Versionsinformationen finden Sie in den Versionshinweisen zu Distributed Cloud Connected.

Best Practices für Sicherheit

Auf dieser Seite werden Best Practices für die Sicherung Ihrer Google Distributed Cloud-Installation beschrieben.

Physische Hardwaresicherheit

Sie sind für die physische Sicherheit der Distributed Cloud-Hardware verantwortlich, z. B. für die Beschränkung des Zugriffs auf autorisiertes Personal.

Der Formfaktor des Distributed Cloud-Racks bietet die folgenden Sicherheitsfunktionen:

Der Zugriff auf die im Rack installierte Hardware ist nur über die vorderen und hinteren Racktüren möglich.
Das Rack lässt sich nicht einfach demontieren. Es gibt keine von außen zugänglichen strukturellen Befestigungselemente wie Schrauben, Muttern, Riegel oder Nieten.
Die Racktüren sind mit Schlüsselschlössern ausgestattet. Google stellt Ihnen eine Kopie des Schlüssels zur Verfügung und bewahrt eine Kopie sicher auf.
Bei Installationen mit mehreren Racks sind alle Rack-Schlösser gleichschließend.
Die Racktüren haben ein perforiertes, manipulationssicheres Metallgitter zur Belüftung.
Während der Installation wird das Rack mit den Transportstreben und ‑winkeln sicher am Boden des Installationsorts verschraubt.

Der Formfaktor von Distributed Cloud Server bietet die folgenden Sicherheitsfunktionen:

Ein Einbruchssensor. Wenn eine unbefugte Person das Gerät physisch öffnet, werden Sie und Google sofort über den physischen Eingriff benachrichtigt.

Wenn Sie weitere Fragen zur Sicherheit des physischen Racks haben, wenden Sie sich an Ihren Google Cloud Kundenbetreuer.

Plattformsicherheit

Die Distributed Cloud-Hardwareplattform hat die folgenden Sicherheitsfunktionen:

Trusted Platform Module (TPM). Das TPM ist der Root of Trust, der Verschlüsselungsschlüssel für alle Daten generiert und speichert, die in Distributed Cloud gespeichert sowie von Distributed Cloud empfangen und übertragen werden.
Plattformzertifikat Das Plattformzertifikat ist ein kryptografisch sicherer Datensatz der Fertigungs- und TPM-Identität. Das Zertifikat dient als Nachweis für die Integrität der Lieferkette für Distributed Cloud-Hardware.
Port-Sperre: Alle externen und internen Ports außer Ethernet-Ports, z. B. USB- und RS-232-Konsolenports, sind auf Firmware-Ebene deaktiviert und werden nur für Wartungsarbeiten aktiviert.

Sicherheit des lokalen Speichers

Die Distributed Cloud-Hardware wird je nach Formfaktor mit den folgenden Arten von internem Speicher ausgeliefert:

Distributed Cloud-Racks werden mit Solid-State-Laufwerken (SSDs) geliefert.
Distributed Cloud-Server werden mit SED-Laufwerken (Self-Encrypting Disk) ausgeliefert.

In Distributed Cloud wird Linux Unified Key Setup (LUKS) verwendet, um die logischen Volumes auf jedem Distributed Cloud-Knoten zu verschlüsseln. Sie haben die Möglichkeit, kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) oderGoogle-owned and managed keys zu verwenden, um den LUKS-Laufwerkverschlüsselungsschlüssel (Data Encryption Key, DEK) zu verpacken. Wenn Sie einem Knotenpool einen Knoten zuweisen, generiert der Knoten einen LUKS-DEK und umschließt ihn entweder mit einer von Google verwalteten LUKS-Passphrase, auch als Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) bezeichnet, oder mit einem von Ihnen über Cloud KMS bereitgestellten KEK. Sie können auswählen, ob Sie Cloud KMS beim Erstellen eines Knotenpools verwenden möchten. Distributed Cloud wird in Cloud KMS eingebunden, indem das Modell der Umschlagverschlüsselung verwendet wird.

In Distributed Cloud werden die LUKS- und SED-Passphrasen automatisch in regelmäßigen Abständen rotiert.

Außerdem führt jeder Distributed Cloud-Computer bei jedem Kaltstart Folgendes aus:

Wenn Sie Cloud KMS nicht verwenden, generiert der Computer einen neuen KEK (LUKS-Passphrase) und richtet von Anfang an verschlüsselten Speicher ein.
Wenn Sie Cloud KMS verwenden, ruft der Computer den KEK aus Cloud KMS ab und entsperrt die vorhandenen logischen Volumes, die Ihre Daten enthalten.

Unterstützung für kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für lokalen Speicher aktivieren

So aktivieren Sie die Cloud KMS-Integration in Distributed Cloud:

Erstellen Sie einen Schlüsselbund, einen symmetrischen Schlüssel und eine oder mehrere Schlüsselversionen, die Sie mit Distributed Cloud verwenden können. Sie müssen diese Artefakte in derselben Google Cloud Region wie Ihre Distributed Cloud-Installation erstellen. Eine Anleitung finden Sie unter Schlüssel erstellen.
Weisen Sie dem Distributed Cloud-Dienstkonto in IhremGoogle Cloud -Projekt die Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler-Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Sie müssen dies für jede Schlüsselversion tun, die Sie mit Distributed Cloud verwenden möchten. Wenn Sie diese Rolle widerrufen, nachdem Sie Ihre Distributed Cloud-Installation in Cloud KMS eingebunden haben, verlieren Sie den Zugriff auf Daten, die auf den Distributed Cloud-Maschinen gespeichert sind.
Erstellen Sie einen Knotenpool mit dem Flag --local-disk-kms-key und geben Sie den vollständigen Pfad zur Schlüsselversion an, die Sie mit diesem Knotenpool verwenden möchten.
Erstellen Sie einen Cluster mit dem Flag --control-plane-kms-key und geben Sie den vollständigen Pfad zur Schlüsselversion an, die Sie mit dem Knoten verwenden möchten, auf dem die Steuerungsebene des Clusters ausgeführt wird.
Optional können Sie beim Erstellen des Clusters das Flag --offline-reboot-ttl verwenden, um ein Zeitfenster anzugeben, in dem neu gestartete Knoten dem Cluster wieder beitreten können, während der Cluster im Survivability-Modus ausgeführt wird. Wenn Sie dieses Zeitfenster nicht angeben, können neu gestartete Knoten dem Cluster erst wieder beitreten, wenn der Überlebensmodus beendet wird.

ACHTUNG: Wenn Sie ein Zeitüberschreitungsfenster für den Neustart angeben, können Knoten, die offline gegangen sind, neu starten und dem Cluster wieder beitreten, auch wenn Sie den Speicherschlüssel für die angegebene Zeit deaktivieren oder löschen.

Weitere Informationen finden Sie in der Cloud KMS-Dokumentation unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Datenwiederherstellung und ‑sicherungen

Sie sind dafür verantwortlich, funktionierende redundante Sicherungen aller Daten zu erstellen, die Sie auf Distributed Cloud-Hardware speichern, und diese Daten zu exportieren, wenn Sie die Distributed Cloud-Hardware an Google zurückgeben.

Alle Daten, die sich noch auf der Distributed Cloud-Hardware befinden, wenn sie an Google zurückgegeben wird, werden gelöscht. Wenn ein Fehler in der Distributed Cloud-Hardware auftritt und Google Reparaturen vor Ort durchführt, werden alle Speichermedien von der Distributed Cloud-Maschine, die gewartet wird, entfernt und entweder für die Dauer der Reparatur in Ihre Obhut gegeben oder sicher gelöscht und dann zur Vernichtung gesendet. Google bereinigt und vernichtet alle Speichermedien, die aus Distributed Cloud-Hardware entfernt wurden, die aufgrund einer Reparatur oder Außerbetriebnahme an Google zurückgegeben wurde.

Netzwerksicherheit

Der Netzwerkverkehr zwischen der Distributed Cloud-Hardware und Google Cloudwird entweder mit MASQUE-Tunneln oder mit TLS verschlüsselt, wobei Zertifikate pro Maschine verwendet werden. Diese Zertifikate werden in Distributed Cloud automatisch in regelmäßigen Abständen rotiert.

Die Schritte, die zum Sichern des Netzwerk-Traffics erforderlich sind, der in Ihre Distributed Cloud-Installation ein- und ausgeht, werden durch Ihre geschäftlichen Anforderungen und die Netzwerksicherheitsrichtlinie Ihrer Organisation bestimmt. Außerdem empfehlen wir Folgendes:

Lassen Sie nur eingehende Verbindungen zu virtuellen IP-Adresspools zu, die vom integrierten Load Balancer von Distributed Cloud und von Distributed Cloud-Subnetzwerken bereitgestellt werden.
Eingehende Verbindungen von externen Netzwerkressourcen zu Subnetzwerken, die die Ebenen Systemverwaltung und Dienstverwaltung bedienen, sind nicht zulässig.
Eingehende Verbindungen von externen Netzwerkressourcen zu IP-Adressen lokaler Endpunkte der Steuerungsebene nicht zulassen. Weitere Informationen finden Sie unter Überlebensmodus.

Weitere Informationen zum Vorbereiten Ihres lokalen Netzwerks für die Verbindung von Distributed Cloud-Hardware finden Sie unter Netzwerk.

Nächste Schritte

Hochverfügbarkeit für Ihre Distributed Cloud-Installation sicherstellen

Best Practices für Sicherheit Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.