Best practice per la sicurezza

Questa pagina descrive le best practice per proteggere l'installazione di Google Distributed Cloud.

Sicurezza hardware fisica

Sei responsabile della sicurezza fisica del rack Distributed Cloud, ad esempio limitando l'accesso al personale autorizzato. Il rack Distributed Cloud stesso ha le seguenti funzionalità di sicurezza:

  • L'accesso all'hardware installato sul rack è possibile solo attraverso gli sportelli anteriore e posteriore del rack.
  • Il rack non può essere smontato facilmente. Non sono presenti elementi di fissaggio strutturali accessibili esternamente, come viti, dadi, chiusure o rivetti.
  • Le porte del rack sono dotate di serrature con chiave. Google ti fornisce una copia della chiave e ne conserva una copia per la custodia sicura.
  • Per le installazioni multirack, tutte le serrature del rack hanno la stessa chiave.
  • Le porte del rack sono dotate di una rete metallica antimanomissione perforata per la ventilazione.
  • Durante l'installazione, il rack viene fissato saldamente al pavimento del sito di installazione utilizzando i suoi rinforzi e le staffe di spedizione.

Se hai altre domande sulla sicurezza del rack fisico, contatta il tuo Google Cloud rappresentante di vendita.

Sicurezza dello spazio di archiviazione locale

Distributed Cloud utilizza Linux Unified Key Setup (LUKS) per criptare i volumi logici su ogni nodo Distributed Cloud. Puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) o Google-owned and managed keys per eseguire il wrapping della chiave di crittografia del disco LUKS (DEK). Quando assegni un nodo a un pool di nodi, il nodo genera una DEK LUKS e la racchiude in una passphrase LUKS gestita da Google, nota anche come chiave di crittografia della chiave (KEK), o in una fornita da te tramite Cloud KMS. Puoi scegliere se utilizzare Cloud KMS durante la creazione di un pool di nodi. Distributed Cloud si integra con Cloud KMS utilizzando il modello di crittografia envelope.

Inoltre, ogni macchina Distributed Cloud esegue le seguenti operazioni a ogni avvio a freddo:

  • Se non utilizzi Cloud KMS, la macchina genera una nuova KEK (passphrase LUKS) e configura lo spazio di archiviazione criptato fin dall'inizio.

  • Se utilizzi Cloud KMS, la macchina recupera la KEK da Cloud KMS e sblocca i volumi logici esistenti che contengono i tuoi dati.

Abilitare il supporto delle chiavi di crittografia gestite dal cliente (CMEK) per l'archiviazione locale

Per abilitare l'integrazione di Cloud KMS con Distributed Cloud, completa i seguenti passaggi:

  1. Crea un keyring, una chiave simmetrica e una o più versioni della chiave da utilizzare con Distributed Cloud. Devi creare questi artefatti nella stessa Google Cloud regione dell'installazione di Distributed Cloud. Per le istruzioni, vedi Creare una chiave.

  2. Concedi il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) al service account Distributed Cloud nel tuo progettoGoogle Cloud . Devi eseguire questa operazione per ogni versione della chiave che vuoi utilizzare con Distributed Cloud. Se revochi questo ruolo dopo aver integrato l'installazione di Distributed Cloud con Cloud KMS, perdi l'accesso ai dati memorizzati sulle macchine Distributed Cloud.

  3. Crea un node pool utilizzando il flag --local-disk-kms-key e fornisci il percorso completo della versione della chiave che vuoi utilizzare con quel pool di nodi.

  4. Crea un cluster utilizzando il flag --control-plane-kms-key e fornisci il percorso completo della versione della chiave che vuoi utilizzare con il nodo che esegue il control plane del cluster.

Per saperne di più, consulta Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS.

Recupero dei dati e backup

È tua responsabilità mantenere backup ridondanti funzionanti di tutti i dati che scegli di archiviare sull'hardware Distributed Cloud ed esportare questi dati quando scegli di restituire l'hardware Distributed Cloud a Google.

Tutti i dati ancora presenti sull'hardware Distributed Cloud al momento della restituzione a Google vengono cancellati. Se si verifica un guasto dell'hardware Distributed Cloud e Google esegue riparazioni in loco, tutti i supporti di archiviazione vengono rimossi dalla macchina Distributed Cloud in manutenzione e vengono affidati alla tua custodia per la durata della riparazione.

Sicurezza della rete

I requisiti aziendali e le norme di sicurezza di rete della tua organizzazione dettano i passaggi necessari per proteggere il traffico di rete in entrata e in uscita dalla tua installazione di Distributed Cloud. Inoltre, ti consigliamo quanto segue:

  • Consenti solo le connessioni in entrata ai pool di indirizzi IP virtuali esposti dal bilanciatore del carico integrato di Distributed Cloud e alle subnet di Distributed Cloud.

  • Non consentire le connessioni in entrata dalle risorse di rete esterne alle subnet che gestiscono i livelli di gestione del sistema e gestione dei servizi.

  • Non consentire le connessioni in entrata dalle risorse di rete esterne agli indirizzi IP degli endpoint del control plane locale. Per saperne di più, consulta la sezione Modalità di sopravvivenza.

Per saperne di più su come preparare la rete locale per la connessione dell'hardware Distributed Cloud, consulta Networking.

Passaggi successivi