Prácticas recomendadas de seguridad

En esta página, se describen las prácticas recomendadas para proteger tu instalación de Google Distributed Cloud.

Seguridad física del hardware

Eres responsable de la seguridad física del hardware conectado de Distributed Cloud, como limitar el acceso al personal autorizado.

El factor de forma de la unidad de seguimiento conectada de Distributed Cloud tiene las siguientes características de seguridad:

  • Solo se puede acceder al hardware instalado en el rack a través de las puertas delantera y trasera del rack.
  • El soporte no se puede desarmar con facilidad. No hay elementos de fijación estructurales accesibles desde el exterior, como tornillos, tuercas, pestillos o remaches.
  • Las puertas del rack están equipadas con cerraduras con llave. Google te proporciona una copia de la llave y conserva otra para su resguardo.
  • En el caso de las instalaciones con varios bastidores, todas las cerraduras tienen la misma llave.
  • Las puertas del rack tienen una malla de metal perforada a prueba de manipulaciones para la ventilación.
  • Durante la instalación, el soporte se atornilla de forma segura al piso del sitio de instalación con sus soportes y abrazaderas de envío.

El factor de forma del servidor conectado de Distributed Cloud tiene las siguientes funciones de seguridad:

  • Un sensor de intrusión Si un tercero no autorizado abre físicamente la máquina, tú y Google recibirán una notificación inmediata sobre la intrusión física.

Si tienes más preguntas sobre la seguridad del rack físico, comunícate con tu Google Cloud representante de ventas.

Seguridad de la plataforma

La plataforma de hardware conectado a Distributed Cloud tiene las siguientes características de seguridad:

  • Módulo de plataforma de confianza (TPM). El TPM es la raíz de confianza que genera y almacena claves de encriptación para todos los datos almacenados en Distributed Cloud Connected, así como los que recibe y transmite.

  • Certificado de la plataforma El certificado de la plataforma es un registro criptográficamente seguro de la identidad del TPM y de la fabricación. El certificado actúa como prueba de la integridad de la cadena de suministro para el hardware conectado de Distributed Cloud.

  • Bloqueo de puertos. Todos los puertos externos e internos, excepto los puertos Ethernet, como los puertos de consola USB y RS-232, están inhabilitados a nivel del firmware y solo se habilitan para el mantenimiento.

Seguridad del almacenamiento local

El hardware conectado de Distributed Cloud se envía con los siguientes tipos de almacenamiento interno, según el factor de forma:

  • Los racks de Distributed Cloud connected se envían con unidades de disco de estado sólido (SSD).
  • Los servidores de Distributed Cloud connected se envían con unidades de disco autoencriptadas (SED).

Distributed Cloud Connected usa Linux Unified Key Setup (LUKS) para encriptar los volúmenes lógicos en cada nodo de Distributed Cloud Connected. Tienes la opción de usar claves de encriptación administradas por el cliente (CMEK) oGoogle-owned and managed keys para unir la clave de encriptación de disco (DEK) de LUKS. Cuando asignas un nodo a un grupo de nodos, el nodo genera una DEK de LUKS y la une con una frase de contraseña de LUKS administrada por Google, también conocida como clave de encriptación de claves (KEK), o con una que tú proporciones a través de Cloud KMS. Puedes elegir si deseas usar Cloud KMS cuando crees un grupo de nodos. Distributed Cloud Connected se integra en Cloud KMS a través del modelo de encriptación de sobres.

Distributed Cloud Connected rota automáticamente las contraseñas de LUKS y SED según un programa regular.

Además, cada máquina conectada de Distributed Cloud hace lo siguiente en cada inicio en frío:

  • Si no usas Cloud KMS, la máquina genera una nueva KEK (contraseña de LUKS) y configura el almacenamiento encriptado desde el principio.

  • Si usas Cloud KMS, la máquina recupera la KEK de Cloud KMS y desbloquea los volúmenes lógicos existentes que contienen tus datos.

Configura la compatibilidad con las claves de encriptación administradas por el cliente (CMEK) para el almacenamiento local

De forma predeterminada, Google Distributed Cloud Connected, versión 1.8.0, encripta el contenido del cliente en reposo. Distributed Cloud Connected controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Distributed Cloud Connected. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos conectados de Distributed Cloud es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Para habilitar la integración de Cloud KMS con Distributed Cloud Connected, completa los siguientes pasos:

  1. Crea un llavero, una clave simétrica y una o más versiones de clave para usar con Distributed Cloud Connected. Debes crear estos artefactos en la misma Google Cloud región que tu instalación conectada de Distributed Cloud. Para obtener instrucciones, consulta Crea una clave.

  2. Otorga el rol de encriptador/desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio conectada de Distributed Cloud en tu proyecto deGoogle Cloud . Debes hacerlo para cada versión de clave que quieras usar con Distributed Cloud Connected. Si revocas este rol después de integrar tu instalación conectada de Distributed Cloud con Cloud KMS, perderás el acceso a los datos almacenados en las máquinas conectadas de Distributed Cloud.

  3. Crea un grupo de nodos con la marca --local-disk-kms-key y proporciona la ruta de acceso completa a la versión de clave que deseas usar con ese grupo de nodos.

  4. Crea un clúster con la marca --control-plane-kms-key y proporciona la ruta de acceso completa a la versión de la clave que deseas usar con el nodo que ejecuta el plano de control del clúster.

  5. De manera opcional, usa la marca --offline-reboot-ttl cuando crees tu clúster para especificar un período durante el cual los nodos que se reiniciaron pueden volver a unirse al clúster mientras este se ejecuta en el nodo de capacidad de supervivencia. Si no especificas este período, los nodos reiniciados no podrán volver a unirse al clúster hasta que este salga del modo de supervivencia.

    PRECAUCIÓN: Si especificas un período de espera de reinicio, los nodos que se desconectaron pueden reiniciarse y volver a unirse al clúster, incluso si inhabilitas o borras la clave de almacenamiento durante el período especificado.

Para revertir un clúster o un grupo de nodos para que use un Google-owned and Google-managed encryption key, usa la marca --use-google-managed-key como se describe en uno de los siguientes ejemplos:

Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS.

Recuperación y copias de seguridad de datos

Eres responsable de mantener copias de seguridad redundantes y funcionales de todos los datos que decidas almacenar en el hardware conectado de Distributed Cloud, y de exportar esos datos cuando decidas devolver el hardware conectado de Distributed Cloud a Google o al integrador de sistemas (SI) certificado por Google que te vendió el hardware.

Si se produce una falla en el hardware de Distributed Cloud conectado y Google o un SI certificado por Google realizan reparaciones en el sitio, se quitan todos los medios de almacenamiento de la máquina de Distributed Cloud conectada que se está reparando y se colocan bajo tu custodia durante la reparación o se borran de forma segura y, luego, se envían para su destrucción.

Si compraste el hardware de Distributed Cloud a un SI certificado por Google y ya no usas Distributed Cloud, pero decidiste conservar y reutilizar el hardware, el SI borrará todo el software de Google y tus datos del hardware de Distributed Cloud durante la baja.

Seguridad de red

El tráfico de red entre el hardware conectado de Distributed Cloud y Google Cloudse encripta con túneles MASQUE o TLS que usan certificados por máquina. Distributed Cloud Connected rota automáticamente estos certificados según un programa regular.

Los requisitos de tu empresa y la política de seguridad de red de tu organización dictan los pasos necesarios para proteger el tráfico de red que entra y sale de tu instalación conectada de Distributed Cloud. Además, te recomendamos lo siguiente:

  • Permite solo las conexiones entrantes a los grupos de direcciones IP virtuales expuestos por el balanceador de cargas integrado de Distributed Cloud connected y a las subredes de Distributed Cloud.

  • No permitir conexiones entrantes desde recursos de red externos a subredes que atienden las capas de administración del sistema y administración de servicios

  • No permitir conexiones entrantes desde recursos de redes externas a direcciones IP de extremos del plano de control local Para obtener más información, consulta Modo de supervivencia.

Para obtener más información sobre cómo preparar tu red local para conectar el hardware de Distributed Cloud, consulta Herramientas de redes.

En el caso de las implementaciones de varios racks, Distributed Cloud Connected admite la seguridad de control de acceso a medios (MAC) de capa 2 (MACsec de L2) a nivel de la trama Ethernet entre los conmutadores agregadores de tu rack base y los conmutadores ToR de tus racks independientes.

Debes solicitar esta función cuando pidas tu hardware conectado a Distributed Cloud. No se puede habilitar después de que se implemente Distributed Cloud connected en tus instalaciones.

Distributed Cloud Connected usa MACsec para autenticar dispositivos Ethernet, verificar la integridad de cada trama Ethernet transmitida y encriptar cada trama transmitida.

Esto implica establecer un conjunto de claves que se verifican entre todos los dispositivos involucrados en una sesión de transporte Ethernet antes de que se permita el flujo de tráfico Ethernet. Una vez que se verifica el acuerdo de clave, el remitente comienza a etiquetar cada trama Ethernet transmitida con etiquetas de seguridad y valores de verificación de integridad que el receptor verifica al recibir cada trama.

Cada dispositivo configurado con MACsec debe autenticarse y asociarse con una asociación de conectividad (CA). Los miembros de la CA usan claves de CA (CAK) de larga duración para identificarse en la red. La CAK se usa para generar claves de encriptación de sesión cada vez que un miembro de la CA necesita intercambiar datos con otro miembro de la CA en la red.

Políticas de MACsec de Distributed Cloud connected

Distributed Cloud Connected aplica las siguientes políticas de MACsec en todos los vínculos Ethernet entre los conmutadores agregadores de rack base y los conmutadores ToR de rack independientes. Estas políticas no se pueden modificar ni inhabilitar.

Configuración de MACsec

Google administra toda la configuración de MACsec conectada a Distributed Cloud, incluidas las claves de encriptación.

Distributed Cloud Connected no permite paquetes sin encriptar en todas las vinculaciones internas de Ethernet. Si no se puede negociar correctamente una sesión de MACsec, el vínculo Ethernet afectado se desconecta automáticamente.

Llavero de MACsec

Un llavero de claves MACsec es el almacén de claves que contiene todas las claves necesarias para un vínculo Ethernet específico. Se crea un llavero único para una interfaz de paquete. Cada llavero contiene 4 claves principales y una clave de resguardo. Cada clave primaria tiene un 25% de validez.

Resguardo de MACsec

Distributed Cloud Connected configura una clave de respaldo de MACsec además de 4 claves principales para cada vínculo Ethernet interno. Si Distributed Cloud Connected no puede negociar una sesión de MACsec con las claves principales, intenta negociar una sesión de respaldo con la clave de respaldo. La clave de resguardo no vence.

Rotación de claves MACsec

Los conmutadores de Distributed Cloud conectados al agregador y al ToR rotan sus claves principales de MACsec inmediatamente cuando vencen. Para garantizar una rotación de claves segura, cada clave anterior y siguiente en la rotación tiene una superposición de vida útil de 5 días.

Clave de asociación segura de MACsec

Distributed Cloud Connected usa una clave de asociación segura (SAK) de MACsec generada de forma aleatoria para encriptar todos los tramas de Ethernet que se transfieren a través de vínculos internos de Ethernet. Distributed Cloud Connected realiza un nuevo proceso de clave basado en el volumen con la numeración de paquetes extendida (XPN). La SAK se vuelve a generar cada 6 horas.

Usa el siguiente comando para verificar el estado de MACsec de un vínculo Ethernet específico entre un conmutador agregador de rack base y un conmutador ToR en un rack independiente:

gcloud edge-cloud networking networks get-status default --location=REGION --zone=us-ZONE_NAME

Reemplaza lo siguiente:

  • REGION: Es la región de Google Cloud en la que se creó el proyectoGoogle Cloud de destino.
  • ZONE_NAME: Es el nombre de la zona conectada de Distributed Cloud de destino.

El comando muestra un resultado similar al siguiente:

result:
  macsecStatusInternalLinks: SECURE

Los posibles valores de estado del vínculo son los siguientes:

  • SECURE: La sesión de MACsec está activa en el vínculo de destino.
  • UNSECURE: La sesión de MACsec está inactiva en el vínculo de destino.

¿Qué sigue?