이 페이지에서는 Google Distributed Cloud 설치를 보호하기 위한 권장사항을 설명합니다.
물리적 하드웨어 보안
승인된 인력에 대한 액세스 제한과 같은 Distributed Cloud 연결 하드웨어의 물리적 보안은 사용자의 책임입니다.
Distributed Cloud 연결 트랙 폼 팩터에는 다음과 같은 보안 기능이 있습니다.
- 랙에 설치된 하드웨어는 랙 전면 및 후면 도어를 통해서만 액세스할 수 있습니다.
- 랙을 쉽게 분해할 수 없습니다. 나사, 너트, 래치, 리벳과 같은 외부에서 접근 가능한 구조적 패스너가 없습니다.
- 랙 도어에는 열쇠 잠금장치가 장착되어 있습니다. Google에서는 키 사본을 제공하며 안전한 보관을 위해 사본을 보유합니다.
- 다중 랙 설치의 경우 모든 랙 잠금 장치는 동일한 키로 잠깁니다.
- 랙 도어에는 환기를 위해 구멍이 뚫린 조작 방지 금속 메시가 있습니다.
- 설치 중에 랙은 배송 브레이스와 브래킷을 사용하여 설치 사이트 바닥에 단단히 볼트로 고정됩니다.
Distributed Cloud 연결 서버 폼 팩터에는 다음과 같은 보안 기능이 있습니다.
- 침입 센서 권한이 없는 당사자가 기기를 물리적으로 열면 사용자와 Google에 물리적 침입이 즉시 통보됩니다.
물리적 랙의 보안에 관해 더 궁금한 점이 있으면 Google Cloud 영업 담당자에게 문의하세요.
플랫폼 보안
Distributed Cloud 연결 하드웨어 플랫폼에는 다음과 같은 보안 기능이 있습니다.
신뢰 플랫폼 모듈 (TPM) TPM은 Distributed Cloud Connected에서 저장하고 수신 및 전송하는 모든 데이터의 암호화 키를 생성하고 저장하는 신뢰할 수 있는 루트입니다.
플랫폼 인증서 플랫폼 인증서는 제조 및 TPM ID의 암호화 보안 기록입니다. 이 인증서는 Distributed Cloud 연결 하드웨어의 공급망 무결성을 증명하는 역할을 합니다.
포트 잠금 이더넷 포트 이외의 모든 외부 및 내부 포트(예: USB 및 RS-232 콘솔 포트)는 펌웨어 수준에서 사용 중지되며 서비스 목적으로만 사용 설정됩니다.
로컬 스토리지 보안
Distributed Cloud 연결 하드웨어는 폼 팩터에 따라 다음과 같은 유형의 내부 스토리지가 제공됩니다.
- Distributed Cloud Connected 랙은 솔리드 스테이트 디스크 (SSD) 드라이브와 함께 제공됩니다.
- Distributed Cloud connected 서버는 자체 암호화 디스크 (SED) 드라이브와 함께 제공됩니다.
Distributed Cloud connected는 Linux Unified Key Setup (LUKS)을 사용하여 각 Distributed Cloud connected 노드의 논리 볼륨을 암호화합니다. 고객 관리 암호화 키 (CMEK)를 사용하거나Google-owned and managed keys LUKS 디스크 암호화 키 (DEK)를 래핑할 수 있습니다. 노드를 노드 풀에 할당하면 노드는 LUKS DEK를 생성하고 이를 Google 관리 LUKS 비밀번호(키 암호화 키(KEK)라고도 함) 또는 Cloud KMS를 통해 제공된 비밀번호로 래핑합니다. 노드 풀을 만들 때 Cloud KMS를 사용할지 선택할 수 있습니다. Distributed Cloud Connected는 엔벨로프 암호화 모델을 사용하여 Cloud KMS와 통합됩니다.
Distributed Cloud Connected는 정기적인 일정에 따라 LUKS 및 SED 암호를 자동으로 순환합니다.
또한 각 Distributed Cloud 연결 머신은 콜드 스타트할 때마다 다음을 실행합니다.
Cloud KMS를 사용하지 않는 경우 머신에서 새 KEK(LUKS 비밀번호)를 생성하고 처음부터 암호화된 스토리지를 설정합니다.
Cloud KMS를 사용하는 경우 머신은 Cloud KMS에서 KEK를 가져와 데이터를 보유하는 기존 논리 볼륨을 잠금 해제합니다.
로컬 스토리지에 고객 관리 암호화 키 (CMEK) 지원 사용 설정
Distributed Cloudconnected와의 Cloud KMS 통합을 사용 설정하려면 다음 단계를 완료하세요.
Distributed Cloud Connected와 함께 사용할 키링, 대칭 키, 하나 이상의 키 버전을 만듭니다. 이러한 아티팩트는 Distributed Cloud 연결 설치와 동일한 Google Cloud 리전에 만들어야 합니다. 자세한 내용은 키 만들기를 참고하세요.
Google Cloud 프로젝트의 Distributed Cloud 연결 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할(
roles/cloudkms.cryptoKeyEncrypterDecrypter)을 부여합니다. Distributed Cloud(연결형)와 함께 사용할 각 키 버전에 대해 이 작업을 실행해야 합니다. Distributed Cloud 연결 설치를 Cloud KMS와 통합한 후 이 역할을 취소하면 Distributed Cloud 연결 머신에 저장된 데이터에 액세스할 수 없습니다.--local-disk-kms-key플래그를 사용하여 노드 풀을 만들고 해당 노드 풀에 사용할 키 버전의 전체 경로를 제공합니다.--control-plane-kms-key플래그를 사용하여 클러스터를 만들고 클러스터의 컨트롤 플레인을 실행하는 노드에서 사용할 키 버전의 전체 경로를 제공합니다.선택적으로 클러스터를 만들 때
--offline-reboot-ttl플래그를 사용하여 재부팅된 노드가 클러스터가 생존 가능성 노드에서 실행되는 동안 클러스터에 다시 참여할 수 있는 시간대를 지정합니다. 이 기간을 지정하지 않으면 다시 시작된 노드가 생존 가능 모드를 종료할 때까지 클러스터에 다시 참여할 수 없습니다.주의: 재부팅 시간 제한 기간을 지정하면 오프라인 상태가 된 노드가 지정된 시간 동안 저장소 키를 사용 중지하거나 삭제하더라도 재부팅되고 클러스터에 다시 참여할 수 있습니다.
자세한 내용은 Cloud KMS 문서의 고객 관리 암호화 키 (CMEK)를 참고하세요.
데이터 복구 및 백업
Distributed Cloud에 연결된 하드웨어에 저장하기로 선택한 모든 데이터의 작동하는 중복 백업을 유지하고 Distributed Cloud에 연결된 하드웨어를 Google 또는 하드웨어를 판매한 Google 파트너 시스템 통합업체 (SI)에 반환하기로 선택한 경우 해당 데이터를 내보낼 책임은 사용자에게 있습니다.
Distributed Cloud 연결 하드웨어에 장애가 발생하고 Google 또는 Google 파트너 SI가 현장 수리를 수행하는 경우 서비스 대상 Distributed Cloud 연결 머신에서 모든 저장 매체가 제거되며 수리 기간 동안 고객의 관리 하에 두거나 안전하게 초기화한 후 폐기를 위해 전송됩니다.
Google 파트너 SI에서 분산 클라우드 하드웨어를 구매했고 더 이상 분산 클라우드를 사용하지 않지만 하드웨어를 보관하고 용도를 변경하기로 한 경우 SI는 폐기 중에 분산 클라우드 하드웨어에서 모든 Google 소프트웨어와 데이터를 삭제합니다.
네트워크 보안
Distributed Cloud 연결 하드웨어와 Google Cloud간의 네트워크 트래픽은 머신별 인증서를 사용하는 MASQUE 터널 또는 TLS를 사용하여 암호화됩니다. Distributed Cloud Connected는 정기적으로 이러한 인증서를 자동으로 순환합니다.
비즈니스 요구사항과 조직의 네트워크 보안 정책에 따라 Distributed Cloud 연결 설치로 들어오고 나가는 네트워크 트래픽을 보호하는 데 필요한 단계가 결정됩니다. 또한 다음을 권장합니다.
Distributed Cloud(연결형) 내장 부하 분산기에서 노출된 가상 IP 주소 풀과 Distributed Cloud 서브넷에 대한 인바운드 연결만 허용합니다.
시스템 관리 및 서비스 관리 계층을 제공하는 서브넷에 대한 외부 네트워크 리소스의 인바운드 연결을 허용하지 않습니다.
외부 네트워크 리소스에서 로컬 컨트롤 플레인 엔드포인트의 IP 주소로의 인바운드 연결을 허용하지 않습니다. 자세한 내용은 생존 가능성 모드를 참고하세요.
분산 클라우드 하드웨어 연결을 위해 로컬 네트워크를 준비하는 방법에 관한 자세한 내용은 네트워킹을 참고하세요.
다중 랙 배포를 위한 MAC 수준 물리적 네트워크 링크 보안
다중 랙 배포의 경우 Distributed Cloud connected는 기본 랙의 집계기 스위치와 독립형 랙의 ToR 스위치 간에 이더넷 프레임 수준에서 레이어 2 미디어 액세스 제어 (MAC) 보안 (L2 MACsec)을 지원합니다.
분산 클라우드 연결은 MACsec를 사용하여 이더넷 기기를 인증하고, 전송된 각 이더넷 프레임의 무결성을 확인하고, 전송된 각 프레임을 암호화합니다.
여기에는 이더넷 트래픽이 흐르도록 허용되기 전에 이더넷 전송 세션에 관련된 모든 기기 간에 확인되는 키 집합을 설정하는 작업이 포함됩니다. 키 계약이 확인되면 전송자는 각 전송된 이더넷 프레임에 보안 태그와 무결성 검사 값을 태그하기 시작하고 수신자는 각 프레임을 수신할 때 이를 확인합니다.
MACsec가 구성된 각 기기는 연결 협회 (CA)에 의해 인증되고 연결되어야 합니다. CA 구성원은 장기 CA 키 (CAK)를 사용하여 네트워크에서 자신을 식별합니다. CAK는 CA 회원이 네트워크에서 다른 CA 회원과 데이터를 교환해야 할 때마다 세션 암호화 키를 생성하는 데 사용됩니다.
Distributed Cloud Connected MACsec 정책
Distributed Cloud connected는 기본 랙 어그리게이터 스위치와 독립형 랙 ToR 스위치 간의 모든 이더넷 링크에 다음 MACsec 정책을 적용합니다. 이러한 정책은 수정하거나 사용 중지할 수 없습니다.
MACsec 구성
암호화 키를 비롯한 모든 Distributed Cloud 연결 MACsec 구성은 Google에서 관리합니다.
MACsec 링크 보안
Distributed Cloud connected는 모든 내부 이더넷 링크에서 암호화되지 않은 패킷을 허용하지 않습니다. MACsec 세션을 성공적으로 협상할 수 없는 경우 영향을 받는 이더넷 링크가 자동으로 다운됩니다.
MACsec 키체인
MACsec 키체인은 특정 이더넷 링크에 필요한 모든 키를 보유하는 키 저장소입니다. 번들 인터페이스용 고유 키체인이 생성됩니다. 각 키체인은 4개의 기본 키와 하나의 대체 키를 보유합니다. 각 기본 키의 유효성은 25% 입니다.
MACsec 대체
Distributed Cloud Connected는 각 내부 이더넷 링크에 대해 4개의 기본 키 외에 MACsec 대체 키를 구성합니다. Distributed Cloud Connected가 기본 키를 사용하여 MACsec 세션을 협상할 수 없는 경우 대체 키를 사용하여 대체 세션을 협상하려고 시도합니다. 대체 키는 만료되지 않습니다.
MACsec 키 순환
Distributed Cloud 연결 집계기 및 ToR 스위치는 이러한 키가 만료되면 기본 MACsec 키를 즉시 순환합니다. 안전한 키 순환을 위해 순환의 각 이전 키와 다음 키의 수명은 5일간 중복됩니다.
MACsec 보안 연결 키
Distributed Cloud connected는 무작위로 생성된 MACsec 보안 연결 키 (SAK)를 사용하여 내부 이더넷 링크로 전송되는 모든 이더넷 프레임을 암호화합니다. Distributed Cloud Connected는 확장 패킷 번호 지정 (XPN)을 사용하여 볼륨 기반 키 재설정을 실행합니다. SAK는 6시간마다 다시 생성됩니다.
Distributed Cloud Connected 랙 링크의 MACsec 상태 확인
다음 명령어를 사용하여 독립형 랙의 기본 랙 어그리게이터 스위치와 ToR 스위치 간 특정 이더넷 링크의 MACsec 상태를 확인합니다.
gcloud edge-cloud networking networks get-status default --location=REGION --zone=us-ZONE_NAME
다음을 바꿉니다.
REGION: 대상Google Cloud 프로젝트가 생성된 Google Cloud 리전입니다.ZONE_NAME: 대상 Distributed Cloud 연결된 영역의 이름입니다.
이 명령어는 다음과 유사한 출력을 반환합니다.
result:
macsecStatusInternalLinks: SECURE
가능한 링크 상태 값은 다음과 같습니다.
SECURE- 타겟 링크에서 MACsec 세션이 작동 중입니다.UNSECURE- 타겟 링크에서 MACsec 세션이 중단되었습니다.