Praktik keamanan terbaik

Halaman ini menjelaskan praktik terbaik untuk mengamankan penginstalan Google Distributed Cloud Anda.

Keamanan hardware fisik

Anda bertanggung jawab atas keamanan fisik hardware yang terhubung ke Distributed Cloud, seperti membatasi akses ke personel yang berwenang.

Faktor bentuk tack yang terhubung dengan Distributed Cloud memiliki fitur keamanan berikut:

• Akses ke hardware yang terpasang di rak hanya dapat dilakukan melalui pintu rak depan dan belakang.
• Rak tidak dapat dibongkar dengan mudah. Tidak ada pengencang struktural yang dapat diakses dari luar seperti sekrup, mur, kait, atau paku keling.
• Pintu rak dilengkapi dengan kunci. Google memberi Anda salinan kunci dan menyimpan salinannya untuk diamankan.
• Untuk penginstalan multi-rak, semua kunci rak memiliki kunci yang sama.
• Pintu rak memiliki jaring logam berlubang yang tahan terhadap upaya pembukaan paksa untuk ventilasi.
• Selama pemasangan, rak dikencangkan dengan aman ke lantai lokasi pemasangan menggunakan penyangga dan braket pengiriman.

Faktor bentuk server yang terhubung Distributed Cloud memiliki fitur keamanan berikut:

• Sensor penyusupan. Jika pihak yang tidak berwenang membuka mesin secara fisik, Anda dan Google akan langsung diberi tahu tentang penyusupan fisik tersebut.

Jika ada pertanyaan lebih lanjut tentang keamanan rak fisik, hubungi tenaga penjual Anda. Google Cloud

Keamanan platform

Platform hardware yang terhubung dengan Distributed Cloud memiliki fitur keamanan berikut:

• Trusted Platform Module (TPM). TPM adalah root of trust yang membuat dan menyimpan kunci enkripsi untuk semua data yang disimpan di, serta diterima dan dikirimkan oleh Distributed Cloud yang terhubung.

• Sertifikat platform. Sertifikat platform adalah catatan manufaktur dan identitas TPM yang aman secara kriptografis. Sertifikat ini berfungsi sebagai bukti integritas supply chain untuk hardware yang terhubung ke Distributed Cloud.

• Penguncian port. Semua port eksternal dan internal selain port Ethernet, seperti port konsol USB dan RS-232, dinonaktifkan di tingkat firmware dan hanya diaktifkan untuk servis.

Keamanan penyimpanan lokal

Hardware yang terhubung ke Distributed Cloud dikirimkan dengan jenis penyimpanan internal berikut, bergantung pada faktor bentuknya:

• Rak Distributed Cloud terhubung dikirimkan dengan drive Solid State Disk (SSD).
• Server yang terhubung Distributed Cloud dikirimkan dengan drive Disk Enkripsi Mandiri (SED).

Distributed Cloud connected menggunakan Linux Unified Key Setup (LUKS) untuk mengenkripsi volume logis di setiap node Distributed Cloud connected. Anda memiliki opsi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) atau Google-owned and managed keys untuk mengenkripsi kunci enkripsi disk LUKS (DEK). Saat Anda menetapkan node ke node pool, node akan membuat LUKS DEK dan menggabungkannya dalam frasa sandi LUKS yang dikelola Google, yang juga dikenal sebagai kunci enkripsi kunci (KEK), atau yang disediakan oleh Anda melalui Cloud KMS. Anda dapat memilih apakah akan menggunakan Cloud KMS saat membuat node pool. Distributed Cloud Connected terintegrasi dengan Cloud KMS menggunakan model enkripsi amplop.

Distributed Cloud yang terhubung secara otomatis mengganti frasa sandi LUKS dan SED sesuai jadwal rutin.

Selain itu, setiap mesin yang terhubung ke Distributed Cloud melakukan hal berikut pada setiap cold start:

• Jika Anda tidak menggunakan Cloud KMS, mesin akan membuat KEK baru (frasa sandi LUKS) dan menyiapkan penyimpanan terenkripsi dari awal.

• Jika Anda menggunakan Cloud KMS, mesin akan mengambil KEK dari Cloud KMS dan membuka kunci volume logis yang ada yang menyimpan data Anda.

Mengaktifkan dukungan untuk kunci enkripsi yang dikelola pelanggan (CMEK) untuk penyimpanan lokal

Untuk mengaktifkan integrasi Cloud KMS dengan Distributed Cloud Connected, selesaikan langkah-langkah berikut:

1. Buat keyring, kunci simetris, dan satu atau beberapa versi kunci untuk digunakan dengan Distributed Cloud yang terhubung. Anda harus membuat artefak ini di region Google Cloud yang sama dengan penginstalan yang terhubung ke Distributed Cloud. Untuk mengetahui petunjuknya, lihat Membuat kunci.

2. Berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke Akun Layanan yang terhubung ke Distributed Cloud di projectGoogle Cloud Anda. Anda harus melakukannya untuk setiap versi kunci yang ingin digunakan dengan Distributed Cloud terhubung. Jika Anda mencabut peran ini setelah mengintegrasikan penginstalan yang terhubung ke Distributed Cloud dengan Cloud KMS, Anda akan kehilangan akses ke data yang disimpan di mesin yang terhubung ke Distributed Cloud.

3. Buat node pool menggunakan flag --local-disk-kms-key, dan berikan jalur lengkap ke versi kunci yang ingin Anda gunakan dengan node pool tersebut.

4. Buat cluster menggunakan tanda --control-plane-kms-key, dan berikan jalur lengkap ke versi kunci yang ingin Anda gunakan dengan node yang menjalankan bidang kontrol cluster.

5. Secara opsional, gunakan flag --offline-reboot-ttl saat membuat cluster untuk menentukan jangka waktu saat node yang telah di-reboot dapat bergabung kembali ke cluster saat cluster berjalan di node survivabilitas. Jika Anda tidak menentukan periode ini, node yang di-reboot tidak dapat bergabung kembali ke cluster hingga keluar dari mode survivabilitas.

   PERHATIAN: Jika Anda menentukan periode waktu tunggu mulai ulang, node yang offline dapat dimulai ulang dan bergabung kembali ke cluster meskipun Anda menonaktifkan atau menghapus kunci penyimpanan untuk waktu yang ditentukan.

Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK) di dokumentasi Cloud KMS.

Pemulihan dan pencadangan data

Anda bertanggung jawab untuk mempertahankan fungsi cadangan redundan dari semua data yang Anda pilih untuk disimpan di hardware yang terhubung ke Distributed Cloud dan mengekspor data tersebut saat Anda memilih untuk mengembalikan hardware yang terhubung ke Distributed Cloud ke Google.

Data apa pun yang masih ada di hardware Distributed Cloud terhubung saat dikembalikan ke Google akan dihapus. Jika terjadi kegagalan hardware Distributed Cloud terhubung dan Google melakukan perbaikan di tempat, semua media penyimpanan akan dikeluarkan dari mesin Distributed Cloud terhubung yang sedang diservis dan akan diserahkan kepada Anda selama perbaikan atau dihapus secara aman, lalu dikirim untuk dihancurkan. Google membersihkan dan menghancurkan semua perangkat penyimpanan yang dilepas dari hardware Distributed Cloud terhubung yang telah dikembalikan ke Google sebagai akibat dari perbaikan atau penonaktifan dengan aman.

Keamanan jaringan

Traffic jaringan antara hardware yang terhubung ke Distributed Cloud dan Google Cloud dienkripsi menggunakan terowongan MASQUE atau TLS yang menggunakan sertifikat per mesin. Distributed Cloud yang terhubung secara otomatis merotasi sertifikat ini sesuai jadwal rutin.

Persyaratan bisnis dan kebijakan keamanan jaringan organisasi Anda menentukan langkah-langkah yang diperlukan untuk mengamankan traffic jaringan yang masuk dan keluar dari penginstalan yang terhubung ke Distributed Cloud Anda. Selain itu, kami merekomendasikan hal berikut:

• Hanya izinkan koneksi masuk ke kumpulan alamat IP virtual yang diekspos oleh load balancer bawaan yang terhubung ke Distributed Cloud dan ke subnetwork Distributed Cloud.

• Melarang koneksi masuk dari resource jaringan eksternal ke subnetwork yang melayani lapisan pengelolaan sistem dan pengelolaan layanan.

• Melarang koneksi masuk dari resource jaringan eksternal ke alamat IP endpoint bidang kontrol lokal. Untuk mengetahui informasi selengkapnya, lihat Mode keandalan.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan jaringan lokal untuk menghubungkan hardware Distributed Cloud, lihat Jaringan.

Keamanan link jaringan fisik tingkat MAC untuk deployment multi-rack

Untuk deployment multi-rak, Distributed Cloud Connected mendukung keamanan Layer 2 Media Access Control (MAC) (L2 MACsec) di tingkat frame Ethernet antara switch penggabung di rak dasar dan switch ToR di rak mandiri.

Distributed Cloud Connected menggunakan MACsec untuk mengautentikasi perangkat Ethernet, memverifikasi integritas setiap frame Ethernet yang dikirimkan, dan mengenkripsi setiap frame yang dikirimkan.

Hal ini melibatkan pembuatan serangkaian kunci yang diverifikasi di antara semua perangkat yang terlibat dalam sesi transfer Ethernet sebelum traffic Ethernet diizinkan untuk mengalir. Setelah persetujuan kunci diverifikasi, pengirim mulai memberi tag pada setiap frame Ethernet yang dikirim dengan tag keamanan dan nilai pemeriksaan integritas yang diverifikasi oleh penerima setelah menerima setiap frame.

Setiap perangkat yang dikonfigurasi dengan MACsec harus diautentikasi oleh dan dikaitkan dengan Connectivity Association (CA). Anggota CA menggunakan kunci CA (CAK) yang tahan lama untuk mengidentifikasi diri mereka di jaringan. CAK digunakan untuk membuat kunci enkripsi sesi setiap kali anggota CA perlu bertukar data dengan anggota CA lain di jaringan.

Kebijakan MACsec Distributed Cloud terhubung

Distributed Cloud Connected menerapkan kebijakan MACsec berikut pada semua link Ethernet antara switch agregator rak dasar dan switch ToR rak mandiri. Kebijakan ini tidak dapat diubah atau dinonaktifkan.

Konfigurasi MACsec

Semua konfigurasi MACsec yang terhubung ke Distributed Cloud, termasuk kunci enkripsi, dikelola oleh Google.

Keamanan link MACsec

Distributed Cloud terhubung tidak mengizinkan paket yang tidak terenkripsi di semua link Ethernet internal. Jika sesi MACsec tidak dapat dinegosiasikan dengan berhasil, link Ethernet yang terpengaruh akan otomatis nonaktif.

Keychain MACsec

Keychain MACsec adalah penyimpanan kunci yang menyimpan semua kunci yang diperlukan untuk link Ethernet tertentu. Keychain unik dibuat untuk antarmuka paket. Setiap keychain menyimpan 4 kunci utama plus kunci penggantian. Setiap kunci utama memiliki validitas 25%.

Penggantian MACsec

Distributed Cloud connected mengonfigurasi kunci penggantian MACsec selain 4 kunci utama untuk setiap link Ethernet internal. Jika Distributed Cloud Connected tidak dapat melakukan negosiasi sesi MACsec menggunakan kunci utama, Distributed Cloud Connected akan mencoba melakukan negosiasi sesi penggantian menggunakan kunci penggantian. Kunci penggantian tidak memiliki akhir masa berlaku.

Rotasi kunci MACsec

Aggregator yang terhubung ke Distributed Cloud dan switch ToR akan merotasi kunci MACsec utamanya segera setelah kunci tersebut berakhir masa berlakunya. Untuk memastikan rotasi kunci yang aman, setiap kunci sebelumnya dan berikutnya dalam rotasi memiliki tumpang-tindih masa aktif selama 5 hari.

Kunci Asosiasi Aman MACsec

Distributed Cloud Connected menggunakan Kunci Asosiasi Aman (SAK) MACsec yang dibuat secara acak untuk mengenkripsi semua frame Ethernet yang dibawa oleh link Ethernet internal. Distributed Cloud yang terhubung melakukan rekeying berbasis volume menggunakan Extended Packet Numbering (XPN). SAK dibuat ulang setiap 6 jam.

Memeriksa status MACsec link rak yang terhubung ke Distributed Cloud

Gunakan perintah berikut untuk memeriksa status MACsec link Ethernet tertentu antara switch agregator rak dasar dan switch ToR dalam rak mandiri:

gcloud edge-cloud networking networks get-status default --location=REGION --zone=us-ZONE_NAME

Ganti kode berikut:

• REGION: Google Cloud region tempat project target Google Cloud dibuat.
• ZONE_NAME: nama target zona yang terhubung Distributed Cloud.

Perintah akan menampilkan output yang mirip dengan berikut ini:

result:
  macsecStatusInternalLinks: SECURE

Kemungkinan nilai status link adalah:

• SECURE - Sesi MACsec aktif di link target.
• UNSECURE - Sesi MACsec tidak aktif di link target.

Langkah berikutnya

• Memastikan ketersediaan tinggi untuk penginstalan Distributed Cloud terhubung