Untuk mengetahui informasi versi, lihat catatan rilis Distributed Cloud terhubung.

Praktik keamanan terbaik

Halaman ini menjelaskan praktik terbaik untuk mengamankan penginstalan Google Distributed Cloud Anda.

Keamanan hardware fisik

Anda bertanggung jawab atas keamanan fisik rak Distributed Cloud, seperti membatasi akses ke personel yang berwenang. Rak Distributed Cloud itu sendiri memiliki fitur keamanan berikut:

Akses ke hardware yang terpasang di rak hanya dapat dilakukan melalui pintu rak depan dan belakang.
Rak tidak dapat dibongkar dengan mudah. Tidak ada pengencang struktural yang dapat diakses dari luar seperti sekrup, mur, kait, atau paku keling.
Pintu rak dilengkapi dengan kunci. Google memberi Anda salinan kunci dan menyimpan salinannya untuk diamankan.
Untuk penginstalan multi-rak, semua kunci rak memiliki kunci yang sama.
Pintu rak memiliki jaring logam berlubang yang tahan terhadap upaya pembukaan paksa untuk ventilasi.
Selama pemasangan, rak dikencangkan dengan aman ke lantai lokasi pemasangan menggunakan penyangga dan braket pengiriman.

Jika ada pertanyaan lebih lanjut tentang keamanan rak fisik, hubungi tenaga penjual Anda. Google Cloud

Keamanan penyimpanan lokal

Distributed Cloud menggunakan Linux Unified Key Setup (LUKS) untuk mengenkripsi volume logis di setiap node Distributed Cloud. Anda memiliki opsi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) atau Google-owned and managed keys untuk mengenkripsi kunci enkripsi disk LUKS (DEK). Saat Anda menetapkan node ke node pool, node akan membuat LUKS DEK dan menggabungkannya dalam frasa sandi LUKS yang dikelola Google, yang juga dikenal sebagai kunci enkripsi kunci (KEK), atau yang disediakan oleh Anda melalui Cloud KMS. Anda dapat memilih apakah akan menggunakan Cloud KMS saat membuat node pool. Distributed Cloud terintegrasi dengan Cloud KMS menggunakan model enkripsi amplop.

Selain itu, setiap mesin Distributed Cloud melakukan hal berikut pada setiap cold start:

Jika Anda tidak menggunakan Cloud KMS, mesin akan membuat KEK baru (frasa sandi LUKS) dan menyiapkan penyimpanan terenkripsi dari awal.
Jika Anda menggunakan Cloud KMS, mesin akan mengambil KEK dari Cloud KMS dan membuka kunci volume logis yang ada yang menyimpan data Anda.

Mengaktifkan dukungan untuk kunci enkripsi yang dikelola pelanggan (CMEK) untuk penyimpanan lokal

Untuk mengaktifkan integrasi Cloud KMS dengan Distributed Cloud, selesaikan langkah-langkah berikut:

Buat keyring, kunci simetris, dan satu atau beberapa versi kunci untuk digunakan dengan Distributed Cloud. Anda harus membuat artefak ini di region Google Cloud yang sama dengan penginstalan Distributed Cloud Anda. Untuk mengetahui petunjuknya, lihat Membuat kunci.
Berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke Akun Layanan Distributed Cloud di Google Cloud project Anda. Anda harus melakukannya untuk setiap versi kunci yang ingin digunakan dengan Distributed Cloud. Jika Anda mencabut peran ini setelah mengintegrasikan penginstalan Distributed Cloud dengan Cloud KMS, Anda akan kehilangan akses ke data yang disimpan di mesin Distributed Cloud.
Buat node pool menggunakan flag --local-disk-kms-key, dan berikan jalur lengkap ke versi kunci yang ingin Anda gunakan dengan node pool tersebut.
Buat cluster menggunakan tanda --control-plane-kms-key, dan berikan jalur lengkap ke versi kunci yang ingin Anda gunakan dengan node yang menjalankan bidang kontrol cluster.

Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK) di dokumentasi Cloud KMS.

Pemulihan dan pencadangan data

Anda bertanggung jawab untuk mempertahankan fungsi cadangan redundan dari semua data yang Anda pilih untuk disimpan di hardware Distributed Cloud dan mengekspor data tersebut saat Anda memilih untuk mengembalikan hardware Distributed Cloud ke Google.

Semua data yang masih ada di hardware Distributed Cloud saat dikembalikan ke Google akan dihapus. Jika terjadi kegagalan hardware Distributed Cloud dan Google melakukan perbaikan di tempat, semua media penyimpanan akan dikeluarkan dari mesin Distributed Cloud yang sedang diservis dan diserahkan kepada Anda selama perbaikan.

Keamanan jaringan

Persyaratan bisnis dan kebijakan keamanan jaringan organisasi Anda menentukan langkah-langkah yang diperlukan untuk mengamankan traffic jaringan yang masuk dan keluar dari penginstalan Distributed Cloud Anda. Selain itu, kami merekomendasikan hal berikut:

Hanya mengizinkan koneksi masuk ke kumpulan alamat IP virtual yang diekspos oleh load balancer bawaan Distributed Cloud dan ke subnetwork Distributed Cloud.
Melarang koneksi masuk dari resource jaringan eksternal ke subnetwork yang melayani lapisan pengelolaan sistem dan pengelolaan layanan.
Melarang koneksi masuk dari resource jaringan eksternal ke alamat IP endpoint bidang kontrol lokal. Untuk mengetahui informasi selengkapnya, lihat Mode keandalan.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan jaringan lokal untuk menghubungkan hardware Distributed Cloud, lihat Jaringan.

Langkah berikutnya

Memastikan ketersediaan tinggi untuk penginstalan Distributed Cloud Anda

Praktik keamanan terbaik Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.