Best practice per la sicurezza

Questa pagina descrive le best practice per proteggere l'installazione di Google Distributed Cloud.

Sicurezza hardware fisica

Sei responsabile della sicurezza fisica dell'hardware Distributed Cloud, ad esempio limitando l'accesso al personale autorizzato.

Il fattore di forma del rack Distributed Cloud ha le seguenti funzionalità di sicurezza:

  • L'accesso all'hardware installato sul rack è possibile solo attraverso gli sportelli anteriore e posteriore del rack.
  • Il rack non può essere smontato facilmente. Non sono presenti elementi di fissaggio strutturali accessibili esternamente, come viti, dadi, chiusure o rivetti.
  • Le porte del rack sono dotate di serrature con chiave. Google ti fornisce una copia della chiave e ne conserva una copia per la custodia sicura.
  • Per le installazioni multirack, tutte le serrature del rack hanno la stessa chiave.
  • Le porte del rack sono dotate di una rete metallica antimanomissione perforata per la ventilazione.
  • Durante l'installazione, il rack viene fissato saldamente al pavimento del sito di installazione utilizzando i suoi rinforzi e le staffe di spedizione.

Il fattore di forma Distributed Cloud Server ha le seguenti funzionalità di sicurezza:

  • Un sensore di intrusione. Se una parte non autorizzata apre fisicamente la macchina, tu e Google ricevete immediatamente una notifica dell'intrusione fisica.

Se hai altre domande sulla sicurezza del rack fisico, contatta il tuo Google Cloud rappresentante di vendita.

Sicurezza della piattaforma

La piattaforma hardware Distributed Cloud ha le seguenti funzionalità di sicurezza:

  • Trusted Platform Module (TPM). Il TPM è la radice di attendibilità che genera e archivia le chiavi di crittografia per tutti i dati archiviati, ricevuti e trasmessi da Distributed Cloud.

  • Certificato della piattaforma. Il certificato della piattaforma è un record crittograficamente sicuro dell'identità di produzione e del TPM. Il certificato funge da prova dell'integrità della catena di fornitura per l'hardware Distributed Cloud.

  • Blocco delle porte. Tutte le porte esterne e interne diverse dalle porte Ethernet, come le porte USB e RS-232 della console, sono disabilitate a livello di firmware e abilitate solo per la manutenzione.

Sicurezza dello spazio di archiviazione locale

L'hardware Distributed Cloud viene fornito con i seguenti tipi di spazio di archiviazione interno a seconda del fattore di forma:

  • I rack Distributed Cloud vengono spediti con unità a stato solido (SSD).
  • I server Distributed Cloud vengono forniti con unità Self-Encrypting Disk (SED).

Distributed Cloud utilizza Linux Unified Key Setup (LUKS) per criptare i volumi logici su ogni nodo Distributed Cloud. Puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) o Google-owned and managed keys per eseguire il wrapping della chiave di crittografia del disco LUKS (DEK). Quando assegni un nodo a un pool di nodi, il nodo genera una DEK LUKS e la racchiude in una passphrase LUKS gestita da Google, nota anche come chiave di crittografia della chiave (KEK), o in una fornita da te tramite Cloud KMS. Puoi scegliere se utilizzare Cloud KMS durante la creazione di un pool di nodi. Distributed Cloud si integra con Cloud KMS utilizzando il modello di crittografia envelope.

Distributed Cloud ruota automaticamente le passphrase LUKS e SED in base a una pianificazione regolare.

Inoltre, ogni macchina Distributed Cloud esegue le seguenti operazioni a ogni avvio a freddo:

  • Se non utilizzi Cloud KMS, la macchina genera una nuova KEK (passphrase LUKS) e configura lo spazio di archiviazione criptato fin dall'inizio.

  • Se utilizzi Cloud KMS, la macchina recupera la KEK da Cloud KMS e sblocca i volumi logici esistenti che contengono i tuoi dati.

Abilitare il supporto delle chiavi di crittografia gestite dal cliente (CMEK) per l'archiviazione locale

Per abilitare l'integrazione di Cloud KMS con Distributed Cloud, completa i seguenti passaggi:

  1. Crea un keyring, una chiave simmetrica e una o più versioni della chiave da utilizzare con Distributed Cloud. Devi creare questi artefatti nella stessa Google Cloud regione dell'installazione di Distributed Cloud. Per le istruzioni, vedi Creare una chiave.

  2. Concedi il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) al service account Distributed Cloud nel tuo progettoGoogle Cloud . Devi eseguire questa operazione per ogni versione della chiave che vuoi utilizzare con Distributed Cloud. Se revochi questo ruolo dopo aver integrato l'installazione di Distributed Cloud con Cloud KMS, perdi l'accesso ai dati memorizzati sulle macchine Distributed Cloud.

  3. Crea un node pool utilizzando il flag --local-disk-kms-key e fornisci il percorso completo della versione della chiave che vuoi utilizzare con quel pool di nodi.

  4. Crea un cluster utilizzando il flag --control-plane-kms-key e fornisci il percorso completo della versione della chiave che vuoi utilizzare con il nodo che esegue il control plane del cluster.

  5. (Facoltativo) Utilizza il flag --offline-reboot-ttl durante la creazione del cluster per specificare un intervallo di tempo durante il quale i nodi riavviati possono ricongiungersi al cluster mentre il cluster è in esecuzione in modalità di sopravvivenza del nodo. Se non specifichi questa finestra, i nodi riavviati non possono rientrare nel cluster finché non esce dalla modalità di sopravvivenza.

    ATTENZIONE: se specifichi una finestra di timeout per il riavvio, i nodi che sono andati offline possono riavviarsi e ricongiungersi al cluster anche se disattivi o elimini la chiave di archiviazione per il periodo di tempo specificato.

Per saperne di più, consulta Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS.

Recupero dei dati e backup

È tua responsabilità mantenere backup ridondanti funzionanti di tutti i dati che scegli di archiviare sull'hardware Distributed Cloud ed esportare questi dati quando scegli di restituire l'hardware Distributed Cloud a Google.

Tutti i dati ancora presenti sull'hardware Distributed Cloud al momento della restituzione a Google vengono cancellati. Se si verifica un guasto dell'hardware Distributed Cloud e Google esegue riparazioni in loco, tutti i supporti di archiviazione vengono rimossi dalla macchina Distributed Cloud in manutenzione e vengono affidati a te per la durata della riparazione o cancellati in modo sicuro e poi inviati per la distruzione. Google igienizza e distrugge in modo sicuro tutti i dispositivi di archiviazione rimossi dall'hardware Distributed Cloud che sono stati restituiti a Google a seguito di una riparazione o di un ritiro.

Sicurezza della rete

Il traffico di rete tra l'hardware Distributed Cloud e Google Cloud viene criptato utilizzando tunnel MASQUE o TLS che utilizzano certificati per macchina. Distributed Cloud ruota automaticamente questi certificati secondo una pianificazione regolare.

I requisiti aziendali e le norme di sicurezza di rete della tua organizzazione dettano i passaggi necessari per proteggere il traffico di rete in entrata e in uscita dalla tua installazione di Distributed Cloud. Inoltre, ti consigliamo quanto segue:

  • Consenti solo le connessioni in entrata ai pool di indirizzi IP virtuali esposti dal bilanciatore del carico integrato di Distributed Cloud e alle subnet di Distributed Cloud.

  • Non consentire le connessioni in entrata dalle risorse di rete esterne alle subnet che gestiscono i livelli di gestione del sistema e gestione dei servizi.

  • Non consentire le connessioni in entrata dalle risorse di rete esterne agli indirizzi IP degli endpoint del control plane locale. Per saperne di più, consulta la sezione Modalità di sopravvivenza.

Per saperne di più su come preparare la rete locale per la connessione dell'hardware Distributed Cloud, consulta Networking.

Passaggi successivi