本页面介绍了保护 Google Distributed Cloud 安装的最佳实践。
实体硬件安全
您负责分布式云硬件的物理安全,例如限制只有授权人员才能访问。
Distributed Cloud Rack 外形规格具有以下安全功能:
- 只能通过机架前门和后门访问安装在机架上的硬件。
- 机架无法轻松拆卸。没有可从外部触及的结构紧固件,例如螺钉、螺母、闩锁或铆钉。
- 机架门配有钥匙锁。Google 会向您提供密钥副本,并保留一份副本以确保安全。
- 对于多机架安装,所有机架锁的钥匙都相同。
- 机架门采用带孔的防篡改金属网罩,可实现通风。
- 在安装过程中,使用机架的运输支架和托架将机架牢固地用螺栓固定到安装地点的地面上。
分布式云服务器规格具有以下安全功能:
- 入侵传感器。如果有未经授权的方在实体上打开机器,您和 Google 会立即收到实体入侵通知。
如果您对实体机架的安全性有其他疑问,请与您的 Google Cloud 销售代表联系。
平台安全
分布式云硬件平台具有以下安全功能:
可信平台模块 (TPM)。TPM 是信任根,用于为分布式云存储、接收和传输的所有数据生成并存储加密密钥。
平台证书。平台证书是制造和 TPM 身份的加密安全记录。该证书可作为 Distributed Cloud 硬件供应链完整性的证明。
端口锁定。除以太网端口之外的所有外部和内部端口(例如 USB 和 RS-232 控制台端口)均在固件级别停用,仅在维修时启用。
本地存储空间安全性
Distributed Cloud 硬件随附以下类型的内部存储空间,具体取决于设备规格:
- 分布式云机架随附固态硬盘 (SSD) 驱动器。
- Distributed Cloud Servers 随附自加密磁盘 (SED) 驱动器。
Distributed Cloud 使用 Linux Unified Key Setup (LUKS) 对每个 Distributed Cloud 节点上的逻辑卷进行加密。您可以选择使用客户管理的加密密钥 (CMEK) 或Google-owned and managed keys 来封装 LUKS 磁盘加密密钥 (DEK)。将节点分配给节点池时,节点会生成 LUKS DEK,并使用 Google 管理的 LUKS 口令(也称为密钥加密密钥 [KEK])或您通过 Cloud KMS 提供的口令来封装该 DEK。您可以在创建节点池时选择是否使用 Cloud KMS。 Distributed Cloud 通过使用信封加密模型与 Cloud KMS 集成。
Distributed Cloud 会定期自动轮替 LUKS 和 SED 口令。
此外,每台 Distributed Cloud 机器在每次冷启动时都会执行以下操作:
如果您未使用 Cloud KMS,机器会生成新的 KEK (LUKS 密码),并从一开始就设置加密存储。
如果您使用的是 Cloud KMS,机器会从 Cloud KMS 中提取 KEK,并解锁包含数据的现有逻辑卷。
为本地存储启用对客户管理的加密密钥 (CMEK) 的支持
如需启用 Cloud KMS 与 Distributed Cloud 的集成,请完成以下步骤:
创建密钥环、对称密钥和一个或多个密钥版本,以用于 Distributed Cloud。您必须在与 Distributed Cloud 安装相同的 Google Cloud 区域中创建这些制品。如需了解相关说明,请参阅创建密钥。
向Google Cloud 项目中的分布式云服务账号授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter)。您必须针对要与 Distributed Cloud 搭配使用的每个密钥版本执行此操作。如果您在将 Distributed Cloud 安装与 Cloud KMS 集成后撤消此角色,您将无法访问存储在 Distributed Cloud 机器上的数据。使用
--local-disk-kms-key标志创建节点池,并提供您要用于该节点池的密钥版本的完整路径。使用
--control-plane-kms-key标志创建集群,并提供要用于运行集群控制平面的节点的密钥版本的完整路径。(可选)在创建集群时使用
--offline-reboot-ttl标志指定一个时间窗口,在此期间,已重新启动的节点可以在集群以可存活节点模式运行时重新加入集群。如果您未指定此窗口,则重新启动的节点在退出可存活模式之前无法重新加入集群。注意:如果您指定了重启超时时限,即使您在指定时间内停用或删除存储密钥,离线节点也可以重启并重新加入集群。
如需了解详情,请参阅 Cloud KMS 文档中的客户管理的加密密钥 (CMEK)。
数据恢复和备份
您需要负责维护您选择存储在 Distributed Cloud 硬件上的所有数据的冗余备份,并在您选择将 Distributed Cloud 硬件退回给 Google 时导出这些数据。
当 Distributed Cloud 硬件退回给 Google 时,该硬件上仍存在的所有数据都会被清除。如果分布式云硬件发生故障,并且 Google 执行现场维修,则会从正在维修的分布式云机器中移除所有存储介质,并在维修期间将其置于您的保管之下,或者安全地擦除这些介质,然后将其送去销毁。对于因维修或停用而退回给 Google 的 Distributed Cloud 硬件中移除的所有存储设备,Google 会安全地清理并销毁这些设备。
网络安全
Distributed Cloud 硬件和 Google Cloud之间的网络流量使用 MASQUE 隧道或使用每台机器证书的 TLS 进行加密。Distributed Cloud 会根据定期计划自动轮替这些证书。
您的业务需求和组织的网络安全政策决定了保护 Distributed Cloud 安装进出网络流量所需的步骤。此外,我们还建议您执行以下操作:
仅允许入站连接到 Distributed Cloud 内置负载均衡器公开的虚拟 IP 地址池和 Distributed Cloud 子网。
禁止从外部网络资源到本地控制平面端点的 IP 地址的入站连接。如需了解详情,请参阅可维护性模式。
如需详细了解如何准备本地网络以连接 Distributed Cloud 硬件,请参阅网络。