Halaman ini menjelaskan praktik terbaik untuk mengamankan penginstalan Google Distributed Cloud Anda.
Keamanan hardware fisik
Anda bertanggung jawab atas keamanan fisik hardware yang terhubung ke Distributed Cloud, seperti membatasi akses ke personel yang berwenang.
Keamanan platform
Platform hardware yang terhubung dengan Distributed Cloud memiliki fitur keamanan berikut:
Sensor penyusupan fisik. Jika pihak yang tidak berwenang membuka mesin secara fisik, Anda dan Google akan langsung diberi tahu tentang penyusupan fisik tersebut.
Trusted Platform Module (TPM). TPM adalah root of trust yang membuat dan menyimpan kunci enkripsi untuk semua data yang disimpan di, serta diterima dan dikirimkan oleh Distributed Cloud yang terhubung.
Sertifikat platform. Sertifikat platform adalah catatan manufaktur dan identitas TPM yang aman secara kriptografis. Sertifikat ini berfungsi sebagai bukti integritas supply chain untuk hardware yang terhubung ke Distributed Cloud.
Penguncian port. Semua port eksternal dan internal selain port Ethernet, seperti port konsol USB dan RS-232, dinonaktifkan di tingkat firmware dan hanya diaktifkan untuk servis.
Keamanan penyimpanan lokal
Hardware yang terhubung ke Distributed Cloud dikirimkan dengan drive Disk yang Mengenkripsi Diri (SED) dan menggunakan Linux Unified Key Setup (LUKS) untuk mengenkripsi volume logis di setiap node yang terhubung ke Distributed Cloud. Anda memiliki opsi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) atau Google-owned and managed keys untuk mengenkripsi kunci enkripsi disk LUKS (DEK).
Saat Anda menetapkan node ke node pool, node akan membuat LUKS DEK dan membungkusnya dalam frasa sandi LUKS yang dikelola Google, yang juga dikenal sebagai kunci enkripsi kunci (KEK), atau yang disediakan oleh Anda melalui Cloud KMS. Anda dapat memilih apakah akan menggunakan Cloud KMS saat membuat node pool. Distributed Cloud Connected terintegrasi dengan Cloud KMS menggunakan model enkripsi amplop.
Distributed Cloud yang terhubung secara otomatis mengganti frasa sandi LUKS dan SED sesuai jadwal rutin.
Selain itu, setiap mesin yang terhubung ke Distributed Cloud melakukan hal berikut pada setiap cold start:
Jika Anda tidak menggunakan Cloud KMS, mesin akan membuat KEK baru (frasa sandi LUKS) dan menyiapkan penyimpanan terenkripsi dari awal.
Jika Anda menggunakan Cloud KMS, mesin akan mengambil KEK dari Cloud KMS dan membuka kunci volume logis yang ada yang menyimpan data Anda.
Mengonfigurasi dukungan untuk kunci enkripsi yang dikelola pelanggan (CMEK) untuk penyimpanan lokal
Secara default, Google Distributed Cloud connected mengenkripsi konten pelanggan dalam penyimpanan. Distributed Cloud terhubung menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Distributed Cloud yang terhubung. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Distributed Cloud terhubung akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Untuk mengaktifkan integrasi Cloud KMS dengan Distributed Cloud yang terhubung, selesaikan langkah-langkah berikut:
Buat keyring, kunci simetris, dan satu atau beberapa versi kunci untuk digunakan dengan Distributed Cloud yang terhubung. Anda harus membuat artefak ini di region Google Cloud yang sama dengan penginstalan yang terhubung ke Distributed Cloud. Untuk mengetahui petunjuknya, lihat Membuat kunci.
Berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) ke Akun Layanan yang terhubung ke Distributed Cloud di projectGoogle Cloud Anda. Anda harus melakukannya untuk setiap versi kunci yang ingin digunakan dengan Distributed Cloud terhubung. Jika Anda mencabut peran ini setelah mengintegrasikan instalasi yang terhubung ke Distributed Cloud dengan Cloud KMS, Anda akan kehilangan akses ke data yang disimpan di mesin yang terhubung ke Distributed Cloud.Buat node pool menggunakan flag
--local-disk-kms-key, dan berikan jalur lengkap ke versi kunci yang ingin Anda gunakan dengan node pool tersebut.Buat cluster menggunakan tanda
--control-plane-kms-key, dan berikan jalur lengkap ke versi kunci yang ingin Anda gunakan dengan node yang menjalankan bidang kontrol cluster.Secara opsional, gunakan flag
--offline-reboot-ttlsaat membuat cluster untuk menentukan jangka waktu saat node yang telah di-reboot dapat bergabung kembali ke cluster saat cluster berjalan di node survivabilitas. Jika Anda tidak menentukan periode ini, node yang di-reboot tidak dapat bergabung kembali ke cluster hingga keluar dari mode survivabilitas.PERHATIAN: Jika Anda menentukan periode waktu tunggu mulai ulang, node yang offline dapat dimulai ulang dan bergabung kembali ke cluster meskipun Anda menonaktifkan atau menghapus kunci penyimpanan untuk waktu yang ditentukan.
Untuk mengembalikan cluster atau node pool agar menggunakan Google-owned and Google-managed encryption key, gunakan
flag --use-google-managed-key seperti yang dijelaskan di salah satu bagian berikut:
Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK) di dokumentasi Cloud KMS.
Pemulihan dan pencadangan data
Anda bertanggung jawab untuk mempertahankan fungsi cadangan redundan dari semua data yang Anda pilih untuk disimpan di hardware yang terhubung ke Distributed Cloud dan mengekspor data tersebut saat Anda memilih untuk mengembalikan hardware yang terhubung ke Distributed Cloud kepada Google atau Integrator Sistem (SI) bersertifikasi Google yang menjual hardware tersebut kepada Anda.
Jika terjadi kegagalan hardware Distributed Cloud terhubung dan Google atau SI bersertifikasi Google melakukan perbaikan di tempat, semua media penyimpanan akan dikeluarkan dari mesin Distributed Cloud terhubung yang sedang diservis dan akan diserahkan kepada Anda selama perbaikan atau dihapus dengan aman, lalu dikirim untuk dihancurkan.
Jika Anda membeli hardware Distributed Cloud dari SI bersertifikasi Google dan tidak lagi menggunakan Distributed Cloud, tetapi memilih untuk menyimpan dan menggunakan kembali hardware tersebut, SI akan menghapus semua software Google dan data Anda dari hardware Distributed Cloud selama penonaktifan.
Keamanan jaringan
Traffic jaringan antara hardware yang terhubung ke Distributed Cloud dan Google Cloud dienkripsi menggunakan terowongan MASQUE atau TLS yang menggunakan sertifikat per mesin. Distributed Cloud yang terhubung secara otomatis merotasi sertifikat ini sesuai jadwal rutin.
Persyaratan bisnis dan kebijakan keamanan jaringan organisasi Anda menentukan langkah-langkah yang diperlukan untuk mengamankan traffic jaringan yang masuk dan keluar dari penginstalan yang terhubung ke Distributed Cloud Anda. Selain itu, kami merekomendasikan hal berikut:
Hanya izinkan koneksi masuk ke kumpulan alamat IP virtual yang diekspos oleh load balancer bawaan yang terhubung ke Distributed Cloud dan ke subnetwork Distributed Cloud.
Melarang koneksi masuk dari resource jaringan eksternal ke subnetwork yang melayani lapisan pengelolaan sistem dan pengelolaan layanan.
Melarang koneksi masuk dari resource jaringan eksternal ke alamat IP endpoint bidang kontrol lokal. Untuk mengetahui informasi selengkapnya, lihat Mode keandalan.
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan jaringan lokal untuk menghubungkan hardware Distributed Cloud, lihat Jaringan.