Bonnes pratiques concernant la sécurité

Cette page décrit les bonnes pratiques pour sécuriser votre installation Google Distributed Cloud.

Sécurité du matériel physique

Vous êtes responsable de la sécurité physique du matériel Distributed Cloud connecté, par exemple en limitant l'accès au personnel autorisé.

Sécurité de la plate-forme

La plate-forme matérielle Distributed Cloud connecté présente les fonctionnalités de sécurité suivantes :

  • Capteur d'intrusion physique. Si une personne non autorisée ouvre physiquement la machine, vous et Google êtes immédiatement avertis de l'intrusion physique.

  • TPM (Trusted Platform Module). Le TPM est la racine de confiance qui génère et stocke les clés de chiffrement pour toutes les données stockées sur Distributed Cloud connecté, ainsi que celles reçues et transmises par celui-ci.

  • Certificat de plate-forme. Le certificat de plate-forme est un enregistrement cryptographiquement sécurisé de l'identité de fabrication et du TPM. Le certificat sert de preuve d'intégrité de la chaîne d'approvisionnement pour le matériel Distributed Cloud connecté.

  • Verrouillage des ports. Tous les ports externes et internes autres que les ports Ethernet, tels que les ports de console USB et RS-232, sont désactivés au niveau du micrologiciel et ne sont activés que pour la maintenance.

Sécurité du stockage local

Le matériel Distributed Cloud connecté est livré avec des disques à chiffrement automatique (SED) et utilise Linux Unified Key Setup (LUKS) pour chiffrer les volumes logiques sur chaque nœud Distributed Cloud connecté. Vous avez la possibilité d'utiliser des clés de chiffrement gérées par le client (CMEK) ou Google-owned and managed keys d'encapsuler la clé de chiffrement de disque LUKS (DEK).

Lorsque vous attribuez un nœud à un pool de nœuds, le nœud génère une DEK LUKS et l'encapsule dans une phrase secrète LUKS gérée par Google, également appelée clé de chiffrement de clé (KEK), ou dans une phrase secrète que vous fournissez via Cloud KMS. Vous pouvez choisir d'utiliser Cloud KMS lors de la création d'un pool de nœuds. Distributed Cloud connecté s'intègre à Cloud KMS à l'aide du modèle de chiffrement d'enveloppe.

Distributed Cloud connecté effectue automatiquement la rotation des phrases secrètes LUKS et SED à intervalles réguliers.

De plus, chaque machine Distributed Cloud connecté effectue les opérations suivantes à chaque démarrage à froid :

  • Si vous n'utilisez pas Cloud KMS, la machine génère une nouvelle KEK (phrase secrète LUKS) et configure le stockage chiffré depuis le début.

  • Si vous utilisez Cloud KMS, la machine récupère la KEK à partir de Cloud KMS et déverrouille les volumes logiques existants qui contiennent vos données.

Configurer la compatibilité avec les clés de chiffrement gérées par le client (CMEK) pour le stockage local

Par défaut, Google Distributed Cloud connecté chiffre le contenu client au repos. Distributed Cloud connecté gère le chiffrement pour vous sans aucune action supplémentaire de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Distributed Cloud connecté. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Distributed Cloud connecté est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Pour activer l'intégration de Cloud KMS à Distributed Cloud connecté, procédez comme suit :

  1. Créez un trousseau de clés, une clé symétrique et une ou plusieurs versions de clé à utiliser avec Distributed Cloud connecté. Vous devez créer ces artefacts dans la même Google Cloud région que votre installation Distributed Cloud connecté. Pour obtenir des instructions, consultez Créer une clé.

  2. Accordez le rôle Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Distributed Cloud connecté de votre Google Cloud projet. Vous devez effectuer cette opération pour chaque version de clé que vous souhaitez utiliser avec Distributed Cloud connecté. Si vous révoquez ce rôle après avoir intégré votre installation Distributed Cloud connecté à Cloud KMS, vous perdez l'accès aux données stockées sur les machines Distributed Cloud connecté.

  3. Créez un pool de nœuds à l'aide de l'option --local-disk-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec ce pool de nœuds.

  4. Créez un cluster à l'aide de l'option --control-plane-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec le nœud exécutant le plan de contrôle du cluster.

  5. Vous pouvez également utiliser l'option --offline-reboot-ttl lors de la création de votre cluster pour spécifier une période pendant laquelle les nœuds qui ont été redémarrés peuvent rejoindre le cluster pendant que celui-ci s'exécute en mode de survie. Si vous ne spécifiez pas cette période, les nœuds redémarrés ne peuvent pas rejoindre le cluster tant qu'il n'a pas quitté le mode de survie.

    ATTENTION : Si vous spécifiez une période de délai avant redémarrage, les nœuds qui ont été mis hors connexion peuvent redémarrer et rejoindre le cluster même si vous désactivez ou supprimez la clé de stockage pendant la période spécifiée.

Pour rétablir l'utilisation d'une clé par un cluster ou un pool de nœuds, utilisez l'option --use-google-managed-key comme décrit dans l'une des sections suivantes : Google-owned and Google-managed encryption key

Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) de la documentation Cloud KMS.

Sécurité de Symcloud Storage

Symcloud Storage chiffre automatiquement les données comme suit :

  • Au repos, lorsqu'elles sont stockées dans des volumes Symcloud Storage
  • En transit, lors du transfert entre des nœuds Symcloud Storage

Récupération de données et sauvegardes

Vous êtes responsable de la maintenance de sauvegardes redondantes fonctionnelles de toutes les données que vous choisissez de stocker sur le matériel Distributed Cloud connecté, et de l'exportation de ces données lorsque vous choisissez de renvoyer le matériel Distributed Cloud connecté à Google ou à l'intégrateur de systèmes (IS) certifié Google qui vous a vendu le matériel.

En cas de défaillance du matériel Distributed Cloud connecté et si Google ou un IS certifié Google effectue des réparations sur site, tous les supports de stockage sont retirés de la machine Distributed Cloud connecté en cours de maintenance et sont soit placés sous votre garde pendant la durée de la réparation, soit effacés de manière sécurisée, puis envoyés pour destruction.

Si vous avez acheté le matériel Distributed Cloud auprès d'un IS certifié Google et que vous n'utilisez plus Distributed Cloud, mais que vous avez choisi de conserver et de réutiliser le matériel, l'IS effacera tous les logiciels Google et vos données du matériel Distributed Cloud lors de la mise hors service.

Sécurité du réseau

Le trafic réseau entre le matériel Distributed Cloud connecté et Google Cloud est chiffré à l'aide de tunnels MASQUE ou de TLS qui utilisent des certificats par machine. Distributed Cloud connecté effectue automatiquement la rotation de ces certificats à intervalles réguliers.

Vos exigences commerciales et la stratégie de sécurité réseau de votre organisation déterminent les étapes nécessaires pour sécuriser le trafic réseau entrant et sortant de votre installation Distributed Cloud connecté. Nous vous recommandons également les points suivants :

  • Autorisez uniquement les connexions entrantes aux pools d'adresses IP virtuelles exposés par l'équilibreur de charge intégré Distributed Cloud connecté et aux sous-réseaux Distributed Cloud.

  • Refusez les connexions entrantes provenant de ressources réseau externes vers les sous-réseaux qui desservent les couches de gestion du système et de gestion des services.

  • Refusez les connexions entrantes provenant de ressources réseau externes vers les adresses IP des points de terminaison du plan de contrôle local. Pour en savoir plus, consultez Mode de survie.

Pour en savoir plus sur la préparation de votre réseau local à la connexion du matériel Distributed Cloud, consultez Mise en réseau.

Étape suivante