בדף הזה מתוארות שיטות מומלצות לאבטחת ההתקנה של Google Distributed Cloud.
אבטחת חומרה פיזית
אתם אחראים לאבטחה הפיזית של מתלה Distributed Cloud, למשל להגבלת הגישה לעובדים מורשים. מתקן ה-Distributed Cloud עצמו כולל את תכונות האבטחה הבאות:
- הגישה לחומרה שמותקנת במתלה אפשרית רק דרך הדלתות הקדמיות והאחוריות של המתלה.
- אי אפשר לפרק בקלות את המתקן. אין מחברים מבניים שניתן לגשת אליהם מבחוץ, כמו ברגים, אומים, בריחים או מסמרות.
- דלתות המתקן מצוידות במנעולים עם מפתח. Google מספקת לכם עותק של המפתח ושומרת עותק למקרה הצורך.
- במקרים של התקנות בכמה מתלים, כל המנעולים של המתלים מופעלים על ידי אותו מפתח.
- דלתות המתלים עשויות מרשת מתכת מחוררת וחסינה לחבלות, לאוורור.
- במהלך ההתקנה, המתלה מוברג היטב לרצפה באתר ההתקנה באמצעות תומכי המשלוח והתושבות שלו.
אם יש לכם שאלות נוספות לגבי האבטחה של המתלה הפיזי, תוכלו לפנות לנציג המכירות שלכם. Google Cloud
אבטחה של אחסון מקומי
ב-Distributed Cloud נעשה שימוש ב-Linux Unified Key Setup (LUKS) כדי להצפין את הכרכים הלוגיים בכל צומת של Distributed Cloud. יש לכם אפשרות להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) או בGoogle-owned and managed keys אריזה של המפתח להצפנת דיסק LUKS (DEK). כשמקצים צומת למאגר צמתים, הצומת יוצר מפתח DEK של LUKS ועוטף אותו בביטוי סיסמה של LUKS שמנוהל על ידי Google, שנקרא גם מפתח להצפנת מפתחות הצפנה (KEK), או במפתח שאתם מספקים דרך Cloud KMS. אתם יכולים לבחור אם להשתמש ב-Cloud KMS כשיוצרים מאגר צמתים. Distributed Cloud משתלב עם Cloud KMS באמצעות מודל ההצפנה במעטפה.
בנוסף, כל מכונה ב-Distributed Cloud מבצעת את הפעולות הבאות בכל הפעלה במצב התחלתי (cold start):
אם אתם לא משתמשים ב-Cloud KMS, המכונה יוצרת KEK חדש (ביטוי סיסמה של LUKS) ומגדירה אחסון מוצפן מההתחלה.
אם אתם משתמשים ב-Cloud KMS, המכונה מאחזרת את מפתח הצפנת המפתחות מ-Cloud KMS ומבטלת את הנעילה של הכרכים הלוגיים הקיימים שמכילים את הנתונים שלכם.
הפעלת תמיכה במפתחות הצפנה בניהול הלקוח (CMEK) לאחסון מקומי
כדי להפעיל את השילוב של Cloud KMS עם Distributed Cloud:
יוצרים אוסף מפתחות, מפתח סימטרי וגרסה אחת או יותר של מפתח לשימוש ב-Distributed Cloud. צריך ליצור את הארטיפקטים האלה באותו Google Cloud אזור שבו מותקן Distributed Cloud. הוראות מפורטות מופיעות במאמר יצירת מפתח.
מקצים את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) לחשבון השירות של Distributed Cloud בפרויקטGoogle Cloud . צריך לעשות את זה לכל גרסת מפתח שרוצים להשתמש בה עם Distributed Cloud. אם מבטלים את התפקיד הזה אחרי שמשלבים את ההתקנה של Distributed Cloud עם Cloud KMS, מאבדים את הגישה לנתונים שמאוחסנים במכונות של Distributed Cloud.יוצרים מאגר צמתים באמצעות הדגל
--local-disk-kms-keyומספקים את הנתיב המלא לגרסת המפתח שרוצים להשתמש בה במאגר הצמתים הזה.יוצרים אשכול באמצעות הדגל
--control-plane-kms-keyומספקים את הנתיב המלא לגרסת המפתח שרוצים להשתמש בה עם הצומת שמריץ את מישור הבקרה של האשכול.
מידע נוסף זמין במאמר בנושא מפתחות הצפנה בניהול הלקוח (CMEK) במסמכי התיעוד של Cloud KMS.
שחזור וגיבוי נתונים
אתם אחראים לתחזוקה של גיבויים מיותרים תקינים של כל הנתונים שאתם בוחרים לאחסן בחומרה של Distributed Cloud, ולייצא את הנתונים האלה כשאתם בוחרים להחזיר ל-Google את החומרה של Distributed Cloud.
כל הנתונים שעדיין נמצאים בחומרה של Distributed Cloud כשהיא מוחזרת ל-Google נמחקים. אם מתרחשת תקלה בחומרה של Distributed Cloud ו-Google מבצעת תיקונים באתר, כל אמצעי האחסון מוסרים מהמכונה של Distributed Cloud שמטופלת ומועברים לחזקתכם למשך התיקון.
אבטחת רשת
הדרישות העסקיות שלכם ומדיניות אבטחת הרשת של הארגון קובעות את השלבים שצריך לבצע כדי לאבטח את תעבורת הרשת שנכנסת להתקנת Distributed Cloud ויוצאת ממנה. בנוסף, מומלץ:
התרה של חיבורים נכנסים בלבד למאגרי כתובות IP וירטואליות שנחשפים על ידי מאזן העומסים המובנה של Distributed Cloud ולרשתות משנה של Distributed Cloud.
איסור חיבורים נכנסים ממשאבי רשת חיצוניים לרשתות משנה שמשרתות את שכבות ניהול המערכת וניהול השירות.
איסור חיבורים נכנסים ממשאבי רשת חיצוניים לכתובות IP של נקודות קצה (endpoints) של מישור הבקרה המקומי. מידע נוסף זמין במאמר בנושא מצב הישרדות.
מידע נוסף על הכנת הרשת המקומית לחיבור של ציוד Distributed Cloud זמין במאמר בנושא רשתות.