Cette page décrit les bonnes pratiques pour sécuriser votre installation Google Distributed Cloud.
Sécurité physique du matériel
Vous êtes responsable de la sécurité physique du matériel connecté au Distributed Cloud, par exemple en limitant l'accès au personnel autorisé.
Sécurité de la plate-forme
La plate-forme matérielle connectée Distributed Cloud présente les fonctionnalités de sécurité suivantes :
Capteur d'intrusion physique. Si une personne non autorisée ouvre physiquement la machine, vous et Google êtes immédiatement informés de l'intrusion physique.
Trusted Platform Module (TPM) : Le TPM est la racine de confiance qui génère et stocke les clés de chiffrement pour toutes les données stockées, reçues et transmises par Distributed Cloud Connected.
Certificat de plate-forme Le certificat de plate-forme est un enregistrement cryptographiquement sécurisé de l'identité du TPM et du fabricant. Le certificat sert de preuve de l'intégrité de la chaîne d'approvisionnement pour le matériel Distributed Cloud connecté.
Verrouillage des ports. Tous les ports externes et internes autres que les ports Ethernet, tels que les ports de console USB et RS-232, sont désactivés au niveau du micrologiciel et ne sont activés que pour la maintenance.
Sécurité du stockage local
Le matériel connecté Distributed Cloud est fourni avec des disques à chiffrement automatique (SED, Self-Encrypting Disk) et utilise Linux Unified Key Setup (LUKS) pour chiffrer les volumes logiques sur chaque nœud connecté Distributed Cloud. Vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) ou Google-owned and managed keyspour encapsuler la clé de chiffrement de disque LUKS (DEK).
Lorsque vous attribuez un nœud à un pool de nœuds, le nœud génère une DEK LUKS et l'encapsule dans une phrase secrète LUKS gérée par Google, également appelée clé de chiffrement de clé (KEK), ou dans une phrase secrète que vous fournissez via Cloud KMS. Vous pouvez choisir d'utiliser Cloud KMS ou non lorsque vous créez un pool de nœuds. Distributed Cloud Connected s'intègre à Cloud KMS en utilisant le modèle de chiffrement d'enveloppe.
Distributed Cloud connecté effectue automatiquement une rotation des expressions secrètes LUKS et SED à intervalles réguliers.
De plus, chaque machine Distributed Cloud connectée effectue les opérations suivantes à chaque démarrage à froid :
Si vous n'utilisez pas Cloud KMS, la machine génère une nouvelle KEK (phrase secrète LUKS) et configure le stockage chiffré dès le début.
Si vous utilisez Cloud KMS, la machine récupère la KEK depuis Cloud KMS et déverrouille les volumes logiques existants qui contiennent vos données.
Configurer la compatibilité avec les clés de chiffrement gérées par le client (CMEK) pour le stockage local
Par défaut, Google Distributed Cloud Connected chiffre le contenu client au repos. Distributed Cloud Connected gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Distributed Cloud connecté. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources connectées Distributed Cloud est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Pour activer l'intégration de Cloud KMS à Distributed Cloud Connected, procédez comme suit :
Créez un trousseau de clés, une clé symétrique et une ou plusieurs versions de clé à utiliser avec Distributed Cloud Connected. Vous devez créer ces artefacts dans la même région Google Cloud que votre installation Distributed Cloud connectée. Pour obtenir des instructions, consultez Créer une clé.
Accordez le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Distributed Cloud connecté dans votre projetGoogle Cloud . Vous devez effectuer cette opération pour chaque version de clé que vous souhaitez utiliser avec Distributed Cloud connecté. Si vous révoquez ce rôle après avoir intégré votre installation Distributed Cloud connectée à Cloud KMS, vous perdrez l'accès aux données stockées sur les machines Distributed Cloud connectées.Créez un pool de nœuds à l'aide de l'option
--local-disk-kms-keyet indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec ce pool de nœuds.Créez un cluster à l'aide de l'option
--control-plane-kms-key, puis indiquez le chemin d'accès complet à la version de clé que vous souhaitez utiliser avec le nœud exécutant le plan de contrôle du cluster.Vous pouvez également utiliser l'option
--offline-reboot-ttllors de la création de votre cluster pour spécifier une période pendant laquelle les nœuds redémarrés peuvent rejoindre le cluster pendant que celui-ci s'exécute en mode de survie des nœuds. Si vous ne spécifiez pas cette fenêtre, les nœuds redémarrés ne peuvent pas rejoindre le cluster tant qu'il n'est pas sorti du mode de survie.ATTENTION : Si vous spécifiez une période de délai avant redémarrage, les nœuds hors connexion peuvent redémarrer et rejoindre le cluster même si vous désactivez ou supprimez la clé de stockage pendant la période spécifiée.
Pour rétablir l'utilisation d'un Google-owned and Google-managed encryption keydans un cluster ou un pool de nœuds, utilisez l'option --use-google-managed-key comme décrit dans l'une des sections suivantes :
Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) dans la documentation Cloud KMS.
Récupération de données et sauvegardes
Il vous incombe de maintenir des sauvegardes redondantes fonctionnelles de toutes les données que vous choisissez de stocker sur le matériel connecté Distributed Cloud et d'exporter ces données lorsque vous choisissez de renvoyer le matériel connecté Distributed Cloud à Google ou à l'intégrateur système (IS) certifié Google qui vous a vendu le matériel.
En cas de défaillance du matériel connecté Distributed Cloud et si Google ou un intégrateur système certifié Google effectue des réparations sur site, tous les supports de stockage sont retirés de la machine connectée Distributed Cloud en cours de réparation et sont soit placés sous votre responsabilité pendant la durée de la réparation, soit effacés de manière sécurisée, puis envoyés pour destruction.
Si vous avez acheté le matériel Distributed Cloud auprès d'un intégrateur de systèmes certifié par Google et que vous n'utilisez plus Distributed Cloud, mais que vous avez choisi de conserver et de réutiliser le matériel, l'intégrateur de systèmes effacera tous les logiciels Google et vos données du matériel Distributed Cloud lors de la mise hors service.
Sécurité du réseau
Le trafic réseau entre le matériel connecté Distributed Cloud et Google Cloudest chiffré à l'aide de tunnels MASQUE ou de TLS utilisant des certificats par machine. Distributed Cloud Connected procède automatiquement à la rotation de ces certificats à intervalles réguliers.
Vos exigences commerciales et la règle de sécurité réseau de votre organisation déterminent les étapes nécessaires pour sécuriser le trafic réseau entrant et sortant de votre installation connectée Distributed Cloud. Nous vous recommandons également les points suivants :
Autorisez uniquement les connexions entrantes aux pools d'adresses IP virtuelles exposés par l'équilibreur de charge intégré Distributed Cloud Connected et aux sous-réseaux Distributed Cloud.
Interdire les connexions entrantes depuis des ressources réseau externes vers les sous-réseaux qui desservent les couches de gestion du système et de gestion des services.
Interdire les connexions entrantes depuis des ressources réseau externes vers les adresses IP des points de terminaison du plan de contrôle local. Pour en savoir plus, consultez Mode de survie.
Pour savoir comment préparer votre réseau local à la connexion du matériel Distributed Cloud, consultez Mise en réseau.