Versionsinformationen finden Sie in den Versionshinweisen zu Distributed Cloud Connected.

Best Practices für Sicherheit

Auf dieser Seite werden Best Practices für die Sicherung Ihrer Google Distributed Cloud-Installation beschrieben.

Physische Hardwaresicherheit

Sie sind für die physische Sicherheit der mit Distributed Cloud verbundenen Hardware verantwortlich, z. B. für die Beschränkung des Zugriffs auf autorisiertes Personal.

Plattformsicherheit

Die verbundene Hardwareplattform von Distributed Cloud bietet die folgenden Sicherheitsfunktionen:

Sensor für physisches Eindringen. Wenn eine unbefugte Person das Gerät physisch öffnet, werden Sie und Google sofort über den physischen Eingriff benachrichtigt.
Trusted Platform Module (TPM). Das TPM ist der Root of Trust, der Verschlüsselungsschlüssel für alle Daten generiert und speichert, die auf Distributed Cloud Connected gespeichert, empfangen und übertragen werden.
Plattformzertifikat Das Plattformzertifikat ist ein kryptografisch sicherer Datensatz der Fertigungs- und TPM-Identität. Das Zertifikat dient als Nachweis für die Integrität der Lieferkette für mit Distributed Cloud verbundene Hardware.
Port-Sperre: Alle externen und internen Ports außer Ethernet-Ports, z. B. USB- und RS-232-Konsolenports, sind auf Firmware-Ebene deaktiviert und werden nur für Wartungsarbeiten aktiviert.

Sicherheit des lokalen Speichers

Die Hardware von Distributed Cloud Connected wird mit SED-Laufwerken (Self-Encrypting Disk) ausgeliefert und verwendet LUKS (Linux Unified Key Setup), um die logischen Volumes auf jedem mit Distributed Cloud Connected verbundenen Knoten zu verschlüsseln. Sie haben die Möglichkeit, kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) oder Google-owned and managed keys zum Verpacken des LUKS-Laufwerksverschlüsselungsschlüssels (Data Encryption Key, DEK) zu verwenden.

Wenn Sie einem Knoten einen Knotenpool zuweisen, generiert der Knoten einen LUKS-DEK und umschließt ihn entweder mit einer von Google verwalteten LUKS-Passphrase, auch als Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) bezeichnet, oder mit einem von Ihnen über Cloud KMS bereitgestellten KEK. Sie können auswählen, ob Sie Cloud KMS beim Erstellen eines Knotenpools verwenden möchten. Distributed Cloud Connected lässt sich über das Modell der Umschlagverschlüsselung in Cloud KMS einbinden.

In Distributed Cloud Connected werden die LUKS- und SED-Passphrasen automatisch in regelmäßigen Abständen rotiert.

Außerdem führt jede mit Distributed Cloud verbundene Maschine bei jedem Kaltstart Folgendes aus:

Wenn Sie Cloud KMS nicht verwenden, generiert der Computer einen neuen KEK (LUKS-Passphrase) und richtet von Anfang an verschlüsselten Speicher ein.
Wenn Sie Cloud KMS verwenden, ruft der Computer den KEK aus Cloud KMS ab und entsperrt die vorhandenen logischen Volumes, die Ihre Daten enthalten.

Unterstützung für kundenverwaltete Verschlüsselungsschlüssel (CMEK) für lokalen Speicher konfigurieren

Google Distributed Cloud Connected verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Distributed Cloud Connected übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Distributed Cloud Connected verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Distributed Cloud Connected-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

So aktivieren Sie die Cloud KMS-Integration mit Distributed Cloud Connected:

Erstellen Sie einen Schlüsselbund, einen symmetrischen Schlüssel und eine oder mehrere Schlüsselversionen, die mit Distributed Cloud Connected verwendet werden sollen. Sie müssen diese Artefakte in derselben Google Cloud Region wie Ihre mit Distributed Cloud verbundene Installation erstellen. Eine Anleitung finden Sie unter Schlüssel erstellen.
Weisen Sie dem Dienstkonto für Distributed Cloud Connected in IhremGoogle Cloud -Projekt die Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler-Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Sie müssen dies für jede Schlüsselversion tun, die Sie mit Distributed Cloud Connect verwenden möchten. Wenn Sie diese Rolle widerrufen, nachdem Sie Ihre mit Distributed Cloud verbundene Installation in Cloud KMS eingebunden haben, verlieren Sie den Zugriff auf Daten, die auf den mit Distributed Cloud verbundenen Maschinen gespeichert sind.
Erstellen Sie einen Knotenpool mit dem Flag --local-disk-kms-key und geben Sie den vollständigen Pfad zur Schlüsselversion an, die Sie mit diesem Knotenpool verwenden möchten.
Erstellen Sie einen Cluster mit dem Flag --control-plane-kms-key und geben Sie den vollständigen Pfad zur Schlüsselversion an, die Sie mit dem Knoten verwenden möchten, auf dem die Steuerungsebene des Clusters ausgeführt wird.
Optional können Sie beim Erstellen des Clusters das Flag --offline-reboot-ttl verwenden, um ein Zeitfenster anzugeben, in dem neu gestartete Knoten dem Cluster wieder beitreten können, während der Cluster im Survivability-Modus ausgeführt wird. Wenn Sie dieses Zeitfenster nicht angeben, können neu gestartete Knoten dem Cluster erst wieder beitreten, wenn der Survivability-Modus beendet wird.

ACHTUNG: Wenn Sie ein Zeitüberschreitungsfenster für den Neustart angeben, können Knoten, die offline gegangen sind, neu starten und dem Cluster wieder beitreten, auch wenn Sie den Speicherschlüssel für die angegebene Zeit deaktivieren oder löschen.

Wenn Sie für einen Cluster oder Knotenpool wieder eine Google-owned and Google-managed encryption keyverwenden möchten, verwenden Sie das Flag --use-google-managed-key, wie in einem der folgenden Abschnitte beschrieben:

Weitere Informationen finden Sie in der Cloud KMS-Dokumentation unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Datenwiederherstellung und ‑sicherungen

Sie sind dafür verantwortlich, funktionierende redundante Sicherungen aller Daten zu erstellen, die Sie auf mit Distributed Cloud verbundener Hardware speichern, und diese Daten zu exportieren, wenn Sie die mit Distributed Cloud verbundene Hardware an Google oder den von Google zertifizierten Systemintegrator (SI) zurückgeben, der Ihnen die Hardware verkauft hat.

Wenn ein Fehler bei der mit Distributed Cloud verbundenen Hardware auftritt und Google oder ein von Google zertifizierter SI Reparaturen vor Ort durchführt, werden alle Speichermedien von der mit Distributed Cloud verbundenen Maschine entfernt, die gewartet wird. Sie werden entweder für die Dauer der Reparatur in Ihre Obhut gegeben oder sicher gelöscht und dann zur Vernichtung gesendet.

Wenn Sie die Distributed Cloud-Hardware von einem von Google zertifizierten SI erworben haben und Distributed Cloud nicht mehr verwenden, die Hardware aber behalten und für andere Zwecke nutzen möchten, löscht das SI bei der Außerbetriebnahme alle Google-Software und Ihre Daten von der Distributed Cloud-Hardware.

Netzwerksicherheit

Der Netzwerkverkehr zwischen der mit Distributed Cloud verbundenen Hardware und Google Cloudwird entweder mit MASQUE-Tunneln oder mit TLS verschlüsselt, wobei Zertifikate pro Maschine verwendet werden. In Distributed Cloud Connected werden diese Zertifikate automatisch in regelmäßigen Abständen rotiert.

Die Schritte, die zum Sichern des Netzwerk-Traffics erforderlich sind, der in Ihre mit Distributed Cloud verbundene Installation ein- und ausgeht, hängen von Ihren geschäftlichen Anforderungen und der Netzwerksicherheitsrichtlinie Ihrer Organisation ab. Außerdem empfehlen wir Folgendes:

Lassen Sie nur eingehende Verbindungen zu virtuellen IP-Adresspools zu, die vom integrierten Load Balancer von Distributed Cloud Connect und von Distributed Cloud-Subnetzwerken bereitgestellt werden.
Eingehende Verbindungen von externen Netzwerkressourcen zu Subnetzwerken, die die Ebenen Systemverwaltung und Dienstverwaltung bedienen, sind nicht zulässig.
Eingehende Verbindungen von externen Netzwerkressourcen zu IP-Adressen lokaler Endpunkte der Steuerungsebene nicht zulassen. Weitere Informationen finden Sie unter Überlebensmodus.

Weitere Informationen zum Vorbereiten Ihres lokalen Netzwerks für die Verbindung von Distributed Cloud-Hardware finden Sie unter Netzwerk.

Nächste Schritte

Hochverfügbarkeit für Ihre mit Distributed Cloud verbundene Installation sicherstellen

Best Practices für Sicherheit Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.