本頁說明保護 Google Distributed Cloud 安裝作業的最佳做法。
實體硬體安全
您有責任確保 Distributed Cloud 連線硬體的實體安全,例如限制授權人員存取。
Distributed Cloud connected 機架外型規格具有下列安全功能:
- 只有透過機架前後門,才能存取機架上安裝的硬體。
- 機架不易拆卸。沒有可從外部拆卸的結構性緊固件,例如螺絲、螺帽、閂鎖或鉚釘。
- 機架門配備鑰匙鎖,Google 會提供金鑰副本給您,並保留副本以妥善保管。
- 如果是多機架安裝,所有機架鎖都會使用相同的鑰匙。
- 機架門採用防竄改的透氣金屬網罩。
- 安裝時,請使用機架的運送支架和托架,將機架牢牢鎖在安裝地點的地板上。
Distributed Cloud 連線伺服器外型的安全防護功能如下:
- 入侵感應器。如有未經授權人士開啟裝置,您和 Google 會立即收到實體入侵通知。
如對實體機架的安全性有其他疑問,請與 Google Cloud 業務代表聯絡。
平台安全性
Distributed Cloud connected 硬體平台具有下列安全防護功能:
信任平台模組 (TPM)。TPM 是信任根,可為 Distributed Cloud 連線儲存、接收及傳輸的所有資料產生及儲存加密金鑰。
平台認證。平台憑證是製造和 TPM 身分的加密安全記錄。這項憑證可做為 Distributed Cloud 連線硬體的供應鏈完整性證明。
通訊埠鎖定。除了乙太網路埠以外的所有外部和內部連接埠 (例如 USB 和 RS-232 主控台連接埠) 都會在韌體層級停用,且只會在維修時啟用。
本機儲存空間安全性
Distributed Cloud 連線硬體隨附下列類型的內部儲存空間,具體取決於外型規格:
- Distributed Cloud connected 機架隨附固態硬碟 (SSD)。
- Distributed Cloud 連結網路方案伺服器隨附自加密磁碟 (SED) 磁碟機。
Distributed Cloud Connected 會使用 Linux Unified Key Setup (LUKS),加密每個 Distributed Cloud Connected 節點上的邏輯磁碟區。您可以選擇使用客戶自行管理的加密金鑰 (CMEK) 或 Google-owned and managed keys 包裝 LUKS 磁碟加密金鑰 (DEK)。將節點指派給節點集區時,節點會產生 LUKS DEK,並以 Google 管理的 LUKS 密碼片 (也稱為金鑰加密金鑰 (KEK)) 或您透過 Cloud KMS 提供的密碼片包裝。建立節點集區時,您可以選擇是否使用 Cloud KMS。Distributed Cloud Connected 會使用信封加密模型與 Cloud KMS 整合。
Distributed Cloud 會定期自動輪替 LUKS 和 SED 密碼片語。
此外,每個 Distributed Cloud connected 機器在每次冷啟動時,都會執行下列動作:
如果未使用 Cloud KMS,機器會產生新的 KEK (LUKS 密碼),並從頭設定加密儲存空間。
如果您使用 Cloud KMS,機器會從 Cloud KMS 擷取 KEK,並解鎖現有的邏輯磁區,其中包含您的資料。
為本機儲存空間啟用客戶自行管理的加密金鑰 (CMEK) 支援
如要啟用 Cloud KMS 與 Distributed Cloud Connected 的整合,請完成下列步驟:
建立金鑰環、對稱金鑰和一或多個金鑰版本,搭配 Distributed Cloud Connected 使用。您必須在與 Distributed Cloud 連線安裝相同的 Google Cloud 區域中建立這些構件。如需操作說明,請參閱「建立金鑰」。
在Google Cloud 專案中,將 Cloud KMS CryptoKey Encrypter/Decrypter 角色(
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予 Distributed Cloud 連線服務帳戶。您必須為每個要搭配 Distributed Cloud 連結網路方案使用的金鑰版本執行這項操作。如果您在整合 Distributed Cloud 連線安裝項目與 Cloud KMS 後撤銷此角色,您將無法存取儲存在 Distributed Cloud 連線機器上的資料。使用
--local-disk-kms-key旗標建立節點集區,並提供要用於該節點集區的金鑰版本完整路徑。使用
--control-plane-kms-key旗標建立叢集,並提供要與執行叢集控制層的節點搭配使用的金鑰版本完整路徑。建立叢集時,您可以選擇使用
--offline-reboot-ttl旗標指定時間範圍,讓重新啟動的節點在叢集以存續節點模式執行時,重新加入叢集。如果未指定這個時段,重新啟動的節點就無法重新加入叢集,直到叢集退出存續模式為止。注意:如果您指定重新啟動逾時時間範圍,即使您停用或刪除儲存空間金鑰,離線節點仍可在指定時間內重新啟動並重新加入叢集。
詳情請參閱 Cloud KMS 說明文件中的「客戶管理加密金鑰 (CMEK)」。
資料復原和備份
您有責任維護所有儲存在 Distributed Cloud 連線硬體上的資料,並在選擇將 Distributed Cloud 連線硬體退回 Google 時匯出這些資料。
將 Distributed Cloud Connected 硬體退還給 Google 時,系統會清除硬體上仍有的所有資料。如果 Distributed Cloud 連結網路方案硬體發生故障,且 Google 執行現場維修,我們會從維修中的 Distributed Cloud 連結網路方案機器移除所有儲存媒體,並在維修期間交由您保管,或安全清除資料後送交銷毀。如果 Distributed Cloud connected 硬體因維修或停用而退回 Google,我們會安全地清除並銷毀所有從中移除的儲存裝置。
網路安全
Distributed Cloud 連線硬體與 Google Cloud之間的網路流量會使用 MASQUE 通道或 TLS (使用每部機器的憑證) 進行加密。Distributed Cloud 連線會定期自動輪替這些憑證。
貴機構的業務需求和網路安全政策,決定了保護進出 Distributed Cloud 連線安裝作業網路流量的必要步驟。此外,我們建議您採取下列措施:
僅允許連入連線連至 Distributed Cloud 連線內建負載平衡器公開的虛擬 IP 位址集區,以及 Distributed Cloud 子網路。
禁止外部網路資源連線至本機控制層端點的 IP 位址。詳情請參閱「存續模式」。
如要進一步瞭解如何準備區域網路以連線至 Distributed Cloud 硬體,請參閱「網路」。
適用於多機架部署作業的 MAC 層級實體網路連結安全防護
對於多機架部署作業,Distributed Cloud Connected 支援基本機架中的匯聚交換器,以及獨立機架中的 ToR 交換器之間的乙太網路框架層級第 2 層媒體存取控制 (MAC) 安全性 (L2 MACsec)。
Distributed Cloud Connected 會使用 MACsec 驗證乙太網路裝置、驗證每個傳輸的乙太網路訊框完整性,並加密每個傳輸的訊框。
這包括建立一組金鑰,在允許乙太網路流量流動前,先在參與乙太網路傳輸工作階段的所有裝置之間驗證金鑰。驗證金鑰協議後,傳送者會開始為每個傳輸的乙太網路框架加上安全標記和完整性檢查值,收件者會在收到每個框架時驗證這些值。
每個設定 MACsec 的裝置都必須經過驗證,並與連線關聯 (CA) 建立關聯。CA 成員會使用長效 CA 金鑰 (CAK) 在網路上識別自己。 每當 CA 成員需要在網路上與其他 CA 成員交換資料時,系統就會使用 CAK 生成工作階段加密金鑰。
Distributed Cloud connected MACsec 政策
Distributed Cloud connected 會在基本機架聚合器交換器與獨立機架 ToR 交換器之間的所有乙太網路連結上,強制執行下列 MACsec 政策。這些政策無法修改或停用。
MACsec 設定
所有 Distributed Cloud 連結網路的 MACsec 設定 (包括加密金鑰) 都由 Google 管理。
MACsec 連結安全性
Distributed Cloud 連結網路方案會禁止所有內部乙太網路連結上的未加密封包。如果無法順利協商 MACsec 工作階段,受影響的乙太網路連結就會自動中斷。
MACsec 鑰匙圈
MACsec 金鑰環是金鑰儲存空間,可存放特定乙太網路連結所需的所有金鑰。系統會為每個套件介面建立專屬的鑰匙圈。每個金鑰鏈都包含 4 個主鍵和 1 個備用金鑰。每個主鍵的效期為 25%。
MACsec 備援
Distributed Cloud Connected 除了為每個內部乙太網路連結設定 4 個主要金鑰外,還會設定 MACsec 回溯金鑰。如果 Distributed Cloud Connected 無法使用主要金鑰協商 MACsec 工作階段,系統會嘗試使用備用金鑰協商備用工作階段。備援金鑰不會過期。
MACsec 金鑰輪替
Distributed Cloud 連線的匯聚器和 ToR 交換器會在主要 MACsec 金鑰到期時立即輪替。為確保金鑰輪替作業安全無虞,輪替作業中每個新舊金鑰的生命週期會重疊 5 天。
MACsec 安全關聯金鑰
Distributed Cloud Connected 會使用隨機產生的 MACsec 安全關聯金鑰 (SAK),加密內部乙太網路連結所攜帶的所有乙太網路框架。Distributed Cloud Connected 會使用擴充封包編號 (XPN) 執行以量為準的重新加密作業。SAK 每 6 小時會重新產生一次。
檢查 Distributed Cloud connected 機架連結的 MACsec 狀態
使用下列指令,檢查獨立機架中,基本機架聚合器交換器與 ToR 交換器之間特定乙太網路連結的 MACsec 狀態:
gcloud edge-cloud networking networks get-status default --location=REGION --zone=us-ZONE_NAME
更改下列內容:
REGION:建立目標專案的 Google Cloud 區域Google Cloud 。ZONE_NAME:目標 Distributed Cloud 連結區域的名稱。
指令會傳回類似以下的輸出內容:
result:
macsecStatusInternalLinks: SECURE
可能的連結狀態值如下:
SECURE- 目標連結的 MACsec 工作階段已啟動。UNSECURE- 目標連結的 MACsec 工作階段已停止運作。