本页面介绍了保护 Google Distributed Cloud 安装的最佳实践。
物理硬件安全
您负责 Distributed Cloud connected 硬件的物理安全,例如限制对授权人员的访问。
平台安全
Distributed Cloud connected 硬件平台具有以下安全功能:
物理入侵传感器 。如果有未经授权的一方以物理方式打开机器,您和 Google 会立即收到有关物理入侵的通知。
可信平台模块 (TPM) 。TPM 是信任根,用于为存储在 Distributed Cloud connected 上以及由 Distributed Cloud connected 接收和传输的所有数据生成和存储加密密钥。
平台证书 。平台证书是制造和 TPM 身份的加密安全记录。该证书可作为 Distributed Cloud connected 硬件供应链完整性的证明。
端口锁定 。除以太网端口(例如 USB 和 RS-232 控制台端口)之外的所有外部和内部端口都在固件级别被停用,并且仅在维修时启用。
本地存储安全
Distributed Cloud connected 硬件附带自加密磁盘 (SED) 驱动器,并使用 Linux Unified Key Setup (LUKS) 对每个 Distributed Cloud connected 节点上的逻辑卷进行加密。您可以选择使用 客户管理的加密密钥 (CMEK) 或 Google-owned and managed keys 封装 LUKS 磁盘加密密钥 (DEK)。
当您将节点分配给节点池时,该节点会生成 LUKS DEK,并将其封装在 Google 管理的 LUKS 口令(也称为密钥加密密钥 [KEK])或您通过 Cloud KMS 提供的口令中。您可以在创建节点池时选择是否使用 Cloud KMS。 Distributed Cloud connected 通过使用 信封加密模型与 Cloud KMS 集成。
Distributed Cloud connected 会定期自动轮替 LUKS 和 SED 密码。
此外,每台 Distributed Cloud connected 机器在每次冷启动时都会执行以下操作:
如果您未使用 Cloud KMS,则机器会生成新的 KEK (LUKS 密码),并从头开始设置加密存储。
如果您使用的是 Cloud KMS,则机器会从 Cloud KMS 中提取 KEK,并解锁保存数据的现有逻辑卷。
为本地存储配置对客户管理的加密密钥 (CMEK) 的支持
默认情况下,Google Distributed Cloud connected 会对静态客户内容进行 加密。Distributed Cloud connected 会为您处理加密,而无需您执行任何 其他操作。此选项称为“Google 默认加密” 。
如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Distributed Cloud connected)结合使用。使用 Cloud KMS 密钥时,您可以控制其保护 级别、位置、轮替时间表、使用和访问权限以及加密边界。此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和 管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。
使用 CMEK 设置资源后,访问您的 Distributed Cloud connected 资源的体验与使用 Google 默认加密功能类似。 如需详细了解加密 选项,请参阅客户管理的加密密钥 (CMEK)。
如需启用 Cloud KMS 与 Distributed Cloud connected 的集成,请完成以下步骤:
创建密钥环、对称密钥以及一个或多个密钥版本,以与 Distributed Cloud connected 搭配使用。您必须在与 Distributed Cloud connected 安装相同的 Google Cloud 区域中创建这些工件。如需了解相关说明,请参阅创建密钥。
将 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予项目中的 Distributed Cloud connected 服务账号。 Google Cloud 您必须为要与 Distributed Cloud connected 搭配使用的每个密钥版本执行此操作。如果您在将 Distributed Cloud connected 安装与 Cloud KMS 集成后撤消此角色,您将无法访问存储在 Distributed Cloud connected 机器上的数据 。使用
--local-disk-kms-key标志创建节点池,并提供要与该节点池搭配使用的密钥版本的完整路径。使用
--control-plane-kms-key标志创建集群,并提供要与运行集群控制平面的节点搭配使用的密钥版本的完整路径。(可选)在创建集群时使用
--offline-reboot-ttl标志指定一个时间窗口,在此期间,已重启的节点可以在集群以可恢复节点模式运行时重新加入集群。如果您未指定此窗口,则重启的节点将无法重新加入集群,直到集群退出可恢复模式。注意:如果您指定了重启超时窗口,则即使您停用或删除存储密钥,离线节点也可以在指定的时间内重启并重新加入集群。
如需将集群或节点池恢复为使用 Google-owned and Google-managed encryption key,请使用
--use-google-managed-key标志,如以下其中一项所述:
如需了解详情,请参阅 Cloud KMS 文档中的 客户管理的加密密钥 (CMEK)。
Symcloud Storage 安全
Symcloud Storage 会自动加密数据,如下所示:
- 静态存储在 Symcloud Storage 卷中时
- 在 Symcloud Storage 节点之间传输时
数据恢复和备份
您负责维护您选择存储在 Distributed Cloud connected 硬件上的所有数据的冗余备份,并在您选择将 Distributed Cloud connected 硬件退回给 Google 或向您销售硬件的 Google 认证系统集成商 (SI) 时导出这些数据。
如果 Distributed Cloud connected 硬件发生故障,并且 Google 或 Google 认证 SI 执行现场维修,则所有存储介质都将从正在维修的 Distributed Cloud connected 机器中移除,并在维修期间由您保管,或者安全擦除,然后送去销毁。
如果您从 Google 认证 SI 处购买了 Distributed Cloud 硬件,并且不再使用 Distributed Cloud,但选择保留并重新利用该硬件,则 SI 将在停用期间从 Distributed Cloud 硬件中擦除所有 Google 软件和您的数据。
网络安全
Distributed Cloud connected 硬件与 Google Cloud 之间的网络流量使用 MASQUE 隧道或使用每台机器证书的 TLS 进行加密。 Distributed Cloud connected 会定期自动轮替这些证书。
您的业务需求和组织的网络安全政策决定了保护流入和流出 Distributed Cloud connected 安装的网络流量所需的步骤。此外,我们还建议您执行以下操作:
仅允许入站连接到 Distributed Cloud connected 内置负载均衡器公开的虚拟 IP 地址池和 Distributed Cloud 子网。
禁止从外部网络资源到本地控制平面端点的 IP 地址的入站连接。如需了解详情,请参阅 可恢复模式。
如需详细了解如何准备本地网络以连接 Distributed Cloud 硬件,请参阅 网络。