En esta página, se describen las prácticas recomendadas para proteger tu instalación de Google Distributed Cloud.
Seguridad física del hardware
Eres responsable de la seguridad física del hardware conectado de Distributed Cloud, como limitar el acceso al personal autorizado.
Seguridad de la plataforma
La plataforma de hardware conectado a Distributed Cloud tiene las siguientes características de seguridad:
Sensor de intrusión física. Si un tercero no autorizado abre físicamente la máquina, tú y Google recibirán una notificación inmediata sobre la intrusión física.
Módulo de plataforma de confianza (TPM). El TPM es la raíz de confianza que genera y almacena claves de encriptación para todos los datos almacenados en Distributed Cloud Connected, así como los que recibe y transmite.
Certificado de la plataforma El certificado de la plataforma es un registro criptográficamente seguro de la identidad del TPM y de la fabricación. El certificado actúa como prueba de la integridad de la cadena de suministro para el hardware conectado de Distributed Cloud.
Bloqueo de puertos. Todos los puertos externos e internos, excepto los puertos Ethernet, como los puertos de consola USB y RS-232, están inhabilitados a nivel del firmware y solo se habilitan para el mantenimiento.
Seguridad del almacenamiento local
El hardware conectado de Distributed Cloud se envía con unidades de disco autoencriptadas (SED) y usa Linux Unified Key Setup (LUKS) para encriptar los volúmenes lógicos en cada nodo conectado de Distributed Cloud. Tienes la opción de usar claves de encriptación administradas por el cliente (CMEK) o Google-owned and managed keyspara unir la clave de encriptación de disco (DEK) de LUKS.
Cuando asignas un nodo a un grupo de nodos, el nodo genera una DEK de LUKS y la une a una frase de contraseña de LUKS administrada por Google, también conocida como clave de encriptación de claves (KEK), o a una que proporcionaste a través de Cloud KMS. Puedes elegir si deseas usar Cloud KMS cuando crees un grupo de nodos. Distributed Cloud Connected se integra en Cloud KMS a través del modelo de encriptación de sobres.
Distributed Cloud Connected rota automáticamente las contraseñas de LUKS y SED según un programa regular.
Además, cada máquina conectada de Distributed Cloud hace lo siguiente en cada inicio en frío:
Si no usas Cloud KMS, la máquina genera una nueva KEK (contraseña de LUKS) y configura el almacenamiento encriptado desde el principio.
Si usas Cloud KMS, la máquina recupera la KEK de Cloud KMS y desbloquea los volúmenes lógicos existentes que contienen tus datos.
Configura la compatibilidad con las claves de encriptación administradas por el cliente (CMEK) para el almacenamiento local
De forma predeterminada, Google Distributed Cloud connected encripta el contenido del cliente en reposo. Distributed Cloud Connected controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Distributed Cloud Connected. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos conectados de Distributed Cloud es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Para habilitar la integración de Cloud KMS con Distributed Cloud Connected, completa los siguientes pasos:
Crea un llavero, una clave simétrica y una o más versiones de clave para usar con Distributed Cloud Connected. Debes crear estos artefactos en la misma Google Cloud región que tu instalación conectada de Distributed Cloud. Para obtener instrucciones, consulta Crea una clave.
Otorga el rol de encriptador/desencriptador de CryptoKey de Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio conectada de Distributed Cloud en tu proyecto deGoogle Cloud . Debes hacerlo para cada versión de clave que quieras usar con Distributed Cloud Connected. Si revocas este rol después de integrar tu instalación conectada de Distributed Cloud con Cloud KMS, perderás el acceso a los datos almacenados en las máquinas conectadas de Distributed Cloud.Crea un grupo de nodos con la marca
--local-disk-kms-keyy proporciona la ruta de acceso completa a la versión de clave que deseas usar con ese grupo de nodos.Crea un clúster con la marca
--control-plane-kms-keyy proporciona la ruta de acceso completa a la versión de la clave que deseas usar con el nodo que ejecuta el plano de control del clúster.De manera opcional, usa la marca
--offline-reboot-ttlcuando crees tu clúster para especificar un período durante el cual los nodos que se reiniciaron pueden volver a unirse al clúster mientras este se ejecuta en el nodo de capacidad de supervivencia. Si no especificas este período, los nodos reiniciados no podrán volver a unirse al clúster hasta que este salga del modo de supervivencia.PRECAUCIÓN: Si especificas un período de espera de reinicio, los nodos que se desconectaron pueden reiniciarse y volver a unirse al clúster, incluso si inhabilitas o borras la clave de almacenamiento durante el período especificado.
Para revertir un clúster o un grupo de nodos para que use un Google-owned and Google-managed encryption key, usa la marca --use-google-managed-key como se describe en uno de los siguientes ejemplos:
Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS.
Recuperación y copias de seguridad de datos
Eres responsable de mantener copias de seguridad redundantes y funcionales de todos los datos que decidas almacenar en el hardware conectado de Distributed Cloud, y de exportar esos datos cuando decidas devolver el hardware conectado de Distributed Cloud a Google o al integrador de sistemas (SI) certificado por Google que te vendió el hardware.
Si se produce una falla en el hardware de Distributed Cloud conectado y Google o un SI certificado por Google realizan reparaciones en el sitio, se quitan todos los medios de almacenamiento de la máquina de Distributed Cloud conectada que se está reparando y se colocan bajo tu custodia durante la reparación o se borran de forma segura y, luego, se envían para su destrucción.
Si compraste el hardware de Distributed Cloud a un SI certificado por Google y ya no usas Distributed Cloud, pero decidiste conservar y reutilizar el hardware, el SI borrará todo el software de Google y tus datos del hardware de Distributed Cloud durante la baja.
Seguridad de red
El tráfico de red entre el hardware conectado de Distributed Cloud y Google Cloudse encripta con túneles MASQUE o TLS que usan certificados por máquina. Distributed Cloud Connected rota automáticamente estos certificados según un programa regular.
Los requisitos de tu empresa y la política de seguridad de red de tu organización dictan los pasos necesarios para proteger el tráfico de red que entra y sale de tu instalación conectada de Distributed Cloud. Además, te recomendamos lo siguiente:
Permite solo las conexiones entrantes a los grupos de direcciones IP virtuales expuestos por el balanceador de cargas integrado de Distributed Cloud connected y a las subredes de Distributed Cloud.
No permitir conexiones entrantes desde recursos de red externos a subredes que atienden las capas de administración del sistema y administración de servicios
No permitir conexiones entrantes desde recursos de redes externas a direcciones IP de extremos del plano de control local Para obtener más información, consulta Modo de supervivencia.
Para obtener más información sobre cómo preparar tu red local para conectar el hardware de Distributed Cloud, consulta Herramientas de redes.