Esta página descreve as práticas recomendadas para proteger a instalação do Google Distributed Cloud.
Segurança física do hardware
Você é responsável pela segurança física do hardware conectado ao Distributed Cloud, como limitar o acesso a pessoal autorizado.
Segurança da plataforma
A plataforma de hardware conectado ao Distributed Cloud tem os seguintes recursos de segurança:
Sensor de intrusão física. Se uma parte não autorizada abrir fisicamente a máquina, você e o Google serão notificados imediatamente da intrusão física.
Trusted Platform Module (TPM). O TPM é a raiz de confiança que gera e armazena chaves de criptografia para todos os dados armazenados, recebidos e transmitidos pelo Distributed Cloud.
Certificado da plataforma. O certificado da plataforma é um registro criptograficamente seguro da fabricação e da identidade do TPM. O certificado atua como prova de integridade da cadeia de suprimentos para hardware conectado ao Distributed Cloud.
Bloqueio de portas. Todas as portas externas e internas, exceto as Ethernet, como as portas de console USB e RS-232, são desativadas no nível do firmware e ativadas apenas para manutenção.
Segurança do armazenamento local
O hardware conectado ao Distributed Cloud é fornecido com unidades de disco auto-criptografadas (SED, na sigla em inglês) e usa a configuração de chave unificada do Linux (LUKS, na sigla em inglês) para criptografar os volumes lógicos em cada nó conectado ao Distributed Cloud. Você tem a opção de usar chaves de criptografia gerenciadas pelo cliente (CMEK) ou Google-owned and managed keys de unir a chave de criptografia de disco LUKS (DEK).
Ao atribuir um nó a um pool de nós, ele gera uma DEK LUKS e a une a uma senha LUKS gerenciada pelo Google, também conhecida como chave de criptografia de chave (KEK), ou a uma fornecida por você pelo Cloud KMS. É possível escolher se quer usar o Cloud KMS ao criar um pool de nós. O hardware conectado ao Distributed Cloud se integra ao Cloud KMS usando o modelo de criptografia de envelope.
O hardware conectado ao Distributed Cloud gira automaticamente as senhas LUKS e SED em uma programação regular.
Além disso, cada máquina conectada ao Distributed Cloud faz o seguinte em cada inicialização a frio:
Se você não estiver usando o Cloud KMS, a máquina vai gerar uma nova KEK (senha LUKS) e configurar o armazenamento criptografado desde o início.
Se você estiver usando o Cloud KMS, a máquina vai buscar a KEK no Cloud KMS e desbloquear os volumes lógicos atuais que contêm seus dados.
Configurar o suporte para chaves de criptografia gerenciadas pelo cliente (CMEK) para armazenamento local
Por padrão, o Google Distributed Cloud conectado, versão 1.12.0, criptografa o conteúdo do cliente em repouso. O hardware conectado ao Distributed Cloud processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o hardware conectado ao Distributed Cloud. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos seus recursos conectados ao Distributed Cloud é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para ativar a integração do Cloud KMS com o hardware conectado ao Distributed Cloud, siga estas etapas:
Crie um keyring, uma chave simétrica e uma ou mais versões de chave para usar com o hardware conectado ao Distributed Cloud. É necessário criar esses artefatos na mesma Google Cloud região da instalação do hardware conectado ao Distributed Cloud. Para instruções, consulte Criar uma chave.
Conceda o papel Criptografador/Descriptografador do Cloud KMS CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Distributed Cloud conectado no seu Google Cloud projeto. Faça isso para cada versão de chave que você quiser usar com o hardware conectado ao Distributed Cloud. Se você revogar esse papel depois de integrar a instalação do hardware conectado ao Distributed Cloud com o Cloud KMS, vai perder o acesso aos dados armazenados nas máquinas conectadas ao Distributed Cloud.Crie um pool de nós usando a flag
--local-disk-kms-keye forneça o caminho completo para a versão da chave que você quer usar com esse pool de nós.Crie um cluster usando a flag
--control-plane-kms-keye forneça o caminho completo para a versão da chave que você quer usar com o nó que executa o plano de controle do cluster.Opcionalmente, use a flag
--offline-reboot-ttlao criar o cluster para especificar um período em que os nós reinicializados possam ingressar novamente no cluster enquanto ele estiver em execução no nó de capacidade de sobrevivência. Se você não especificar essa janela, os nós reinicializados não poderão ingressar novamente no cluster até que ele saia do modo de capacidade de sobrevivência.CUIDADO: se você especificar uma janela de tempo limite de reinicialização, os nós que ficaram off-line poderão ser reinicializados e ingressar novamente no cluster, mesmo que você desative ou exclua a chave de armazenamento pelo tempo especificado.
Para reverter um cluster ou um pool de nós para usar uma Google-owned and Google-managed encryption key, use
a flag --use-google-managed-key, conforme descrito em um dos seguintes:
Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK) na documentação do Cloud KMS.
Recuperação e backups de dados
Você é responsável por manter backups redundantes e em funcionamento de todos os dados que escolher armazenar no hardware conectado ao Distributed Cloud e exportar esses dados quando quiser retornar o hardware conectado ao Distributed Cloud ao Google ou ao integrador de sistemas (SI) certificado pelo Google que vendeu o hardware.
Se ocorrer uma falha no hardware conectado ao Distributed Cloud e o Google ou um SI certificado pelo Google realizar reparos no local, toda a mídia de armazenamento será removida da máquina conectada ao Distributed Cloud que está sendo atendida e será colocada sob sua custódia durante o reparo ou limpa com segurança e enviada para destruição.
Se você comprou o hardware do Distributed Cloud de um SI certificado pelo Google e não está mais usando o Distributed Cloud, mas optou por manter e reutilizar o hardware, o SI vai limpar todo o software do Google e seus dados do hardware do Distributed Cloud durante a desativação.
Segurança de rede
O tráfego de rede entre o hardware conectado ao Distributed Cloud e Google Cloud é criptografado usando túneis MASQUE ou TLS que usam certificados por máquina. O hardware conectado ao Distributed Cloud gira automaticamente esses certificados em uma programação regular.
Os requisitos de negócios e a política de segurança de rede da sua organização determinam as etapas necessárias para proteger o tráfego de rede que entra e sai da instalação do hardware conectado ao Distributed Cloud. Além disso, recomendamos o seguinte:
Permita apenas conexões de entrada para pools de endereços IP virtuais expostos pelo balanceador de carga integrado ao hardware conectado ao Distributed Cloud e para sub-redes do Distributed Cloud.
Não permita conexões de entrada de recursos de rede externos para sub-redes que atendem às camadas de gerenciamento do sistema e de gerenciamento de serviço.
Não permita conexões de entrada de recursos de rede externos para endereços IP de endpoints de plano de controle local. Para mais informações, consulte Modo de capacidade de sobrevivência.
Para mais informações sobre como preparar sua rede local para conectar o hardware do Distributed Cloud, consulte Rede.