Cette page décrit les bonnes pratiques pour sécuriser votre installation Google Distributed Cloud.
Sécurité physique du matériel
Vous êtes responsable de la sécurité physique du matériel connecté au Distributed Cloud, par exemple en limitant l'accès au personnel autorisé.
Le facteur de forme du traceur connecté Distributed Cloud présente les fonctionnalités de sécurité suivantes :
- L'accès au matériel installé dans le rack n'est possible que par les portes avant et arrière du rack.
- Le rack ne peut pas être démonté facilement. Il n'y a pas de fixations structurelles accessibles de l'extérieur, telles que des vis, des écrous, des loquets ou des rivets.
- Les portes des racks sont équipées de serrures à clé. Google vous fournit une copie de la clé et en conserve une autre pour la stocker en lieu sûr.
- Pour les installations multiracks, toutes les serrures sont identiques.
- Les portes du rack sont dotées d'une grille métallique perforée et inviolable pour la ventilation.
- Lors de l'installation, le rack est solidement boulonné au sol du site d'installation à l'aide de ses équerres et supports d'expédition.
Le facteur de forme du serveur connecté Distributed Cloud présente les fonctionnalités de sécurité suivantes :
- Un capteur d'intrusion. Si une personne non autorisée ouvre physiquement la machine, vous et Google êtes immédiatement informés de l'intrusion physique.
Si vous avez d'autres questions sur la sécurité du rack physique, contactez votre représentant commercial Google Cloud .
Sécurité de la plate-forme
La plate-forme matérielle connectée Distributed Cloud présente les fonctionnalités de sécurité suivantes :
Trusted Platform Module (TPM) : Le TPM est la racine de confiance qui génère et stocke les clés de chiffrement pour toutes les données stockées, reçues et transmises par Distributed Cloud Connected.
Certificat de plate-forme Le certificat de plate-forme est un enregistrement cryptographiquement sécurisé de l'identité du TPM et du fabricant. Le certificat sert de preuve de l'intégrité de la chaîne d'approvisionnement pour le matériel Distributed Cloud connecté.
Verrouillage des ports. Tous les ports externes et internes autres que les ports Ethernet, tels que les ports de console USB et RS-232, sont désactivés au niveau du micrologiciel et ne sont activés que pour la maintenance.
Sécurité du stockage local
Le matériel connecté Distributed Cloud est fourni avec les types de stockage interne suivants, en fonction du facteur de forme :
- Les racks Distributed Cloud connectés sont fournis avec des disques SSD (Solid State Disk).
- Les serveurs Distributed Cloud connecté sont fournis avec des disques auto-chiffrants (SED).
Distributed Cloud connected utilise Linux Unified Key Setup (LUKS) pour chiffrer les volumes logiques sur chaque nœud Distributed Cloud connected. Vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) ouGoogle-owned and managed keys pour encapsuler la clé de chiffrement de disque LUKS (DEK). Lorsque vous attribuez un nœud à un pool de nœuds, le nœud génère une DEK LUKS et l'encapsule dans une phrase secrète LUKS gérée par Google, également appelée clé de chiffrement de clé (KEK), ou dans une phrase secrète que vous fournissez via Cloud KMS. Vous pouvez choisir d'utiliser Cloud KMS ou non lorsque vous créez un pool de nœuds. Distributed Cloud Connected s'intègre à Cloud KMS en utilisant le modèle de chiffrement d'enveloppe.
Distributed Cloud connecté effectue automatiquement une rotation des expressions secrètes LUKS et SED à intervalles réguliers.
De plus, chaque machine Distributed Cloud connectée effectue les opérations suivantes à chaque démarrage à froid :
Si vous n'utilisez pas Cloud KMS, la machine génère une nouvelle KEK (phrase secrète LUKS) et configure le stockage chiffré dès le début.
Si vous utilisez Cloud KMS, la machine récupère la KEK depuis Cloud KMS et déverrouille les volumes logiques existants qui contiennent vos données.
Configurer la compatibilité avec les clés de chiffrement gérées par le client (CMEK) pour le stockage local
Par défaut, Google Distributed Cloud connected, version 1.8.0 chiffre le contenu client au repos. Distributed Cloud Connected gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Distributed Cloud connecté. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources connectées Distributed Cloud est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Pour activer l'intégration de Cloud KMS à Distributed Cloud Connected, procédez comme suit :
Créez un trousseau de clés, une clé symétrique et une ou plusieurs versions de clé à utiliser avec Distributed Cloud Connected. Vous devez créer ces artefacts dans la même région Google Cloud que votre installation Distributed Cloud connectée. Pour obtenir des instructions, consultez Créer une clé.
Accordez le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Distributed Cloud connecté dans votre projetGoogle Cloud . Vous devez effectuer cette opération pour chaque version de clé que vous souhaitez utiliser avec Distributed Cloud connecté. Si vous révoquez ce rôle après avoir intégré votre installation Distributed Cloud connectée à Cloud KMS, vous perdrez l'accès aux données stockées sur les machines Distributed Cloud connectées.Créez un pool de nœuds à l'aide de l'option
--local-disk-kms-keyet indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec ce pool de nœuds.Créez un cluster à l'aide de l'option
--control-plane-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec le nœud exécutant le plan de contrôle du cluster.Vous pouvez également utiliser l'option
--offline-reboot-ttllors de la création de votre cluster pour spécifier une période pendant laquelle les nœuds redémarrés peuvent rejoindre le cluster pendant que celui-ci s'exécute en mode de survie des nœuds. Si vous ne spécifiez pas cette fenêtre, les nœuds redémarrés ne peuvent pas rejoindre le cluster tant qu'il n'est pas sorti du mode de survie.ATTENTION : Si vous spécifiez une période de délai avant redémarrage, les nœuds hors connexion peuvent redémarrer et rejoindre le cluster même si vous désactivez ou supprimez la clé de stockage pendant la période spécifiée.
Pour rétablir l'utilisation d'un Google-owned and Google-managed encryption keydans un cluster ou un pool de nœuds, utilisez l'option --use-google-managed-key comme décrit dans l'une des sections suivantes :
Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) dans la documentation Cloud KMS.
Récupération de données et sauvegardes
Il vous incombe de maintenir des sauvegardes redondantes fonctionnelles de toutes les données que vous choisissez de stocker sur le matériel connecté Distributed Cloud et d'exporter ces données lorsque vous choisissez de renvoyer le matériel connecté Distributed Cloud à Google ou à l'intégrateur système (IS) certifié Google qui vous a vendu le matériel.
En cas de défaillance du matériel connecté Distributed Cloud et si Google ou un intégrateur système certifié Google effectue des réparations sur site, tous les supports de stockage sont retirés de la machine connectée Distributed Cloud en cours de réparation et sont soit placés sous votre responsabilité pendant la durée de la réparation, soit effacés de manière sécurisée, puis envoyés pour destruction.
Si vous avez acheté le matériel Distributed Cloud auprès d'un intégrateur de systèmes certifié par Google et que vous n'utilisez plus Distributed Cloud, mais que vous avez choisi de conserver et de réutiliser le matériel, l'intégrateur de systèmes effacera tous les logiciels Google et vos données du matériel Distributed Cloud lors de la mise hors service.
Sécurité du réseau
Le trafic réseau entre le matériel connecté Distributed Cloud et Google Cloudest chiffré à l'aide de tunnels MASQUE ou de TLS utilisant des certificats par machine. Distributed Cloud Connected procède automatiquement à la rotation de ces certificats à intervalles réguliers.
Vos exigences commerciales et la règle de sécurité réseau de votre organisation déterminent les étapes nécessaires pour sécuriser le trafic réseau entrant et sortant de votre installation connectée Distributed Cloud. Nous vous recommandons également les points suivants :
Autorisez uniquement les connexions entrantes aux pools d'adresses IP virtuelles exposés par l'équilibreur de charge intégré Distributed Cloud Connected et aux sous-réseaux Distributed Cloud.
Interdire les connexions entrantes depuis des ressources réseau externes vers les sous-réseaux qui desservent les couches de gestion du système et de gestion des services.
Interdire les connexions entrantes depuis des ressources réseau externes vers les adresses IP des points de terminaison du plan de contrôle local. Pour en savoir plus, consultez Mode de survie.
Pour savoir comment préparer votre réseau local à la connexion du matériel Distributed Cloud, consultez Mise en réseau.
Sécurité des liens réseau physiques au niveau MAC pour les déploiements multiracks
Pour les déploiements multiracks, Distributed Cloud Connected est compatible avec la sécurité Media Access Control (MAC) de couche 2 (L2 MACsec) au niveau des trames Ethernet entre les commutateurs d'agrégation de votre rack de base et les commutateurs ToR de vos racks autonomes.
Vous devez demander cette fonctionnalité lorsque vous commandez votre matériel Distributed Cloud connecté. Vous ne pourrez pas l'activer une fois que Distributed Cloud Connected aura été déployé sur site.
Distributed Cloud Connected utilise MACsec pour authentifier les appareils Ethernet, vérifier l'intégrité de chaque trame Ethernet transmise et chiffrer chaque trame transmise.
Cela implique d'établir un ensemble de clés qui sont vérifiées entre tous les appareils impliqués dans une session de transport Ethernet avant que le trafic Ethernet ne soit autorisé à circuler. Une fois l'accord de clé vérifié, l'expéditeur commence à taguer chaque trame Ethernet transmise avec des tags de sécurité et des valeurs de vérification de l'intégrité que le destinataire vérifie à la réception de chaque trame.
Chaque appareil configuré avec MACsec doit être authentifié par une association de connectivité (CA) et y être associé. Les membres de l'AC utilisent des clés d'AC longue durée (CAK) pour s'identifier sur le réseau. La CAK est utilisée pour générer des clés de chiffrement de session chaque fois qu'un membre de l'AC doit échanger des données avec un autre membre de l'AC sur le réseau.
Règles MACsec pour Distributed Cloud connecté
Distributed Cloud connected applique les règles MACsec suivantes à toutes les liaisons Ethernet entre les agrégateurs de racks de base et les commutateurs ToR de racks autonomes. Ces règles ne peuvent pas être modifiées ni désactivées.
Configuration MACsec
Toute la configuration MACsec connectée à Distributed Cloud, y compris les clés de chiffrement, est gérée par Google.
Sécurité des liaisons MACsec
Distributed Cloud connecté n'autorise pas les paquets non chiffrés sur toutes les liaisons Ethernet internes. Si une session MACsec ne peut pas être négociée, la liaison Ethernet concernée est automatiquement interrompue.
Trousseau MACsec
Un trousseau de clés MACsec est le magasin de clés contenant toutes les clés requises pour une liaison Ethernet spécifique. Un trousseau de clés unique est créé pour une interface de bundle. Chaque trousseau de clés contient quatre clés principales et une clé de secours. Chaque clé primaire a une validité de 25 %.
Remplacement MACsec
Distributed Cloud Connected configure une clé de secours MACsec en plus de quatre clés principales pour chaque lien Ethernet interne. Si Distributed Cloud Connected ne parvient pas à négocier une session MACsec à l'aide des clés primaires, il tente de négocier une session de secours à l'aide de la clé de secours. La clé de secours n'expire pas.
Rotation des clés MACsec
L'agrégateur connecté Distributed Cloud et les commutateurs ToR font pivoter leurs clés MACsec principales immédiatement à leur expiration. Pour garantir une rotation des clés sécurisée, chaque clé précédente et suivante en rotation se chevauche pendant cinq jours.
Clé d'association sécurisée MACsec
Distributed Cloud Connected utilise une clé d'association sécurisée MACsec (SAK) générée de manière aléatoire pour chiffrer toutes les trames Ethernet transportées par les liaisons Ethernet internes. Distributed Cloud connected effectue un re-cléage basé sur le volume à l'aide de la numérotation étendue des paquets (XPN). La clé SAK est régénérée toutes les six heures.
Vérifier l'état MACsec d'un lien de rack Google Distributed Cloud connecté
Exécutez la commande suivante pour vérifier l'état MACsec d'une liaison Ethernet spécifique entre un commutateur agrégateur de rack de base et un commutateur ToR dans un rack autonome :
gcloud edge-cloud networking networks get-status default --location=REGION --zone=us-ZONE_NAME
Remplacez les éléments suivants :
REGION: région Google Cloud dans laquelle le projetGoogle Cloud cible a été créé.ZONE_NAME: nom de la zone connectée Distributed Cloud cible.
La commande renvoie un résultat semblable à celui-ci :
result:
macsecStatusInternalLinks: SECURE
Voici les valeurs d'état possibles pour un lien :
SECURE: la session MACsec est active sur le lien cible.UNSECURE: la session MACsec est inactive sur le lien cible.