このページでは、Google Distributed Cloud のインストールを保護するためのベスト プラクティスについて説明します。
物理ハードウェアのセキュリティ
お客様は、アクセスを承認済みの担当者に制限するなど、Distributed Cloud ハードウェアの物理的なセキュリティに責任があります。
Distributed Cloud Rack フォーム ファクタには、次のセキュリティ機能があります。
- ラックに設置されたハードウェアには、前面と背面のラックドアからのみアクセス可能
- ラックの分解は困難です。ネジ、ナット、ラッチ、リベットなど、外部からアクセスしやすい構造の留め具がない
- ラックドアにキーロックが付属。鍵をお客様に提供するとともに、Google が合鍵を安全に保管
- マルチラック設置の場合、すべてのラックのロックは同一の鍵により実施
- ラックドアに換気のため穴の開いた不正開封防止用のメタルメッシュがある
- 設置時に、ラックは配送補強材と取り付け金具を使用して設置場所の床面にしっかりとボルトで留められる
Distributed Cloud Server のフォーム ファクタには、次のセキュリティ機能があります。
- 侵入センサー。不正なユーザーがマシンを物理的に開くと、物理的な侵入が直ちにユーザーと Google に通知されます。
物理ラックのセキュリティについてご不明な点がございましたら、 Google Cloud 営業担当者にお問い合わせください。
プラットフォームのセキュリティ
Distributed Cloud ハードウェア プラットフォームには、次のセキュリティ機能があります。
Trusted Platform Module(TPM)。TPM は、Distributed Cloud に保存され、Distributed Cloud によって受信および送信されるすべてのデータの暗号鍵を生成して保存するルート オブ トラストです。
プラットフォーム証明書。プラットフォーム証明書は、製造と TPM ID の暗号的に安全な記録です。この証明書は、Distributed Cloud ハードウェアのサプライ チェーンの完全性の証明として機能します。
ポートのロックダウン。USB や RS-232 コンソール ポートなどのイーサネット ポート以外の外部ポートと内部ポートはすべてファームウェア レベルで無効になっており、サービスでのみ有効になります。
ローカル ストレージのセキュリティ
Distributed Cloud ハードウェアには、フォーム ファクタに応じて次のタイプの内部ストレージが搭載されています。
- Distributed Cloud Racks には、ソリッド ステート ディスク(SSD)ドライブが付属しています。
- Distributed Cloud Servers には、自己暗号化ディスク(SED)ドライブが付属しています。
Distributed Cloud は、LUKS(Linux Unified Key Setup)を使用して、各 Distributed Cloud ノードの論理ボリュームを暗号化します。顧客管理の暗号鍵(CMEK)またはGoogle-owned and managed keys を使用して LUKS ディスク暗号鍵(DEK)をラップできます。ノードをノードプールに割り当てると、ノードは LUKS DEK を生成し、鍵暗号鍵(KEK)とも呼ばれる Google 管理の LUKS パスフレーズまたは Cloud KMS を介してユーザーが提供したパスフレーズでラップします。ノードプールの作成時に Cloud KMS を使用するかどうかを選択できます。Distributed Cloud は、エンベロープ暗号化モデルを使用して Cloud KMS と統合されます。
Distributed Cloud は、定期的なスケジュールで LUKS と SED のパスフレーズを自動的にローテーションします。
また、各 Distributed Cloud マシンは、コールド スタートごとに次の処理を行います。
Cloud KMS を使用していない場合、マシンは新しい KEK(LUKS パスフレーズ)を生成し、最初から暗号化されたストレージを設定します。
Cloud KMS を使用している場合、マシンは Cloud KMS から KEK を取得し、データを保持する既存の論理ボリュームをロック解除します。
ローカル ストレージの顧客管理の暗号鍵(CMEK)のサポートを有効にする
Cloud KMS と Distributed Cloud の統合を有効にするには、次の操作を行います。
Distributed Cloud で使用するキーリング、対称鍵、1 つ以上の鍵バージョンを作成します。これらのアーティファクトは、Distributed Cloud のインストールと同じ Google Cloud リージョンに作成する必要があります。手順については、鍵を作成するをご覧ください。
Google Cloud プロジェクトの Distributed Cloud サービス アカウントに Cloud KMS CryptoKey の暗号化/復号のロール(
roles/cloudkms.cryptoKeyEncrypterDecrypter)を付与します。この操作は、Distributed Cloud で使用する鍵バージョンごとに行う必要があります。Distributed Cloud インストールを Cloud KMS と統合した後にこのロールを取り消すと、Distributed Cloud マシンに保存されているデータにアクセスできなくなります。--local-disk-kms-keyフラグを使用してノードプールを作成し、そのノードプールで使用する鍵バージョンの完全パスを指定します。--control-plane-kms-keyフラグを使用してクラスタを作成し、クラスタのコントロール プレーンを実行するノードで使用する鍵バージョンのフルパスを指定します。必要に応じて、クラスタの作成時に
--offline-reboot-ttlフラグを使用して、クラスタが存続性ノードで実行されている間に再起動されたノードがクラスタに再参加できる時間枠を指定します。このウィンドウを指定しない場合、再起動されたノードは存続モードを終了するまでクラスタに再参加できません。注意: 再起動タイムアウト ウィンドウを指定すると、指定した時間内にストレージ キーを無効にしたり削除したりしても、オフラインになったノードが再起動してクラスタに再参加する可能性があります。
詳細については、Cloud KMS ドキュメントの顧客管理の暗号鍵(CMEK)をご覧ください。
データの復元とバックアップ
Distributed Cloud ハードウェアに保存するすべてのデータの機能する冗長バックアップを維持し、Distributed Cloud ハードウェアを Google に返却する場合はそのデータをエクスポートする必要があります。
Google に返却されたときに Distributed Cloud ハードウェアに残っているデータはすべて消去されます。Distributed Cloud ハードウェアで障害が発生し、Google がオンサイト修理を行う場合、サービス対象の Distributed Cloud マシンからすべてのストレージ メディアが取り外され、修理期間中はお客様の管理下に置かれるか、安全にワイプされてから廃棄されます。Google は、修理または廃止の結果として Google に返却された Distributed Cloud ハードウェアから取り外されたすべてのストレージ デバイスを安全にサニタイズして破棄します。
ネットワーク セキュリティ
Distributed Cloud ハードウェアと Google Cloud間のネットワーク トラフィックは、MASQUE トンネルまたはマシンごとの証明書を使用する TLS のいずれかを使用して暗号化されます。Distributed Cloud は、定期的なスケジュールでこれらの証明書を自動的にローテーションします。
ビジネス要件と組織のネットワーク セキュリティ ポリシーによって、Distributed Cloud のインストールに出入りするネットワーク トラフィックを保護するために必要な手順が規定されます。また、次のことをおすすめします。
Distributed Cloud 組み込みのロードバランサによって公開されている仮想 IP アドレスプールと Distributed Cloud サブネットワークへのインバウンド接続のみを許可します。
システム管理レイヤとサービス管理レイヤを提供するサブネットワークへの外部ネットワーク リソースからのインバウンド接続を禁止します。
外部ネットワーク リソースからローカル コントロール プレーン エンドポイントの IP アドレスへのインバウンド接続を禁止します。詳細については、生存モードをご覧ください。
Distributed Cloud ハードウェアを接続するためのローカル ネットワークの準備方法については、ネットワーキングをご覧ください。