本頁說明保護 Google Distributed Cloud 安裝作業的最佳做法。
實體硬體安全
您有責任確保 Distributed Cloud 連線硬體的實體安全,例如限制授權人員存取。
平台安全性
Distributed Cloud connected 硬體平台具有下列安全防護功能:
實體入侵感應器。如有未經授權人士開啟裝置,您和 Google 會立即收到實體入侵通知。
信任平台模組 (TPM)。TPM 是信任根,可為 Distributed Cloud 連線儲存、接收及傳輸的所有資料產生及儲存加密金鑰。
平台認證。平台憑證是製造和 TPM 身分的加密安全記錄。這項憑證可做為 Distributed Cloud 連線硬體的供應鏈完整性證明。
通訊埠鎖定。除了乙太網路埠以外的所有外部和內部連接埠 (例如 USB 和 RS-232 主控台連接埠) 都會在韌體層級停用,且只會在維修時啟用。
本機儲存空間安全性
Distributed Cloud 連線硬體隨附自加密磁碟 (SED) 磁碟機,並使用 Linux Unified Key Setup (LUKS) 加密每個 Distributed Cloud 連線節點上的邏輯磁碟區。您可以選擇使用客戶管理的加密金鑰 (CMEK),或封裝 LUKS 磁碟加密金鑰 (DEK)。 Google-owned and managed keys
將節點指派給節點集區時,節點會產生 LUKS DEK,並以 Google 管理的 LUKS 密碼片語 (也稱為金鑰加密金鑰 (KEK)),或您透過 Cloud KMS 提供的密碼片語包裝。建立節點集區時,您可以選擇是否使用 Cloud KMS。Distributed Cloud Connected 會使用信封加密模型與 Cloud KMS 整合。
Distributed Cloud 會定期自動輪替 LUKS 和 SED 密碼片語。
此外,每個 Distributed Cloud connected 機器在每次冷啟動時,都會執行下列動作:
如果未使用 Cloud KMS,機器會產生新的 KEK (LUKS 密碼),並從頭設定加密儲存空間。
如果您使用 Cloud KMS,機器會從 Cloud KMS 擷取 KEK,並解鎖現有的邏輯磁區,其中包含您的資料。
設定本機儲存空間的客戶自行管理的加密金鑰 (CMEK) 支援
根據預設,Google Distributed Cloud connected 會加密靜態儲存的客戶內容。Distributed Cloud 連結網路方案會為您處理加密作業,您不必採取其他動作。這項做法稱為「Google 預設加密機制」。
如要控管加密金鑰,您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK),搭配整合 CMEK 的服務,包括 Distributed Cloud Connected。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪替時間表、使用權限和存取權,以及加密範圍。使用 Cloud KMS 也能查看稽核記錄,以及控管金鑰生命週期。 您可以在 Cloud KMS 中控制及管理這些金鑰,而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。
使用 CMEK 設定資源後,存取 Distributed Cloud connected 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項,請參閱「客戶自行管理的加密金鑰 (CMEK)」。
如要啟用 Cloud KMS 與 Distributed Cloud 連線的整合,請完成下列步驟:
建立金鑰環、對稱金鑰和一或多個金鑰版本,搭配 Distributed Cloud Connected 使用。您必須在與 Distributed Cloud 連線安裝相同的 Google Cloud 區域中建立這些構件。如需操作說明,請參閱「建立金鑰」。
在Google Cloud 專案中,將 Cloud KMS CryptoKey Encrypter/Decrypter 角色(
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予 Distributed Cloud 連線服務帳戶。您必須為每個要搭配 Distributed Cloud 連結網路方案使用的金鑰版本執行這項操作。將 Distributed Cloud 連線安裝與 Cloud KMS 整合後,如果撤銷這個角色,您將無法存取儲存在 Distributed Cloud 連線機器上的資料。使用
--local-disk-kms-key旗標建立節點集區,並提供要用於該節點集區的金鑰版本完整路徑。使用
--control-plane-kms-key旗標建立叢集,並提供要與執行叢集控制層的節點搭配使用的金鑰版本完整路徑。建立叢集時,您可以選擇使用
--offline-reboot-ttl旗標指定時間範圍,讓重新啟動的節點在叢集以存續節點模式執行時,重新加入叢集。如果未指定這個時段,重新啟動的節點就無法重新加入叢集,直到叢集退出存續模式為止。注意:如果您指定重新啟動逾時時間範圍,即使您停用或刪除儲存空間金鑰,離線節點仍可在指定時間內重新啟動並重新加入叢集。
如要將叢集或節點集區還原為使用 Google-owned and Google-managed encryption key,請使用 --use-google-managed-key 標記,如以下其中一個說明所示:
詳情請參閱 Cloud KMS 說明文件中的「客戶管理加密金鑰 (CMEK)」。
資料復原和備份
您有責任維護所有資料的備援備份,確保這些備份能正常運作。這些資料是您選擇儲存在 Distributed Cloud 連線硬體上的資料。當您選擇將 Distributed Cloud 連線硬體退還給 Google 或向您銷售硬體的 Google 認證系統整合商 (SI) 時,您也必須匯出這些資料。
如果 Distributed Cloud 連結網路方案硬體發生故障,且 Google 或 Google 認證的系統整合商執行現場維修,所有儲存媒體都會從維修中的 Distributed Cloud 連結網路方案機器中移除,並在維修期間交由您保管,或安全清除資料後送往銷毀。
如果您是向 Google 認證的系統整合商購買 Distributed Cloud 硬體,且不再使用 Distributed Cloud,但選擇保留並重新利用硬體,系統整合商會在停用期間從 Distributed Cloud 硬體清除所有 Google 軟體和您的資料。
網路安全
Distributed Cloud 連線硬體與 Google Cloud之間的網路流量會使用 MASQUE 通道或 TLS (使用每部機器的憑證) 進行加密。Distributed Cloud 連線會定期自動輪替這些憑證。
貴機構的業務需求和網路安全政策,決定了保護進出 Distributed Cloud 連線安裝作業網路流量的必要步驟。此外,我們建議您採取下列措施:
僅允許連入連線連至 Distributed Cloud 連線內建負載平衡器公開的虛擬 IP 位址集區,以及 Distributed Cloud 子網路。
禁止外部網路資源連線至本機控制層端點的 IP 位址。詳情請參閱「存續模式」。
如要進一步瞭解如何準備區域網路以連線至 Distributed Cloud 硬體,請參閱「網路」。