Red Hat Training

A Red Hat training course is available for RHEL 8

9.14. Construindo imagens de VM automaticamente para ambientes em nuvem usando NBDE

A implantação de imagens criptografadas automaticamente registráveis em um ambiente de nuvem pode proporcionar um conjunto único de desafios. Como outros ambientes de virtualização, é recomendado reduzir o número de instâncias iniciadas a partir de uma única imagem para evitar o compartilhamento da chave mestra LUKS.

Portanto, a melhor prática é criar imagens personalizadas que não sejam compartilhadas em nenhum repositório público e que forneçam uma base para a implantação de uma quantidade limitada de instâncias. O número exato de instâncias a serem criadas deve ser definido pelas políticas de segurança da implantação e baseado na tolerância ao risco associado ao vetor de ataque da chave mestra LUKS.

Para construir implantações automatizadas habilitadas para LUKS, sistemas como o Lorax ou virt-install juntamente com um arquivo Kickstart devem ser usados para garantir a exclusividade da chave mestra durante o processo de construção da imagem.

Os ambientes em nuvem permitem duas opções de implementação de servidores Tang que consideramos aqui. Primeiro, o servidor Tang pode ser implantado dentro do próprio ambiente de nuvem. Segundo, o servidor Tang pode ser implantado fora da nuvem em infra-estrutura independente com um link VPN entre as duas infra-estruturas.

A implantação de Tang nativamente na nuvem permite uma implantação fácil. Entretanto, dado que ele compartilha a infra-estrutura com a camada de persistência de dados do texto cifrado de outros sistemas, pode ser possível que tanto a chave privada do servidor Tang quanto os metadados Clevis sejam armazenados no mesmo disco físico. O acesso a este disco físico permite um comprometimento total dos dados do texto criptografado.

Importante

Por este motivo, a Red Hat recomenda fortemente a manutenção de uma separação física entre o local onde os dados são armazenados e o sistema onde o Tang está rodando. Esta separação entre a nuvem e o servidor Tang garante que a chave privada do servidor Tang não possa ser combinada acidentalmente com os metadados do Clevis. Ela também fornece controle local do servidor Tang se a infraestrutura da nuvem estiver em risco.