本頁說明保護 Google Distributed Cloud 安裝作業的最佳做法。
實體硬體安全
您必須負責 Distributed Cloud 機架的實體安全,例如限制只有授權人員才能存取。Distributed Cloud 機架本身具有下列安全防護功能:
- 只有透過機架前後門,才能存取機架上安裝的硬體。
- 機架不易拆卸。沒有可從外部拆卸的結構性緊固件,例如螺絲、螺帽、閂鎖或鉚釘。
- 機架門配備鑰匙鎖,Google 會提供金鑰副本給您,並保留副本以妥善保管。
- 如果是多機架安裝,所有機架鎖都會使用相同的鑰匙。
- 機架門採用防竄改的透氣金屬網罩。
- 安裝時,請使用機架的運送支架和托架,將機架牢牢鎖在安裝地點的地板上。
如對實體機架的安全性有其他疑問,請與 Google Cloud 業務代表聯絡。
本機儲存空間安全性
Distributed Cloud 使用 Linux Unified Key Setup (LUKS) 加密每個 Distributed Cloud 節點上的邏輯磁碟區。您可以選擇使用客戶自行管理的加密金鑰 (CMEK) 或 Google-owned and managed keys 包裝 LUKS 磁碟加密金鑰 (DEK)。將節點指派給節點集區時,節點會產生 LUKS DEK,並以 Google 管理的 LUKS 密碼片 (也稱為金鑰加密金鑰 (KEK)) 或您透過 Cloud KMS 提供的密碼片包裝。建立節點集區時,您可以選擇是否使用 Cloud KMS。Distributed Cloud 會使用信封加密模型與 Cloud KMS 整合。
此外,每部 Distributed Cloud 機器每次冷啟動時,都會執行下列動作:
如果未使用 Cloud KMS,機器會產生新的 KEK (LUKS 密碼),並從頭設定加密儲存空間。
如果您使用 Cloud KMS,機器會從 Cloud KMS 擷取 KEK,並解鎖現有的邏輯磁區,其中包含您的資料。
為本機儲存空間啟用客戶自行管理的加密金鑰 (CMEK) 支援
如要啟用 Cloud KMS 與 Distributed Cloud 的整合,請完成下列步驟:
建立金鑰環、對稱式金鑰和一或多個金鑰版本,搭配 Distributed Cloud 使用。您必須在與 Distributed Cloud 安裝項目 Google Cloud 相同的地區建立這些構件。如需操作說明,請參閱「建立金鑰」。
將 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予專案中的 Distributed Cloud 服務帳戶Google Cloud 。請務必為每個要搭配 Distributed Cloud 使用的金鑰版本執行這項作業。如果將 Distributed Cloud 安裝作業與 Cloud KMS 整合後撤銷此角色,您將無法存取儲存在 Distributed Cloud 機器上的資料。使用
--local-disk-kms-key旗標建立節點集區,並提供要用於該節點集區的金鑰版本完整路徑。使用
--control-plane-kms-key旗標建立叢集,並提供要與執行叢集控制層的節點搭配使用的金鑰版本完整路徑。
詳情請參閱 Cloud KMS 說明文件中的「客戶管理加密金鑰 (CMEK)」。
資料復原和備份
您有責任維護所有資料的備援備份,確保這些備份能正常運作。這些資料是您選擇儲存在 Distributed Cloud 硬體上的資料,且您選擇將 Distributed Cloud 硬體退還給 Google 時,您必須匯出這些資料。
退回 Google 時,系統會清除 Distributed Cloud 硬體上的所有資料。如果 Distributed Cloud 硬體發生故障,且 Google 執行現場維修作業,所有儲存媒體都會從維修中的 Distributed Cloud 機器移除,並在維修期間交由您保管。
網路安全
貴機構的業務需求和網路安全政策,決定了保護 Distributed Cloud 安裝例項進出網路流量的必要步驟。此外,我們建議您採取下列措施:
僅允許連入連線連至 Distributed Cloud 內建負載平衡器公開的虛擬 IP 位址集區,以及 Distributed Cloud 子網路。
禁止外部網路資源連線至本機控制層端點的 IP 位址。詳情請參閱「存續模式」。
如要進一步瞭解如何準備區域網路以連線至 Distributed Cloud 硬體,請參閱「網路」。