En esta página, se describen las prácticas recomendadas para proteger tu instalación de Google Distributed Cloud.
Seguridad física del hardware
Eres responsable de la seguridad física del hardware de Distributed Cloud, como limitar el acceso al personal autorizado.
El factor de forma del rack de Distributed Cloud tiene las siguientes características de seguridad:
- Solo se puede acceder al hardware instalado en el rack a través de las puertas delantera y trasera del rack.
- El soporte no se puede desarmar con facilidad. No hay elementos de fijación estructurales accesibles desde el exterior, como tornillos, tuercas, pestillos o remaches.
- Las puertas del rack están equipadas con cerraduras con llave. Google te proporciona una copia de la llave y conserva otra para su resguardo.
- En el caso de las instalaciones con varios bastidores, todas las cerraduras tienen la misma llave.
- Las puertas del rack tienen una malla de metal perforada a prueba de manipulaciones para la ventilación.
- Durante la instalación, el soporte se atornilla de forma segura al piso del sitio de instalación con sus soportes y abrazaderas de envío.
El factor de forma del servidor de Distributed Cloud tiene las siguientes características de seguridad:
- Un sensor de intrusión Si un tercero no autorizado abre físicamente la máquina, tú y Google recibirán una notificación inmediata sobre la intrusión física.
Si tienes más preguntas sobre la seguridad del rack físico, comunícate con tu Google Cloud representante de ventas.
Seguridad de la plataforma
La plataforma de hardware de Distributed Cloud tiene las siguientes características de seguridad:
Módulo de plataforma de confianza (TPM). El TPM es la raíz de confianza que genera y almacena las claves de encriptación de todos los datos almacenados en Distributed Cloud, así como los que recibe y transmite.
Certificado de la plataforma El certificado de la plataforma es un registro criptográficamente seguro de la identidad del TPM y de la fabricación. El certificado actúa como prueba de la integridad de la cadena de suministro del hardware de Distributed Cloud.
Bloqueo de puertos. Todos los puertos externos e internos, excepto los puertos Ethernet, como los puertos de consola USB y RS-232, están inhabilitados a nivel del firmware y solo se habilitan para el mantenimiento.
Seguridad del almacenamiento local
El hardware de Distributed Cloud se envía con los siguientes tipos de almacenamiento interno, según el factor de forma:
- Los racks de Distributed Cloud se envían con unidades de disco de estado sólido (SSD).
- Los servidores de Distributed Cloud se envían con unidades de disco de autocifrado (SED).
Distributed Cloud usa la configuración de claves unificadas de Linux (LUKS) para encriptar los volúmenes lógicos en cada nodo de Distributed Cloud. Tienes la opción de usar claves de encriptación administradas por el cliente (CMEK) oGoogle-owned and managed keys para unir la clave de encriptación de disco (DEK) de LUKS. Cuando asignas un nodo a un grupo de nodos, el nodo genera una DEK de LUKS y la une con una frase de contraseña de LUKS administrada por Google, también conocida como clave de encriptación de claves (KEK), o con una que tú proporciones a través de Cloud KMS. Puedes elegir si deseas usar Cloud KMS cuando crees un grupo de nodos. Distributed Cloud se integra en Cloud KMS a través del modelo de encriptación de sobres.
Distributed Cloud rota automáticamente las contraseñas de LUKS y SED según un programa regular.
Además, cada máquina de Distributed Cloud realiza las siguientes acciones en cada inicio en frío:
Si no usas Cloud KMS, la máquina genera una nueva KEK (contraseña de LUKS) y configura el almacenamiento encriptado desde el principio.
Si usas Cloud KMS, la máquina recupera la KEK de Cloud KMS y desbloquea los volúmenes lógicos existentes que contienen tus datos.
Habilita la compatibilidad con las claves de encriptación administradas por el cliente (CMEK) para el almacenamiento local
Para habilitar la integración de Cloud KMS con Distributed Cloud, completa los siguientes pasos:
Crea un llavero de claves, una clave simétrica y una o más versiones de clave para usar con Distributed Cloud. Debes crear estos artefactos en la misma Google Cloud región que tu instalación de Distributed Cloud. Para obtener instrucciones, consulta Crea una clave.
Otorga el rol de encriptador/desencriptador de CryptoKey de Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio de Distributed Cloud en tu proyecto deGoogle Cloud . Debes hacerlo para cada versión de clave que quieras usar con Distributed Cloud. Si revocas este rol después de integrar tu instalación de Distributed Cloud con Cloud KMS, perderás el acceso a los datos almacenados en las máquinas de Distributed Cloud.Crea un grupo de nodos con la marca
--local-disk-kms-keyy proporciona la ruta de acceso completa a la versión de clave que deseas usar con ese grupo de nodos.Crea un clúster con la marca
--control-plane-kms-keyy proporciona la ruta de acceso completa a la versión de la clave que deseas usar con el nodo que ejecuta el plano de control del clúster.De manera opcional, usa la marca
--offline-reboot-ttlcuando crees tu clúster para especificar un período durante el cual los nodos que se reiniciaron pueden volver a unirse al clúster mientras este se ejecuta en el nodo de capacidad de supervivencia. Si no especificas este período, los nodos reiniciados no podrán volver a unirse al clúster hasta que este salga del modo de supervivencia.PRECAUCIÓN: Si especificas un período de espera de reinicio, los nodos que se desconectaron pueden reiniciarse y volver a unirse al clúster, incluso si inhabilitas o borras la clave de almacenamiento durante el período especificado.
Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS.
Recuperación y copias de seguridad de datos
Eres responsable de mantener copias de seguridad redundantes y funcionales de todos los datos que elijas almacenar en el hardware de Distributed Cloud y de exportar esos datos cuando decidas devolver el hardware de Distributed Cloud a Google.
Se borran todos los datos que aún estén presentes en el hardware de Distributed Cloud cuando se devuelve a Google. Si se produce una falla en el hardware de Distributed Cloud y Google realiza reparaciones en el sitio, se quitan todos los medios de almacenamiento de la máquina de Distributed Cloud en la que se realiza el servicio y se colocan bajo tu custodia durante la reparación o se borran de forma segura y, luego, se envían para su destrucción. Google destruye y desinfecta de forma segura todos los dispositivos de almacenamiento que se quitan del hardware de Distributed Cloud que se devolvió a Google como resultado de una reparación o una baja.
Seguridad de red
El tráfico de red entre el hardware de Distributed Cloud y Google Cloudse encripta con túneles de MASQUE o TLS que usan certificados por máquina. Distributed Cloud rota automáticamente estos certificados de forma periódica.
Los requisitos de tu empresa y la política de seguridad de red de tu organización dictan los pasos necesarios para proteger el tráfico de red que entra y sale de tu instalación de Distributed Cloud. Además, te recomendamos lo siguiente:
Solo permite conexiones entrantes a los grupos de direcciones IP virtuales expuestos por el balanceador de cargas integrado de Distributed Cloud y a las subredes de Distributed Cloud.
No permitir conexiones entrantes desde recursos de red externos a subredes que atienden las capas de administración del sistema y administración de servicios
No permitir conexiones entrantes desde recursos de redes externas a direcciones IP de extremos del plano de control local Para obtener más información, consulta Modo de supervivencia.
Para obtener más información sobre cómo preparar tu red local para conectar el hardware de Distributed Cloud, consulta Herramientas de redes.