セキュリティのベスト プラクティス

このページでは、Google Distributed Cloud のインストールを保護するためのベスト プラクティスについて説明します。

物理ハードウェアのセキュリティ

お客様は、アクセスを許可された関係者に限定するなど、Distributed Cloud 接続ハードウェアの物理的なセキュリティに責任があります。

プラットフォームのセキュリティ

Distributed Cloud 接続ハードウェア プラットフォームには、次のセキュリティ機能があります。

  • 物理的な侵入センサー。許可されていないユーザーがマシンを物理的に開くと、お客様と Google に物理的な侵入が直ちに通知されます。

  • Trusted Platform Module(TPM)。TPM は、Distributed Cloud 接続で保存されるすべてのデータと、Distributed Cloud 接続で受信および送信されるすべてのデータの暗号鍵を生成して保存するルート オブ トラストです。

  • プラットフォーム証明書 。プラットフォーム証明書は、製造と TPM ID の暗号化された安全な記録です。この証明書は、Distributed Cloud 接続ハードウェアのサプライ チェーンの整合性の証明として機能します。

  • ポートのロックダウン 。USB や RS-232 コンソール ポートなど、イーサネット ポート以外のすべての外部ポートと内部ポートは、ファームウェア レベルで無効になり、サービス提供の場合にのみ有効になります。

ローカル ストレージのセキュリティ

Distributed Cloud 接続ハードウェアには、自己暗号化ディスク(SED)ドライブが搭載されており、Linux Unified Key Setup(LUKS)を使用して、各 Distributed Cloud 接続ノードの論理ボリュームを暗号化します。顧客管理の暗号鍵(CMEK)を使用するか、 LUKS ディスク暗号鍵(DEK)をラップする Google-owned and managed keys オプションがあります。

ノードをノードプールに割り当てると、ノードは LUKS DEK を生成し、Google 管理の LUKS パスフレーズ(鍵暗号鍵(KEK)とも呼ばれます)または Cloud KMS を介してお客様が提供したパスフレーズでラップします。ノードプールの作成時に Cloud KMS を使用するかどうかを選択できます。 Distributed Cloud 接続は、 エンベロープ暗号化モデルを使用して Cloud KMS と統合されます。

Distributed Cloud 接続は、定期的なスケジュールで LUKS と SED のパスフレーズを自動的にローテーションします。

また、各 Distributed Cloud 接続マシンは、コールド スタートごとに次の処理を行います。

  • Cloud KMS を使用していない場合、マシンは新しい KEK(LUKS パスフレーズ)を生成し、暗号化されたストレージを最初から設定します。

  • Cloud KMS を使用している場合、マシンは Cloud KMS から KEK を取得し、データを保持する既存の論理ボリュームのロックを解除します。

ローカル ストレージの顧客管理の暗号鍵(CMEK)のサポートを構成する

デフォルトでは、Google Distributed Cloud コネクテッド バージョン 1.12.0 は、保存されているお客様のコンテンツを暗号化します。暗号化は、Distributed Cloud 接続が行うため、お客様側での 操作は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵 (CMEK)を、Cloud KMS を含む CMEK 統合サービス(Distributed Cloud 接続など)で使用できます。Cloud KMS 鍵を使用すると、保護 レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。

CMEK を使用してリソースを設定した後は、 Distributed Cloud 接続リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。 暗号化 オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。

Cloud KMS と Distributed Cloud 接続の統合を有効にするには、次の操作を行います。

  1. Distributed Cloud 接続で使用する鍵リング、対称鍵、1 つ以上の鍵バージョンを作成します。これらのアーティファクトは、Distributed Cloud 接続の インストール Google Cloud と同じ リージョンに作成する必要があります。手順については、鍵を作成するをご覧ください。

  2. プロジェクトの Distributed Cloud 接続サービス アカウントに Google Cloud Cloud KMS CryptoKey の暗号化/復号のロールroles/cloudkms.cryptoKeyEncrypterDecrypter)を付与します。Distributed Cloud 接続で使用する鍵バージョンごとにこれを行う必要があります。Distributed Cloud 接続のインストールを Cloud KMS と統合した後にこのロールを取り消すと、Distributed Cloud 接続マシンに保存されているデータにアクセスできなくなります

  3. ノードプールを作成 --local-disk-kms-key フラグを使用して、そのノードプールで使用する鍵バージョンの 完全パスを指定します。

  4. クラスタを作成 --control-plane-kms-key フラグを使用して、クラスタのコントロール プレーンを実行するノードで使用する鍵バージョンの 完全パスを指定します。

  5. 必要に応じて、クラスタの作成時に --offline-reboot-ttl フラグを使用して、クラスタが存続可能ノードで実行されている間に、再起動されたノードがクラスタに再参加できる時間枠を指定します。このウィンドウを指定しない場合、再起動されたノードは存続可能モードを終了するまでクラスタに再参加できません。

    注意: 再起動タイムアウト ウィンドウを指定すると、指定した時間、ストレージ鍵を無効にしたり削除したりしても、オフラインになったノードは再起動してクラスタに再参加できます。

クラスタまたはノードプールを Google-owned and Google-managed encryption keyに戻すには、 --use-google-managed-key フラグを次のいずれかで説明されているように使用します。

詳細については、 Cloud KMS ドキュメントの 顧客管理の暗号鍵(CMEK)をご覧ください。

データの復元とバックアップ

お客様は、Distributed Cloud 接続ハードウェアに保存するすべてのデータの機能する冗長バックアップを維持し、Distributed Cloud 接続ハードウェアを Google またはハードウェアを販売した Google 認定システム インテグレータ(SI)に返却するときにそのデータをエクスポートする責任があります。

Distributed Cloud 接続ハードウェアで障害が発生し、Google または Google 認定 SI がオンサイト修理を行う場合、修理対象の Distributed Cloud 接続マシンからすべてのストレージ メディアが取り外され、修理期間中はお客様の管理下に置かれるか、安全にワイプされて破棄されます。

Google 認定 SI から Distributed Cloud ハードウェアを購入し、Distributed Cloud を使用しなくなったが、ハードウェアを保持して再利用することにした場合、SI は廃止時に Distributed Cloud ハードウェアからすべての Google ソフトウェアとお客様のデータをワイプします。

ネットワーク セキュリティ

Distributed Cloud 接続ハードウェアと Google Cloud の間のネットワーク トラフィックは、マシンごとの証明書を使用する MASQUE トンネルまたは TLS を使用して暗号化されます。 Distributed Cloud 接続は、定期的なスケジュールでこれらの証明書を自動的にローテーションします。

お客様のビジネス要件と組織のネットワーク セキュリティ ポリシーによって、設置した Distributed Cloud 接続を出入りするネットワーク トラフィックを保護するために必要な手順が規定されます。加えて、Google では以下のことをおすすめしています。

Distributed Cloud ハードウェアを接続するためにローカル ネットワークを準備する方法については、 ネットワーキングをご覧ください。

次のステップ