このページでは、Google Distributed Cloud のインストールを保護するためのベスト プラクティスについて説明します。
物理ハードウェアのセキュリティ
お客様は、アクセスを承認済みの担当者に制限するなど、Distributed Cloud 接続ハードウェアの物理的なセキュリティに責任があります。
プラットフォームのセキュリティ
Distributed Cloud 接続ハードウェア プラットフォームには、次のセキュリティ機能があります。
物理的な侵入センサー。不正なユーザーがマシンを物理的に開くと、物理的な侵入が直ちにユーザーと Google に通知されます。
Trusted Platform Module(TPM)。TPM は、Distributed Cloud Connected に保存され、受信および送信されるすべてのデータの暗号鍵を生成して保存する信頼のルートです。
プラットフォーム証明書。プラットフォーム証明書は、製造と TPM ID の暗号的に安全な記録です。この証明書は、Distributed Cloud 接続ハードウェアのサプライ チェーンの完全性の証明として機能します。
ポートのロックダウン。USB や RS-232 コンソール ポートなどのイーサネット ポート以外の外部ポートと内部ポートはすべてファームウェア レベルで無効になっており、サービスでのみ有効になります。
ローカル ストレージのセキュリティ
Distributed Cloud 接続ハードウェアには自己暗号化ディスク(SED)ドライブが搭載されており、Linux Unified Key Setup(LUKS)を使用して、各 Distributed Cloud 接続ノードの論理ボリュームを暗号化します。顧客管理の暗号鍵(CMEK)または Google-owned and managed keysを使用して LUKS ディスク暗号鍵(DEK)をラップできます。
ノードをノードプールに割り当てると、ノードは LUKS DEK を生成し、Google 管理の LUKS パスフレーズ(鍵暗号鍵(KEK)とも呼ばれます)または Cloud KMS を介してユーザーが提供したパスフレーズでラップします。ノードプールの作成時に Cloud KMS を使用するかどうかを選択できます。Distributed Cloud connected は、エンベロープ暗号化モデルを使用して Cloud KMS と統合されます。
Distributed Cloud Connected は、定期的なスケジュールで LUKS と SED のパスフレーズを自動的にローテーションします。
また、Distributed Cloud に接続された各マシンは、コールド スタートごとに次の処理を行います。
Cloud KMS を使用していない場合、マシンは新しい KEK(LUKS パスフレーズ)を生成し、最初から暗号化されたストレージを設定します。
Cloud KMS を使用している場合、マシンは Cloud KMS から KEK を取得し、データを保持する既存の論理ボリュームをロック解除します。
ローカル ストレージの顧客管理の暗号鍵(CMEK)のサポートを構成する
デフォルトでは、Google Distributed Cloud Connected はお客様のコンテンツを保存時に暗号化します。Distributed Cloud Connected は、ユーザーが追加の操作を行うことなく暗号化を処理します。このオプションは、Google のデフォルトの暗号化と呼ばれます。
暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵(CMEK)を、Distributed Cloud connected などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。
CMEK を使用してリソースを設定した後は、Distributed Cloud 接続リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
Distributed Cloud Connected との Cloud KMS 統合を有効にするには、次の操作を行います。
Distributed Cloud Connected で使用する鍵リング、対称鍵、1 つ以上の鍵バージョンを作成します。これらのアーティファクトは、Distributed Cloud 接続インストールと同じ Google Cloud リージョンに作成する必要があります。手順については、鍵を作成するをご覧ください。
Google Cloud プロジェクトの Distributed Cloud 接続サービス アカウントに Cloud KMS CryptoKey の暗号化/復号のロール(
roles/cloudkms.cryptoKeyEncrypterDecrypter)を付与します。この操作は、Distributed Cloud Connected で使用する各鍵バージョンに対して行う必要があります。Distributed Cloud 接続済みインストールを Cloud KMS と統合した後にこのロールを取り消すと、Distributed Cloud 接続済みマシンに保存されているデータにアクセスできなくなります。--local-disk-kms-keyフラグを使用してノードプールを作成し、そのノードプールで使用する鍵バージョンの完全パスを指定します。--control-plane-kms-keyフラグを使用してクラスタを作成し、クラスタのコントロール プレーンを実行するノードで使用する鍵バージョンのフルパスを指定します。必要に応じて、クラスタの作成時に
--offline-reboot-ttlフラグを使用して、クラスタが存続性ノードで実行されている間に再起動されたノードがクラスタに再参加できる時間枠を指定します。このウィンドウを指定しない場合、再起動されたノードは存続モードを終了するまでクラスタに再参加できません。注意: 再起動タイムアウト ウィンドウを指定すると、指定した時間内にストレージ キーを無効にしたり削除したりしても、オフラインになったノードが再起動してクラスタに再参加する可能性があります。
クラスタまたはノードプールを元に戻して Google-owned and Google-managed encryption keyを使用するには、次のいずれかで説明されているように --use-google-managed-key フラグを使用します。
詳細については、Cloud KMS ドキュメントの顧客管理の暗号鍵(CMEK)をご覧ください。
データの復元とバックアップ
お客様は、Distributed Cloud 接続ハードウェアに保存することを選択したすべてのデータの機能する冗長バックアップを維持し、Distributed Cloud 接続ハードウェアを Google またはハードウェアを販売した Google 認定システム インテグレーター(SI)に返却することを選択したときに、そのデータをエクスポートする責任を負います。
Distributed Cloud 接続ハードウェアで障害が発生し、Google または Google 認定 SI がオンサイト修理を行う場合、サービス対象の Distributed Cloud 接続マシンからすべてのストレージ メディアが取り外され、修理期間中はお客様の管理下に置かれるか、安全にワイプされてから破棄されます。
Google 認定の SI から Distributed Cloud ハードウェアを購入し、Distributed Cloud を使用しなくなったが、ハードウェアを保持して再利用することを選択した場合、SI は廃止時に Distributed Cloud ハードウェアからすべての Google ソフトウェアとデータを消去します。
ネットワーク セキュリティ
Distributed Cloud 接続ハードウェアと Google Cloud間のネットワーク トラフィックは、MASQUE トンネルまたはマシンごとの証明書を使用する TLS のいずれかを使用して暗号化されます。Distributed Cloud connected は、定期的なスケジュールでこれらの証明書を自動的にローテーションします。
ビジネス要件と組織のネットワーク セキュリティ ポリシーによって、Distributed Cloud 接続インストールに出入りするネットワーク トラフィックを保護するために必要な手順が規定されます。また、次のことをおすすめします。
Distributed Cloud 接続の組み込みロードバランサによって公開されている仮想 IP アドレスプールと Distributed Cloud サブネットワークへのインバウンド接続のみを許可します。
システム管理レイヤとサービス管理レイヤを提供するサブネットワークへの外部ネットワーク リソースからのインバウンド接続を禁止します。
外部ネットワーク リソースからローカル コントロール プレーン エンドポイントの IP アドレスへのインバウンド接続を禁止します。詳細については、生存モードをご覧ください。
Distributed Cloud ハードウェアを接続するためのローカル ネットワークの準備方法については、ネットワーキングをご覧ください。