本页面介绍了保护 Google Distributed Cloud 安装的最佳实践。
实体硬件安全
您负责分布式云连接硬件的物理安全,例如限制只有授权人员才能访问。
平台安全
Distributed Cloud 连接的硬件平台具有以下安全功能:
物理入侵传感器。如果有未经授权的方在实体上打开机器,您和 Google 会立即收到实体入侵通知。
可信平台模块 (TPM)。TPM 是信任根,用于为存储在 Distributed Cloud Connected 上以及由其接收和传输的所有数据生成和存储加密密钥。
平台证书。平台证书是制造和 TPM 身份的加密安全记录。该证书可作为 Distributed Cloud connected 硬件供应链完整性的证明。
端口锁定。除以太网端口之外的所有外部和内部端口(例如 USB 和 RS-232 控制台端口)均在固件级别停用,仅在维修时启用。
本地存储空间安全性
Distributed Cloud 连接的硬件随附自加密磁盘 (SED) 驱动器,并使用 Linux Unified Key Setup (LUKS) 加密每个 Distributed Cloud 连接的节点上的逻辑卷。您可以选择使用客户管理的加密密钥 (CMEK) 或 Google-owned and managed keys来封装 LUKS 磁盘加密密钥 (DEK)。
将节点分配给节点池时,节点会生成 LUKS DEK,并使用 Google 管理的 LUKS 密码(也称为密钥加密密钥 [KEK])或您通过 Cloud KMS 提供的密码来封装该 DEK。您可以在创建节点池时选择是否使用 Cloud KMS。 Distributed Cloud Connected 通过使用信封加密模型与 Cloud KMS 集成。
Distributed Cloud Connected 会定期自动轮替 LUKS 和 SED 密码。
此外,每个 Distributed Cloud 连接的机器在每次冷启动时都会执行以下操作:
如果您未使用 Cloud KMS,机器会生成新的 KEK (LUKS 密码),并从一开始就设置加密存储。
如果您使用的是 Cloud KMS,机器会从 Cloud KMS 中提取 KEK,并解锁包含数据的现有逻辑卷。
为本地存储配置对客户管理的加密密钥 (CMEK) 的支持
默认情况下,Google Distributed Cloud Connected 会对静态客户内容进行加密。Distributed Cloud connected 会为您处理加密,您无需执行任何其他操作。此选项称为“Google 默认加密”。
如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Distributed Cloud Connected)搭配使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。
使用 CMEK 设置资源后,访问 Distributed Cloud 连接资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)。
如需启用 Cloud KMS 与 Distributed Cloud Connected 的集成,请完成以下步骤:
创建密钥环、对称密钥和一个或多个密钥版本,以用于 Distributed Cloud Connected。您必须在与 Distributed Cloud Connected 安装相同的 Google Cloud 区域中创建这些制品。如需了解相关说明,请参阅创建密钥。
向Google Cloud 项目中的 Distributed Cloud Connected 服务账号授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter)。您必须针对要与 Distributed Cloud connected 搭配使用的每个密钥版本执行此操作。如果您在将 Distributed Cloud 连接的安装与 Cloud KMS 集成后撤消此角色,您将无法访问存储在 Distributed Cloud 连接的机器上的数据。使用
--local-disk-kms-key标志创建节点池,并提供您要用于该节点池的密钥版本的完整路径。使用
--control-plane-kms-key标志创建集群,并提供要用于运行集群控制平面的节点的密钥版本的完整路径。(可选)在创建集群时使用
--offline-reboot-ttl标志指定一个时间窗口,在此期间,已重新启动的节点可以在集群以可存活节点模式运行时重新加入集群。如果您未指定此窗口,则重新启动的节点在退出可存活模式之前无法重新加入集群。注意:如果您指定了重启超时时限,即使您在指定时间内停用或删除存储密钥,离线节点也可以重启并重新加入集群。
如需将集群或节点池恢复为使用 Google-owned and Google-managed encryption key,请使用 --use-google-managed-key 标志,如以下任一说明中所述:
如需了解详情,请参阅 Cloud KMS 文档中的客户管理的加密密钥 (CMEK)。
数据恢复和备份
您有责任维护您选择存储在分布式云连接硬件上的所有数据的冗余备份,并在您选择将分布式云连接硬件退回给 Google 或向您出售该硬件的 Google 认证系统集成商 (SI) 时导出这些数据。
如果 Distributed Cloud connected 硬件发生故障,并且 Google 或 Google 认证的 SI 执行现场维修,则会从正在维修的 Distributed Cloud connected 机器中移除所有存储介质,并在维修期间将其置于您的保管之下,或者安全地擦除这些介质,然后将其送去销毁。
如果您从经过 Google 认证的 SI 购买了 Distributed Cloud 硬件,并且不再使用 Distributed Cloud,但选择保留并重新利用该硬件,则 SI 会在停用期间从 Distributed Cloud 硬件中清除所有 Google 软件和您的数据。
网络安全
分布式云连接的硬件与 Google Cloud之间的网络流量使用 MASQUE 隧道或使用每台机器证书的 TLS 进行加密。Distributed Cloud Connected 会定期自动轮替这些证书。
您的业务需求和组织的网络安全政策决定了保护进出 Distributed Cloud 连接安装的网络流量所需的步骤。此外,我们还建议您执行以下操作:
仅允许入站连接到 Distributed Cloud connected 内置负载均衡器公开的虚拟 IP 地址池和 Distributed Cloud 子网。
禁止从外部网络资源到本地控制平面端点的 IP 地址的入站连接。如需了解详情,请参阅可维护性模式。
如需详细了解如何准备本地网络以连接 Distributed Cloud 硬件,请参阅网络。