Bonnes pratiques concernant la sécurité

Cette page décrit les bonnes pratiques pour sécuriser votre installation Google Distributed Cloud.

Sécurité du matériel physique

Vous êtes responsable de la sécurité physique du matériel Distributed Cloud connecté, par exemple en limitant l'accès au personnel autorisé.

Le facteur de forme du rack Distributed Cloud connecté présente les fonctionnalités de sécurité suivantes :

• L'accès au matériel installé sur le rack n'est possible que par les portes avant et arrière du rack.
• Le rack ne peut pas être facilement démonté. Il n'existe aucun élément de fixation structurel accessible de l'extérieur, comme des vis, des écrous, des loquets ou des rivets.
• Les portes du rack sont équipées de serrures à clé. Google vous fournit une copie de la clé et en conserve une pour la sécurité.
• Pour les installations multi-racks, toutes les serrures de rack sont identiques.
• Les portes du rack sont dotées d'un maillage métallique perforé inviolable pour la ventilation.
• Lors de l'installation, le rack est solidement boulonné au sol du site d'installation à l'aide de ses supports et de ses équerres d'expédition.

Le facteur de forme du serveur Distributed Cloud connecté présente les fonctionnalités de sécurité suivantes :

• Un capteur d'intrusion. Si une personne non autorisée ouvre physiquement la machine, vous et Google êtes immédiatement informés de l'intrusion physique.

Si vous avez d'autres questions concernant la sécurité du rack physique, contactez votre Google Cloud représentant commercial.

Sécurité de la plate-forme

La plate-forme matérielle Distributed Cloud connecté présente les fonctionnalités de sécurité suivantes :

• TPM (Trusted Platform Module). Le TPM est la racine de confiance qui génère et stocke les clés de chiffrement pour toutes les données stockées sur Distributed Cloud connecté, ainsi que celles reçues et transmises par celui-ci.

• Certificat de plate-forme. Le certificat de plate-forme est un enregistrement cryptographiquement sécurisé de l'identité de fabrication et du TPM. Le certificat sert de preuve d'intégrité de la chaîne d'approvisionnement pour le matériel Distributed Cloud connecté.

• Verrouillage des ports. Tous les ports externes et internes autres que les ports Ethernet, tels que les ports de console USB et RS-232, sont désactivés au niveau du micrologiciel et ne sont activés que pour la maintenance.

Sécurité du stockage local

Le matériel Distributed Cloud connecté est livré avec des disques à chiffrement automatique (SED). Les racks Distributed Cloud connecté expédiés avant octobre 2023 étaient livrés avec des disques SSD.

Distributed Cloud connecté utilise Linux Unified Key Setup (LUKS) pour chiffrer les volumes logiques sur chaque nœud Distributed Cloud connecté. Vous avez la possibilité d'utiliser des clés de chiffrement gérées par le client (CMEK) ou Google-owned and managed keys d'encapsuler la clé de chiffrement de disque LUKS (DEK). Lorsque vous attribuez un nœud à un pool de nœuds, le nœud génère une DEK LUKS et l'encapsule dans une phrase secrète LUKS gérée par Google, également appelée clé de chiffrement de clé (KEK), ou dans une phrase secrète que vous fournissez via Cloud KMS. Vous pouvez choisir d'utiliser Cloud KMS lors de la création d'un pool de nœuds. Distributed Cloud connecté s'intègre à Cloud KMS à l'aide du modèle de chiffrement encapsulé.

Distributed Cloud connecté effectue automatiquement la rotation des phrases secrètes LUKS et SED à intervalles réguliers.

De plus, chaque machine Distributed Cloud connecté effectue les opérations suivantes à chaque démarrage à froid :

• Si vous n'utilisez pas Cloud KMS, la machine génère une nouvelle KEK (phrase secrète LUKS) et configure le stockage chiffré depuis le début.

• Si vous utilisez Cloud KMS, la machine récupère la KEK à partir de Cloud KMS et déverrouille les volumes logiques existants qui contiennent vos données.

Configurer la compatibilité avec les clés de chiffrement gérées par le client (CMEK) pour le stockage local

Par défaut, Google Distributed Cloud connecté, version 1.11.0, chiffre le contenu client au repos. Distributed Cloud connecté gère le chiffrement pour vous sans aucune action supplémentaire de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Distributed Cloud connecté. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Distributed Cloud connecté est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Pour activer l'intégration de Cloud KMS à Distributed Cloud connecté, procédez comme suit :

1. Créez un trousseau de clés, une clé symétrique et une ou plusieurs versions de clé à utiliser avec Distributed Cloud connecté. Vous devez créer ces artefacts dans la même Google Cloud région que votre installation Distributed Cloud connecté. Pour obtenir des instructions, consultez Créer une clé.

2. Accordez le rôle Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Distributed Cloud connecté de votre Google Cloud projet. Vous devez effectuer cette opération pour chaque version de clé que vous souhaitez utiliser avec Distributed Cloud connecté. Si vous révoquez ce rôle après avoir intégré votre installation Distributed Cloud connecté à Cloud KMS, vous perdez l'accès aux données stockées sur les machines Distributed Cloud connecté.

3. Créez un pool de nœuds à l'aide de l'option --local-disk-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec ce pool de nœuds.

4. Créez un cluster à l'aide de l'option --control-plane-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec le nœud exécutant le plan de contrôle du cluster.

5. Vous pouvez également utiliser l'option --offline-reboot-ttl lors de la création de votre cluster pour spécifier une période pendant laquelle les nœuds qui ont été redémarrés peuvent rejoindre le cluster pendant que celui-ci s'exécute en mode de survie. Si vous ne spécifiez pas cette période, les nœuds redémarrés ne peuvent pas rejoindre le cluster tant qu'il n'a pas quitté le mode de survie.

   ATTENTION : Si vous spécifiez une période de délai avant redémarrage, les nœuds qui ont été mis hors connexion peuvent redémarrer et rejoindre le cluster même si vous désactivez ou supprimez la clé de stockage pendant la période spécifiée.

Pour rétablir l'utilisation d'une clé gérée par Google pour un cluster ou un pool de nœuds, utilisez l'option --use-google-managed-key comme décrit dans l'une des sections suivantes : Google-owned and Google-managed encryption key

• Modifier un cluster
• Modifier un pool de nœuds

Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) de la documentation Cloud KMS.

Récupération de données et sauvegardes

Vous êtes responsable de la maintenance des sauvegardes redondantes fonctionnelles de toutes les données que vous choisissez de stocker sur le matériel Distributed Cloud connecté et de l'exportation de ces données lorsque vous choisissez de renvoyer le matériel Distributed Cloud connecté à Google ou à l'intégrateur de systèmes (SI) certifié Google qui vous a vendu le matériel.

En cas de défaillance du matériel Distributed Cloud connecté et si Google ou un SI certifié Google effectue des réparations sur site, tous les supports de stockage sont retirés de la machine Distributed Cloud connecté en cours de maintenance et sont soit placés sous votre garde pendant la durée de la réparation, soit effacés de manière sécurisée, puis envoyés pour destruction.

Si vous avez acheté le matériel Distributed Cloud auprès d'un SI certifié Google et que vous n'utilisez plus Distributed Cloud, mais que vous avez choisi de conserver et de réutiliser le matériel, le SI effacera tous les logiciels Google et vos données du matériel Distributed Cloud lors de la mise hors service.

Sécurité du réseau

Le trafic réseau entre le matériel Distributed Cloud connecté et Google Cloud est chiffré à l'aide de tunnels MASQUE ou de TLS qui utilisent des certificats par machine. Distributed Cloud connecté effectue automatiquement la rotation de ces certificats à intervalles réguliers.

Vos exigences commerciales et la stratégie de sécurité réseau de votre organisation déterminent les étapes nécessaires pour sécuriser le trafic réseau entrant et sortant de votre installation Distributed Cloud connecté. Nous vous recommandons également les points suivants :

• Autorisez uniquement les connexions entrantes aux pools d'adresses IP virtuelles exposés par l'équilibreur de charge intégré Distributed Cloud connecté et aux sous-réseaux Distributed Cloud.

• Refusez les connexions entrantes provenant de ressources réseau externes vers les sous-réseaux qui desservent les couches de gestion du système et de gestion des services.

• Refusez les connexions entrantes provenant de ressources réseau externes vers les adresses IP des points de terminaison du plan de contrôle local. Pour en savoir plus, consultez Mode de survie.

Pour en savoir plus sur la préparation de votre réseau local à la connexion du matériel Distributed Cloud, consultez Mise en réseau.

Sécurité des liaisons réseau physiques au niveau MAC pour les déploiements multi-racks

Pour les déploiements multi-racks, Distributed Cloud connecté est compatible avec la sécurité MAC (Media Access Control) de couche 2 (L2 MACsec) au niveau de la trame Ethernet entre les commutateurs d'agrégation de votre rack de base et les commutateurs ToR de vos racks autonomes.

Vous devez demander cette fonctionnalité lorsque vous commandez votre matériel Distributed Cloud connecté. Elle ne peut pas être activée une fois que Distributed Cloud connecté a été déployé dans vos locaux.

Distributed Cloud connecté utilise MACsec pour authentifier les appareils Ethernet, vérifier l'intégrité de chaque trame Ethernet transmise et chiffrer chaque trame transmise.

Cela implique d'établir un ensemble de clés qui sont vérifiées entre tous les appareils impliqués dans une session de transport Ethernet avant que le trafic Ethernet ne soit autorisé à circuler. Une fois l'accord de clé vérifié, l'expéditeur commence à baliser chaque trame Ethernet transmise avec des balises de sécurité et des valeurs de vérification d'intégrité que le destinataire vérifie à la réception de chaque trame.

Chaque appareil configuré avec MACsec doit être authentifié par une association de connectivité (CA) et y être associé. Les membres de l'AC utilisent des clés d'AC à longue durée de vie (CAK) pour s'identifier sur le réseau. La CAK est utilisée pour générer des clés de chiffrement de session chaque fois qu'un membre de l'AC doit échanger des données avec un autre membre de l'AC sur le réseau.

Règles MACsec Distributed Cloud connecté

Distributed Cloud connecté applique les règles MACsec suivantes à toutes les liaisons Ethernet entre les commutateurs d'agrégation de rack de base et les commutateurs ToR de rack autonome. Ces règles ne peuvent pas être modifiées ni désactivées.

Configuration MACsec

Toute la configuration MACsec Distributed Cloud connecté, y compris les clés de chiffrement, est gérée par Google.

Sécurité des liaisons MACsec

Distributed Cloud connecté interdit les paquets non chiffrés sur toutes les liaisons Ethernet internes. Si une session MACsec ne peut pas être négociée correctement, la liaison Ethernet concernée est automatiquement désactivée.

Trousseau de clés MACsec

Un trousseau de clés MACsec est le magasin de clés contenant toutes les clés requises pour une liaison Ethernet spécifique. Un trousseau de clés unique est créé pour une interface de bundle. Chaque trousseau de clés contient quatre clés primaires et une clé de secours. Chaque clé primaire a une validité de 25 %.

Secours MACsec

Distributed Cloud connecté configure une clé de secours MACsec en plus de quatre clés primaires pour chaque liaison Ethernet interne. Si Distributed Cloud connecté ne peut pas négocier une session MACsec à l'aide des clés primaires, il tente de négocier une session de secours à l'aide de la clé de secours. La clé de secours n'expire pas.

Rotation des clés MACsec

Les commutateurs d'agrégation et ToR Distributed Cloud connecté effectuent immédiatement la rotation de leurs clés MACsec primaires lorsqu'elles expirent. Pour garantir une rotation sécurisée des clés, chaque clé précédente et suivante de la rotation a une durée de vie qui se chevauche de cinq jours.

Clé d'association sécurisée MACsec

Distributed Cloud connecté utilise une clé d'association sécurisée MACsec (SAK) générée de manière aléatoire pour chiffrer toutes les trames Ethernet transportées par les liaisons Ethernet internes. Distributed Cloud connecté effectue un renouvellement de clé basé sur le volume à l'aide de la numérotation étendue des paquets (XPN). La SAK est régénérée toutes les six heures.

Vérifier l'état MACsec d'une liaison de rack Distributed Cloud connecté

Utilisez la commande suivante pour vérifier l'état MACsec d'une liaison Ethernet spécifique entre un commutateur d'agrégation de rack de base et un commutateur ToR dans un rack autonome :

gcloud edge-cloud networking networks get-status default --location=REGION --zone=us-ZONE_NAME

Remplacez les éléments suivants :

• REGION : région dans laquelle le projet cible a été créé. Google Cloud Google Cloud
• ZONE_NAME: nom de la zone Distributed Cloud connecté cible.

La commande renvoie un résultat semblable à celui-ci :

result:
  macsecStatusInternalLinks: SECURE

Les valeurs d'état de liaison possibles sont les suivantes :

• SECURE : la session MACsec est active sur la liaison cible.
• UNSECURE : la session MACsec est inactive sur la liaison cible.

Étape suivante

• Assurer la haute disponibilité de votre installation Distributed Cloud connecté