung ke penyedia kunci yang dikelola Google. VMware Engine membuat satu instance penyedia kunci per region, dan penyedia kunci menggunakan Cloud KMS untuk enkripsi KEK. VMware Engine sepenuhnya mengelola penyedia utama dan mengonfigurasinya agar memiliki ketersediaan tinggi di semua region.

Penyedia kunci yang dikelola Google melengkapi penyedia kunci native di Server vCenter (di vSphere 7.0 Update 2 dan yang lebih baru) dan merupakan pendekatan yang direkomendasikan untuk lingkungan produksi. Penyedia kunci native berjalan sebagai proses dalam Server vCenter, yang berjalan pada cluster vSphere di VMware Engine. VMware merekomendasikan agar tidak menggunakan penyedia kunci native untuk mengenkripsi cluster yang menghosting Server vCenter. Sebagai gantinya, gunakan penyedia kunci default yang dikelola Google atau KMS eksternal.

Rotasi kunci

Saat menggunakan penyedia kunci default, Anda bertanggung jawab atas rotasi KEK. Untuk merotasi KEK di vSphere, lihat dokumentasi VMware Membuat Kunci Enkripsi Data-At-Rest Baru.

Untuk mengetahui cara lain merotasi kunci di vSphere, lihat referensi VMware berikut:

Vendor yang didukung

Untuk mengalihkan KMS aktif, Anda dapat memilih solusi KMS pihak ketiga yang memenuhi persyaratan KIP 1.1 dan disertifikasi oleh VMware untuk vSAN. Vendor berikut telah memvalidasi solusi KMS mereka dengan VMware Engine serta memublikasikan panduan deployment dan pernyataan dukungan:

Untuk petunjuk konfigurasi, lihat dokumen berikut:

Menggunakan vendor yang didukung

Setiap deployment KMS eksternal memerlukan langkah dasar yang sama:

  • Buat project Google Cloud atau gunakan project yang sudah ada.
  • Buat jaringan Virtual Private Cloud (VPC) baru atau pilih jaringan VPC yang sudah ada.
  • Hubungkan jaringan VPC yang Anda pilih ke jaringan VMware Engine.

Kemudian, deploy KMS dalam instance VM Compute Engine:

  1. Siapkan izin IAM yang diperlukan untuk men-deploy instance VM Compute Engine.
  2. Deploy KMS di Compute Engine.
  3. Bangun kepercayaan antara vCenter dan KMS.
  4. Aktifkan enkripsi data vSAN.

Bagian berikut menjelaskan secara singkat proses penggunaan salah satu vendor yang didukung.

Menyiapkan Izin IAM

Anda memerlukan izin yang memadai untuk men-deploy instance VM Compute Engine dalam project Google Cloud dan jaringan VPC tertentu, menghubungkan jaringan VPC ke VMware Engine, dan mengonfigurasi aturan firewall untuk jaringan VPC.

Pemilik project dan akun utama IAM dengan peran Network Admin dapat membuat rentang IP yang dialokasikan dan mengelola koneksi pribadi. Untuk mengetahui informasi selengkapnya tentang peran, lihat Peran IAM Compute Engine.

Men-deploy sistem pengelolaan kunci di Compute Engine

Beberapa solusi KMS tersedia dalam faktor bentuk peralatan di Google Cloud Marketplace. Anda dapat men-deploy peralatan tersebut dengan mengimpor OVA secara langsung di jaringan VPC atau project Google Cloud Anda.

Untuk KMS berbasis software, deploy instance VM Compute Engine menggunakan konfigurasi (jumlah vCPU, vMem, dan disk) yang direkomendasikan oleh vendor KMS. Instal software KMS di sistem operasi tamu. Buat instance VM Compute Engine di jaringan VPC yang terhubung ke jaringan VMware Engine.

Bangun kepercayaan antara vCenter dan KMS

Setelah men-deploy KMS di Compute Engine, konfigurasikan vCenter VMware Engine untuk mengambil kunci enkripsi dari KMS.

Pertama-tama, tambahkan detail koneksi KMS ke vCenter. Kemudian, bangun kepercayaan antara vCenter dan KMS Anda. Untuk membangun kepercayaan antara vCenter dan KMS Anda, lakukan hal berikut:

  1. Buat sertifikat di vCenter.
  2. Tanda tangani menggunakan token atau kunci yang dibuat oleh KMS Anda.
  3. Berikan atau upload sertifikat tersebut ke vCenter.
  4. Konfirmasi status konektivitas dengan memeriksa setelan dan status KMS di halaman konfigurasi server vCenter.

Aktifkan enkripsi data vSAN

Di vCenter, pengguna CloudOwner default memiliki hak istimewa yang memadai untuk mengaktifkan dan mengelola enkripsi data vSAN.

Untuk beralih dari KMS eksternal kembali ke penyedia kunci default yang dikelola Google, ikuti langkah-langkah untuk mengubah penyedia kunci yang tercantum dalam dokumentasi Mengonfigurasi dan Mengelola Penyedia Kunci Standar VMware.

Langkah selanjutnya