本頁說明保護 Google Distributed Cloud 安裝作業的最佳做法。
實體硬體安全
您必須負責 Distributed Cloud 硬體的實體安全,例如限制授權人員存取。
Distributed Cloud Rack 外型規格具備下列安全防護功能:
- 只有透過機架前後門,才能存取機架上安裝的硬體。
- 機架不易拆卸。沒有可從外部拆卸的結構性緊固件,例如螺絲、螺帽、閂鎖或鉚釘。
- 機架門配備鑰匙鎖,Google 會提供金鑰副本給您,並保留副本以妥善保管。
- 如果是多機架安裝,所有機架鎖都會使用相同的鑰匙。
- 機架門採用防竄改的透氣金屬網罩。
- 安裝時,請使用機架的運送支架和托架,將機架牢牢鎖在安裝地點的地板上。
Distributed Cloud Server 外型規格具備下列安全防護功能:
- 入侵感應器。如有未經授權人士開啟裝置,您和 Google 會立即收到實體入侵通知。
如對實體機架的安全性有其他疑問,請與 Google Cloud 業務代表聯絡。
平台安全性
Distributed Cloud 硬體平台具備下列安全防護功能:
信任平台模組 (TPM)。TPM 是信任根,可為 Distributed Cloud 儲存、接收及傳輸的所有資料產生及儲存加密金鑰。
平台認證。平台憑證是製造和 TPM 身分的加密安全記錄。這項認證可做為 Distributed Cloud 硬體的供應鏈完整性證明。
通訊埠鎖定。除了乙太網路埠以外的所有外部和內部連接埠 (例如 USB 和 RS-232 主控台連接埠) 都會在韌體層級停用,且只會在維修時啟用。
本機儲存空間安全性
Distributed Cloud 硬體隨附的內部儲存空間類型取決於外型規格,如下所示:
- Distributed Cloud Rack 隨附固態硬碟 (SSD)。
- Distributed Cloud Servers 隨附自加密磁碟 (SED) 磁碟機。
Distributed Cloud 使用 Linux Unified Key Setup (LUKS) 加密每個 Distributed Cloud 節點上的邏輯磁碟區。您可以選擇使用客戶自行管理的加密金鑰 (CMEK) 或 Google-owned and managed keys 包裝 LUKS 磁碟加密金鑰 (DEK)。將節點指派給節點集區時,節點會產生 LUKS DEK,並以 Google 管理的 LUKS 密碼片 (也稱為金鑰加密金鑰 (KEK)) 或您透過 Cloud KMS 提供的密碼片包裝。建立節點集區時,您可以選擇是否使用 Cloud KMS。Distributed Cloud 會使用信封加密模型與 Cloud KMS 整合。
Distributed Cloud 會定期自動輪替 LUKS 和 SED 密碼片語。
此外,每部 Distributed Cloud 機器每次冷啟動時,都會執行下列動作:
如果未使用 Cloud KMS,機器會產生新的 KEK (LUKS 密碼),並從頭設定加密儲存空間。
如果您使用 Cloud KMS,機器會從 Cloud KMS 擷取 KEK,並解鎖現有的邏輯磁區,其中包含您的資料。
為本機儲存空間啟用客戶自行管理的加密金鑰 (CMEK) 支援
如要啟用 Cloud KMS 與 Distributed Cloud 的整合,請完成下列步驟:
建立金鑰環、對稱式金鑰和一或多個金鑰版本,搭配 Distributed Cloud 使用。您必須在與 Distributed Cloud 安裝項目 Google Cloud 相同的地區建立這些構件。如需操作說明,請參閱「建立金鑰」。
將 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予專案中的 Distributed Cloud 服務帳戶Google Cloud 。請務必為每個要搭配 Distributed Cloud 使用的金鑰版本執行這項作業。如果將 Distributed Cloud 安裝作業與 Cloud KMS 整合後撤銷此角色,您將無法存取儲存在 Distributed Cloud 機器上的資料。使用
--local-disk-kms-key旗標建立節點集區,並提供要用於該節點集區的金鑰版本完整路徑。使用
--control-plane-kms-key旗標建立叢集,並提供要與執行叢集控制層的節點搭配使用的金鑰版本完整路徑。建立叢集時,您可以選擇使用
--offline-reboot-ttl旗標指定時間範圍,讓重新啟動的節點在叢集以存續節點模式執行時,重新加入叢集。如未指定這個時間範圍,重新啟動的節點必須等到叢集退出存續模式,才能重新加入叢集。注意:如果您指定重新啟動逾時時間範圍,即使您停用或刪除儲存空間金鑰,離線節點仍可在指定時間內重新啟動並重新加入叢集。
詳情請參閱 Cloud KMS 說明文件中的「客戶管理加密金鑰 (CMEK)」。
資料復原和備份
您有責任維護所有資料的備援備份,確保這些備份能正常運作。這些資料是您選擇儲存在 Distributed Cloud 硬體上的資料,且您選擇將 Distributed Cloud 硬體退還給 Google 時,您必須匯出這些資料。
退回 Google 時,系統會清除 Distributed Cloud 硬體上的所有資料。如果 Distributed Cloud 硬體發生故障,且 Google 執行現場維修,所有儲存媒體都會從維修中的 Distributed Cloud 機器中移除,並在維修期間交由您保管,或安全清除後送往銷毀。如果 Distributed Cloud 硬體因維修或停用而退回 Google,Google 會安全地清除並銷毀所有從中移除的儲存裝置。
網路安全
Distributed Cloud 硬體與 Google Cloud之間的網路流量,會使用 MASQUE 通道或 TLS (採用每部機器的憑證) 進行加密。Distributed Cloud 會定期自動輪替這些憑證。
貴機構的業務需求和網路安全政策,決定了保護 Distributed Cloud 安裝例項進出網路流量的必要步驟。此外,我們建議您採取下列措施:
僅允許連入連線連至 Distributed Cloud 內建負載平衡器公開的虛擬 IP 位址集區,以及 Distributed Cloud 子網路。
禁止外部網路資源連線至本機控制層端點的 IP 位址。詳情請參閱「存續模式」。
如要進一步瞭解如何準備區域網路以連線至 Distributed Cloud 硬體,請參閱「網路」。