Cette page décrit les bonnes pratiques pour sécuriser votre installation Google Distributed Cloud.
Sécurité physique du matériel
Vous êtes responsable de la sécurité physique du matériel Distributed Cloud, par exemple en limitant l'accès au personnel autorisé.
Le facteur de forme Distributed Cloud Rack présente les fonctionnalités de sécurité suivantes :
- L'accès au matériel installé dans le rack n'est possible que par les portes avant et arrière du rack.
- Le rack ne peut pas être démonté facilement. Il n'y a pas de fixations structurelles accessibles de l'extérieur, telles que des vis, des écrous, des loquets ou des rivets.
- Les portes des racks sont équipées de serrures à clé. Google vous fournit une copie de la clé et en conserve une autre pour la stocker en lieu sûr.
- Pour les installations multiracks, toutes les serrures sont identiques.
- Les portes du rack sont dotées d'une grille métallique perforée et inviolable pour la ventilation.
- Lors de l'installation, le rack est solidement boulonné au sol du site d'installation à l'aide de ses équerres et supports d'expédition.
Le facteur de forme Distributed Cloud Server présente les fonctionnalités de sécurité suivantes :
- Un capteur d'intrusion. Si une personne non autorisée ouvre physiquement la machine, vous et Google êtes immédiatement informés de l'intrusion physique.
Si vous avez d'autres questions sur la sécurité du rack physique, contactez votre représentant commercial Google Cloud .
Sécurité de la plate-forme
La plate-forme matérielle Distributed Cloud présente les fonctionnalités de sécurité suivantes :
Trusted Platform Module (TPM) : Le module TPM est la racine de confiance qui génère et stocke les clés de chiffrement pour toutes les données stockées, reçues et transmises par Distributed Cloud.
Certificat de plate-forme Le certificat de plate-forme est un enregistrement cryptographiquement sécurisé de l'identité du TPM et du fabricant. Le certificat sert de preuve de l'intégrité de la chaîne d'approvisionnement pour le matériel Distributed Cloud.
Verrouillage des ports. Tous les ports externes et internes autres que les ports Ethernet, tels que les ports de console USB et RS-232, sont désactivés au niveau du micrologiciel et ne sont activés que pour la maintenance.
Sécurité du stockage local
Le matériel Distributed Cloud est fourni avec les types de stockage interne suivants, en fonction du facteur de forme :
- Les racks Distributed Cloud sont fournis avec des disques SSD.
- Les serveurs Distributed Cloud sont fournis avec des disques à chiffrement automatique (SED, Self-Encrypting Disk).
Distributed Cloud utilise Linux Unified Key Setup (LUKS) pour chiffrer les volumes logiques sur chaque nœud Distributed Cloud. Vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) ouGoogle-owned and managed keys pour encapsuler la clé de chiffrement de disque LUKS (DEK). Lorsque vous attribuez un nœud à un pool de nœuds, le nœud génère une DEK LUKS et l'encapsule dans une phrase secrète LUKS gérée par Google, également appelée clé de chiffrement de clé (KEK), ou dans une phrase secrète que vous fournissez via Cloud KMS. Vous pouvez choisir d'utiliser Cloud KMS ou non lorsque vous créez un pool de nœuds. Distributed Cloud s'intègre à Cloud KMS en utilisant le modèle de chiffrement d'enveloppe.
Distributed Cloud effectue automatiquement une rotation des codes secrets LUKS et SED à intervalles réguliers.
De plus, chaque machine Distributed Cloud effectue les opérations suivantes à chaque démarrage à froid :
Si vous n'utilisez pas Cloud KMS, la machine génère une nouvelle KEK (phrase secrète LUKS) et configure le stockage chiffré dès le début.
Si vous utilisez Cloud KMS, la machine récupère la KEK depuis Cloud KMS et déverrouille les volumes logiques existants qui contiennent vos données.
Activer la compatibilité avec les clés de chiffrement gérées par le client (CMEK) pour le stockage local
Pour activer l'intégration de Cloud KMS à Distributed Cloud, procédez comme suit :
Créez un trousseau de clés, une clé symétrique et une ou plusieurs versions de clé à utiliser avec Distributed Cloud. Vous devez créer ces artefacts dans la même région Google Cloud que votre installation Distributed Cloud. Pour obtenir des instructions, consultez Créer une clé.
Accordez le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Distributed Cloud dans votre projetGoogle Cloud . Vous devez effectuer cette opération pour chaque version de clé que vous souhaitez utiliser avec Distributed Cloud. Si vous révoquez ce rôle après avoir intégré votre installation Distributed Cloud à Cloud KMS, vous perdrez l'accès aux données stockées sur les machines Distributed Cloud.Créez un pool de nœuds à l'aide de l'option
--local-disk-kms-keyet indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec ce pool de nœuds.Créez un cluster à l'aide de l'option
--control-plane-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec le nœud exécutant le plan de contrôle du cluster.Vous pouvez également utiliser l'option
--offline-reboot-ttllors de la création de votre cluster pour spécifier une période pendant laquelle les nœuds redémarrés peuvent rejoindre le cluster pendant que celui-ci s'exécute en mode de survie des nœuds. Si vous ne spécifiez pas cette fenêtre, les nœuds redémarrés ne peuvent pas rejoindre le cluster tant qu'il n'est pas sorti du mode de survie.ATTENTION : Si vous spécifiez une période de délai avant redémarrage, les nœuds hors connexion peuvent redémarrer et rejoindre le cluster même si vous désactivez ou supprimez la clé de stockage pendant la période spécifiée.
Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) dans la documentation Cloud KMS.
Récupération de données et sauvegardes
Il vous incombe de maintenir des sauvegardes redondantes fonctionnelles de toutes les données que vous choisissez de stocker sur le matériel Distributed Cloud et d'exporter ces données lorsque vous choisissez de renvoyer le matériel Distributed Cloud à Google.
Toutes les données encore présentes sur le matériel Distributed Cloud lorsqu'il est renvoyé à Google sont effacées. En cas de défaillance du matériel Distributed Cloud et si Google effectue des réparations sur site, tous les supports de stockage sont retirés de la machine Distributed Cloud en cours de réparation. Ils sont ensuite soit placés sous votre responsabilité pendant la durée de la réparation, soit effacés de manière sécurisée, puis envoyés pour destruction. Google efface et détruit de manière sécurisée tous les périphériques de stockage retirés du matériel Distributed Cloud qui lui a été renvoyé à la suite d'une réparation ou d'une mise hors service.
Sécurité du réseau
Le trafic réseau entre le matériel Distributed Cloud et Google Cloudest chiffré à l'aide de tunnels MASQUE ou de TLS utilisant des certificats par machine. Distributed Cloud effectue automatiquement la rotation de ces certificats à intervalles réguliers.
Vos exigences commerciales et la règle de sécurité réseau de votre organisation déterminent les étapes nécessaires pour sécuriser le trafic réseau entrant et sortant de votre installation Distributed Cloud. Nous vous recommandons également les points suivants :
Autorisez uniquement les connexions entrantes aux pools d'adresses IP virtuelles exposés par l'équilibreur de charge intégré Distributed Cloud et aux sous-réseaux Distributed Cloud.
Interdire les connexions entrantes depuis des ressources réseau externes vers les sous-réseaux qui desservent les couches de gestion du système et de gestion des services.
Interdire les connexions entrantes depuis des ressources réseau externes vers les adresses IP des points de terminaison du plan de contrôle local. Pour en savoir plus, consultez Mode de survie.
Pour savoir comment préparer votre réseau local à la connexion du matériel Distributed Cloud, consultez Mise en réseau.