セキュリティのベスト プラクティス

このページでは、Google Distributed Cloud のインストールを保護するためのベスト プラクティスについて説明します。

物理ハードウェアのセキュリティ

お客様は、アクセスを承認済みの担当者に制限するなど、Distributed Cloud ラックの物理的なセキュリティに責任があります。Distributed Cloud ラック自体のセキュリティ機能は、以下のとおりです。

  • ラックに設置されたハードウェアには、前面と背面のラックドアからのみアクセス可能
  • ラックの分解は困難です。ネジ、ナット、ラッチ、リベットなど、外部からアクセスしやすい構造の留め具がない
  • ラックドアにキーロックが付属。鍵をお客様に提供するとともに、Google が合鍵を安全に保管
  • マルチラック設置の場合、すべてのラックのロックは同一の鍵により実施
  • ラックドアに換気のため穴の開いた不正開封防止用のメタルメッシュがある
  • 設置時に、ラックは配送補強材と取り付け金具を使用して設置場所の床面にしっかりとボルトで留められる

物理ラックのセキュリティについてご不明な点がございましたら、 Google Cloud 営業担当者にお問い合わせください。

ローカル ストレージのセキュリティ

Distributed Cloud は、LUKS(Linux Unified Key Setup)を使用して、各 Distributed Cloud ノードの論理ボリュームを暗号化します。顧客管理の暗号鍵(CMEK)またはGoogle-owned and managed keys を使用して LUKS ディスク暗号鍵(DEK)をラップできます。ノードをノードプールに割り当てると、ノードは LUKS DEK を生成し、鍵暗号鍵(KEK)とも呼ばれる Google 管理の LUKS パスフレーズまたは Cloud KMS を介してユーザーが提供したパスフレーズでラップします。ノードプールの作成時に Cloud KMS を使用するかどうかを選択できます。Distributed Cloud は、エンベロープ暗号化モデルを使用して Cloud KMS と統合されます。

また、各 Distributed Cloud マシンは、コールド スタートごとに次の処理を行います。

  • Cloud KMS を使用していない場合、マシンは新しい KEK(LUKS パスフレーズ)を生成し、最初から暗号化されたストレージを設定します。

  • Cloud KMS を使用している場合、マシンは Cloud KMS から KEK を取得し、データを保持する既存の論理ボリュームをロック解除します。

ローカル ストレージの顧客管理の暗号鍵(CMEK)のサポートを有効にする

Cloud KMS と Distributed Cloud の統合を有効にするには、次の操作を行います。

  1. Distributed Cloud で使用するキーリング、対称鍵、1 つ以上の鍵バージョンを作成します。これらのアーティファクトは、Distributed Cloud のインストールと同じ Google Cloud リージョンに作成する必要があります。手順については、鍵を作成するをご覧ください。

  2. Google Cloud プロジェクトの Distributed Cloud サービス アカウントに Cloud KMS CryptoKey の暗号化/復号のロールroles/cloudkms.cryptoKeyEncrypterDecrypter)を付与します。この操作は、Distributed Cloud で使用する鍵バージョンごとに行う必要があります。Distributed Cloud インストールを Cloud KMS と統合した後にこのロールを取り消すと、Distributed Cloud マシンに保存されているデータにアクセスできなくなります。

  3. --local-disk-kms-key フラグを使用してノードプールを作成し、そのノードプールで使用する鍵バージョンの完全パスを指定します。

  4. --control-plane-kms-key フラグを使用してクラスタを作成し、クラスタのコントロール プレーンを実行するノードで使用する鍵バージョンのフルパスを指定します。

詳細については、Cloud KMS ドキュメントの顧客管理の暗号鍵(CMEK)をご覧ください。

データの復元とバックアップ

Distributed Cloud ハードウェアに保存するすべてのデータの機能する冗長バックアップを維持し、Distributed Cloud ハードウェアを Google に返却する場合はそのデータをエクスポートする必要があります。

Google に返却されたときに Distributed Cloud ハードウェアに残っているデータはすべて消去されます。Distributed Cloud ハードウェアで障害が発生し、Google がオンサイト修理を行う場合、修理対象の Distributed Cloud マシンからすべてのストレージ メディアが取り外され、修理期間中はお客様の管理下に置かれます。

ネットワーク セキュリティ

ビジネス要件と組織のネットワーク セキュリティ ポリシーによって、Distributed Cloud のインストールに出入りするネットワーク トラフィックを保護するために必要な手順が規定されます。また、次のことをおすすめします。

  • Distributed Cloud 組み込みのロードバランサによって公開されている仮想 IP アドレスプールと Distributed Cloud サブネットワークへのインバウンド接続のみを許可します。

  • システム管理レイヤとサービス管理レイヤを提供するサブネットワークへの外部ネットワーク リソースからのインバウンド接続を禁止します。

  • 外部ネットワーク リソースからローカル コントロール プレーン エンドポイントの IP アドレスへのインバウンド接続を禁止します。詳細については、生存モードをご覧ください。

Distributed Cloud ハードウェアを接続するためのローカル ネットワークの準備方法については、ネットワーキングをご覧ください。

次のステップ