Versionsinformationen finden Sie in den Versionshinweisen zu Distributed Cloud Connected.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Best Practices für Sicherheit

Auf dieser Seite werden Best Practices für die Sicherung Ihrer Google Distributed Cloud-Installation beschrieben.

Physische Hardwaresicherheit

Sie sind für die physische Sicherheit der mit Distributed Cloud verbundenen Hardware verantwortlich, z. B. durch Beschränkung des Zugriffs auf autorisiertes Personal.

Plattformsicherheit

Die mit Distributed Cloud verbundene Hardwareplattform bietet die folgenden Sicherheitsfunktionen:

Sensor für physische Eingriffe Wenn eine nicht autorisierte Person das Gerät physisch öffnet, werden Sie und Google sofort über den physischen Eingriff benachrichtigt.
Trusted Platform Module (TPM) Das TPM ist die Root of Trust, die Verschlüsselungsschlüssel für alle Daten generiert und speichert, die auf der mit Distributed Cloud verbundenen Hardware gespeichert sowie von ihr empfangen und gesendet werden.
Plattformzertifikat Das Plattformzertifikat ist ein kryptografisch sicherer Nachweis der Identität des Herstellers und des TPM. Das Zertifikat dient als Nachweis der Integrität der Lieferkette für mit Distributed Cloud verbundene Hardware.
Portsperrung Alle externen und internen Ports außer Ethernet-Ports, z. B. USB- und RS-232-Konsolenports, werden auf Firmware-Ebene deaktiviert und nur für Wartungsarbeiten aktiviert.

Sicherheit des lokalen Speichers

Die mit Distributed Cloud verbundene Hardware wird mit selbstverschlüsselnden Festplatten (Self-Encrypting Disk, SED) ausgeliefert und verwendet Linux Unified Key Setup (LUKS), um die logischen Volumes auf jedem mit Distributed Cloud verbundenen Knoten zu verschlüsseln. Sie haben die Möglichkeit, kundenverwaltete Verschlüsselungsschlüssel (CMEK) zu verwenden oder Google-owned and managed keysden LUKS-Festplattenverschlüsselungsschlüssel (DEK) zu verpacken.

Wenn Sie einem Knotenpool einen Knoten zuweisen, generiert der Knoten einen LUKS-DEK und verpackt ihn entweder in einer von Google verwalteten LUKS-Passphrase, auch bekannt als Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK), oder in einer von Ihnen über Cloud KMS bereitgestellten Passphrase. Sie können auswählen, ob Sie beim Erstellen eines Knotenpools Cloud KMS verwenden möchten. Distributed Cloud connected wird mithilfe des Modells der Envelope-Verschlüsselung in Cloud KMS eingebunden.

Distributed Cloud connected rotiert die LUKS- und SED-Passphrasen regelmäßig.

Außerdem führt jede mit Distributed Cloud verbundene Maschine bei jedem Kaltstart Folgendes aus:

Wenn Sie Cloud KMS nicht verwenden, generiert die Maschine einen neuen KEK (LUKS-Passphrase) und richtet von Anfang an verschlüsselten Speicher ein.
Wenn Sie Cloud KMS verwenden, ruft die Maschine den KEK aus Cloud KMS ab und entsperrt die vorhandenen logischen Volumes, die Ihre Daten enthalten.

Unterstützung für kundenverwaltete Verschlüsselungsschlüssel (CMEK) für lokalen Speicher konfigurieren

Google Distributed Cloud connected, Version 1.12.0 verschlüsselt ruhende Kundendaten standardmäßig. Die Verschlüsselung wird von Distributed Cloud connected übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie kundenverwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Distributed Cloud connected verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Distributed Cloud connected-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Führen Sie die folgenden Schritte aus, um die Cloud KMS-Integration mit Distributed Cloud connected zu aktivieren:

Erstellen Sie einen Schlüsselbund, einen symmetrischen Schlüssel und eine oder mehrere Schlüsselversionen für die Verwendung mit Distributed Cloud connected. Sie müssen diese Artefakte in derselben Region wie Ihre Distributed Cloud connected Installation erstellen. Google Cloud Eine Anleitung finden Sie unter Schlüssel erstellen.
Weisen Sie dem Distributed Cloud connected-Dienstkonto in Ihrem Projekt die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu.Google Cloud Sie müssen dies für jede Schlüsselversion tun, die Sie mit Distributed Cloud connected verwenden möchten. Wenn Sie diese Rolle widerrufen, nachdem Sie Ihre Distributed Cloud connected-Installation in Cloud KMS eingebunden haben, verlieren Sie den Zugriff auf Daten, die auf den mit Distributed Cloud verbundenen Maschinen gespeichert sind.
Erstellen Sie einen Knotenpool mit dem Flag --local-disk-kms-key und geben Sie den vollständigen Pfad zur Schlüsselversion an, die Sie mit diesem Knotenpool verwenden möchten.
Erstellen Sie einen Cluster mit dem Flag --control-plane-kms-key und geben Sie den vollständigen Pfad zur Schlüsselversion an, die Sie mit dem Knoten verwenden möchten, auf dem die Steuerungsebene des Clusters ausgeführt wird.
Optional können Sie beim Erstellen des Clusters das Flag --offline-reboot-ttl verwenden, um ein Zeitfenster anzugeben, in dem neu gestartete Knoten dem Cluster wieder beitreten können, während der Cluster im Überlebensmodus ausgeführt wird. Wenn Sie dieses Zeitfenster nicht angeben, können neu gestartete Knoten dem Cluster erst wieder beitreten, wenn er den Überlebensmodus verlässt.

ACHTUNG: Wenn Sie ein Zeitlimit für den Neustart angeben, können Knoten, die offline gegangen sind, neu gestartet werden und dem Cluster wieder beitreten, auch wenn Sie den Speicherschlüssel für die angegebene Zeit deaktivieren oder löschen.

Wenn Sie einen Cluster oder Knotenpool wieder auf die Verwendung eines Google-owned and Google-managed encryption keyumstellen möchten, verwenden Sie das --use-google-managed-key Flag wie in einer der folgenden Anleitungen beschrieben:

Weitere Informationen finden Sie in der Cloud KMS-Dokumentation unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Datenwiederherstellung und ‑sicherungen

Sie sind dafür verantwortlich, funktionierende redundante Sicherungen aller Daten zu erstellen, die Sie auf der mit Distributed Cloud verbundenen Hardware speichern, und diese Daten zu exportieren, wenn Sie die mit Distributed Cloud verbundene Hardware an Google oder den von Google zertifizierten Systemintegrator (SI) zurückgeben, der Ihnen die Hardware verkauft hat.

Wenn ein Fehler bei der mit Distributed Cloud verbundenen Hardware auftritt und Google oder ein von Google zertifizierter SI Reparaturen vor Ort durchführt, werden alle Speichermedien aus der mit Distributed Cloud verbundenen Maschine entfernt und entweder für die Dauer der Reparatur in Ihre Obhut gegeben oder sicher gelöscht und dann zur Vernichtung gesendet.

Wenn Sie die Distributed Cloud-Hardware von einem von Google zertifizierten SI gekauft haben und Distributed Cloud nicht mehr verwenden, aber die Hardware behalten und für andere Zwecke nutzen möchten, löscht der SI bei der Außerbetriebnahme alle Google-Software und Ihre Daten von der Distributed Cloud-Hardware.

Netzwerksicherheit

Der Netzwerkverkehr zwischen der mit Distributed Cloud verbundenen Hardware und Google Cloudwird entweder mit MASQUE-Tunneln oder mit TLS verschlüsselt, wobei Zertifikate pro Maschine verwendet werden. Distributed Cloud connected rotiert diese Zertifikate regelmäßig.

Ihre geschäftlichen Anforderungen und die Netzwerksicherheitsrichtlinie Ihrer Organisation bestimmen die Schritte, die erforderlich sind, um den Netzwerkverkehr zu sichern, der in Ihre Distributed Cloud connected-Installation hinein- und aus ihr herausfließt. Außerdem empfehlen wir Folgendes:

Lassen Sie nur eingehende Verbindungen zu Pools virtueller IP-Adressen zu, die vom integrierten Load Balancer von Distributed Cloud bereitgestellt werden, und zu Distributed Cloud-Subnetzen.
Unterbinden Sie eingehende Verbindungen von externen Netzwerkressourcen zu Subnetzen, die für die Systemverwaltung und Dienstverwaltung verwendet werden.
Unterbinden Sie eingehende Verbindungen von externen Netzwerkressourcen zu IP-Adressen von lokalen Endpunkten der Steuerungsebene. Weitere Informationen finden Sie unter Überlebensmodus.

Weitere Informationen zum Vorbereiten Ihres lokalen Netzwerks für die Verbindung mit Distributed Cloud-Hardware finden Sie unter Netzwerke.

Nächste Schritte

Hochverfügbarkeit für Ihre Distributed Cloud connected-Installation sicherstellen

Best Practices für Sicherheit Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.