Para informações sobre a versão, consulte as notas da versão do Distributed Cloud Connected.

Práticas recomendadas de segurança

Esta página descreve as práticas recomendadas para proteger sua instalação do Google Distributed Cloud.

Segurança física do hardware

Você é responsável pela segurança física do hardware do Distributed Cloud, como limitar o acesso a pessoal autorizado.

O formato de rack do Distributed Cloud tem os seguintes recursos de segurança:

O acesso ao hardware instalado no rack só é possível pelas portas dianteira e traseira.
O rack não pode ser desmontado com facilidade. Não há fixadores estruturais acessíveis externamente, como parafusos, porcas, fechos ou rebites.
As portas do rack são equipadas com fechaduras com chave. O Google fornece uma cópia da chave e retém outra para proteção.
Em instalações com vários racks, todas as fechaduras são iguais.
As portas do rack têm malha metálica perfurada à prova de violação para ventilação.
Durante a instalação, o rack é parafusado com segurança ao piso do local de instalação usando os suportes e braçadeiras de transporte.

O formato do servidor do Distributed Cloud tem os seguintes recursos de segurança:

Um sensor de intrusão. Se uma parte não autorizada abrir fisicamente a máquina, você e o Google serão notificados imediatamente sobre a invasão física.

Se você tiver mais dúvidas sobre a segurança do rack físico, entre em contato com seu representante de vendas Google Cloud .

Segurança da plataforma

A plataforma de hardware do Distributed Cloud tem os seguintes recursos de segurança:

Trusted Platform Module (TPM). O TPM é a raiz de confiança que gera e armazena chaves de criptografia para todos os dados armazenados, recebidos e transmitidos pelo Distributed Cloud.
Certificado da plataforma. O certificado da plataforma é um registro criptograficamente seguro da fabricação e da identidade do TPM. O certificado serve como prova de integridade da cadeia de suprimentos para hardware do Distributed Cloud.
Bloqueio de portas. Todas as portas externas e internas, exceto as Ethernet, como USB e console RS-232, são desativadas no nível do firmware e ativadas apenas para manutenção.

Segurança do armazenamento local

O hardware do Distributed Cloud é enviado com os seguintes tipos de armazenamento interno, dependendo do formato:

Os racks do Distributed Cloud são enviados com unidades de disco de estado sólido (SSD).
Os servidores do Distributed Cloud são enviados com unidades de disco auto criptografadas (SED, na sigla em inglês).

O Distributed Cloud usa o Linux Unified Key Setup (LUKS) para criptografar os volumes lógicos em cada nó do Distributed Cloud. Você pode usar chaves de criptografia gerenciadas pelo cliente (CMEK) ou Google-owned and managed keys para encapsular a chave de criptografia de disco (DEK) do LUKS. Quando você atribui um nó a um pool de nós, ele gera uma DEK LUKS e a encapsula em uma senha LUKS gerenciada pelo Google, também conhecida como chave de criptografia de chaves (KEK), ou em uma fornecida por você pelo Cloud KMS. Você pode escolher se quer usar o Cloud KMS ao criar um pool de nós. O Distributed Cloud se integra ao Cloud KMS usando o modelo de criptografia de envelope.

O Distributed Cloud alterna automaticamente as frases de senha do LUKS e do SED em uma programação regular.

Além disso, cada máquina do Distributed Cloud faz o seguinte em cada inicialização a frio:

Se você não estiver usando o Cloud KMS, a máquina vai gerar uma nova KEK (senha do LUKS) e configurar o armazenamento criptografado do zero.
Se você estiver usando o Cloud KMS, a máquina vai buscar a KEK no Cloud KMS e desbloquear os volumes lógicos atuais que contêm seus dados.

Ativar o suporte para chaves de criptografia gerenciadas pelo cliente (CMEK) para armazenamento local

Para ativar a integração do Cloud KMS com o Distributed Cloud, siga estas etapas:

Crie um keyring, uma chave simétrica e uma ou mais versões de chave para usar com o Distributed Cloud. É preciso criar esses artefatos na mesma região Google Cloud da instalação do Distributed Cloud. Para instruções, consulte Criar uma chave.
Conceda o papel Criptografador/Descriptografador do Cloud KMS CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Distributed Cloud no seu projetoGoogle Cloud . Faça isso para cada versão de chave que você quer usar com o Distributed Cloud. Se você revogar essa função depois de integrar a instalação do Distributed Cloud ao Cloud KMS, perderá o acesso aos dados armazenados nas máquinas do Distributed Cloud.
Crie um pool de nós usando a flag --local-disk-kms-key e forneça o caminho completo para a versão da chave que você quer usar com esse pool de nós.
Crie um cluster usando a flag --control-plane-kms-key e forneça o caminho completo para a versão da chave que você quer usar com o nó que executa o plano de controle do cluster.
Se quiser, use a flag --offline-reboot-ttl ao criar o cluster para especificar um período em que os nós reinicializados podem entrar novamente no cluster enquanto ele está em execução no nó de capacidade de sobrevivência. Se você não especificar essa janela, os nós reinicializados não poderão entrar novamente no cluster até que ele saia do modo de capacidade de sobrevivência.

ATENÇÃO: se você especificar uma janela de tempo limite de reinicialização, os nós que ficaram off-line poderão ser reinicializados e entrar novamente no cluster, mesmo que você desative ou exclua a chave de armazenamento pelo tempo especificado.

Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK) na documentação do Cloud KMS.

Recuperação e backups de dados

Você é responsável por manter backups redundantes funcionais de todos os dados que escolher armazenar no hardware do Distributed Cloud e exportar esses dados quando decidir devolver o hardware do Distributed Cloud ao Google.

Todos os dados ainda presentes no hardware do Distributed Cloud quando ele é devolvido ao Google são apagados. Se ocorrer uma falha no hardware do Distributed Cloud e o Google realizar reparos no local, todas as mídias de armazenamento serão removidas da máquina do Distributed Cloud em manutenção e serão colocadas sob sua custódia durante o reparo ou serão apagadas com segurança e enviadas para destruição. O Google higieniza e destrói com segurança todos os dispositivos de armazenamento removidos do hardware do Distributed Cloud que foram devolvidos ao Google como resultado de um reparo ou desativação.

Segurança de rede

O tráfego de rede entre o hardware do Distributed Cloud e Google Cloud é criptografado usando túneis MASQUE ou TLS que usam certificados por máquina. O Distributed Cloud faz a rotação automática desses certificados em uma programação regular.

Os requisitos da sua empresa e a política de segurança de rede da sua organização determinam as etapas necessárias para proteger o tráfego de rede que entra e sai da instalação do Distributed Cloud. Além disso, recomendamos o seguinte:

Permita apenas conexões de entrada com pools de endereços IP virtuais expostos pelo balanceador de carga integrado do Distributed Cloud e com sub-redes do Distributed Cloud.
Não permitir conexões de entrada de recursos de rede externos para sub-redes que atendem às camadas de gerenciamento do sistema e gerenciamento de serviços.
Não permitir conexões de entrada de recursos de rede externa para endereços IP de endpoints do plano de controle local. Para mais informações, consulte Modo de capacidade de sobrevivência.

Para mais informações sobre como preparar sua rede local para conectar hardware do Distributed Cloud, consulte Redes.

A seguir

Garantir alta disponibilidade para sua instalação do Distributed Cloud

Práticas recomendadas de segurança Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.