Questa pagina descrive le best practice per proteggere l'installazione di Google Distributed Cloud.
Sicurezza hardware fisica
Sei responsabile della sicurezza fisica dell'hardware connesso a Distributed Cloud, ad esempio limitando l'accesso al personale autorizzato.
Sicurezza della piattaforma
La piattaforma hardware connessa a Distributed Cloud ha le seguenti funzionalità di sicurezza:
Sensore di intrusione fisica. Se una parte non autorizzata apre fisicamente la macchina, tu e Google ricevete immediatamente una notifica dell'intrusione fisica.
Trusted Platform Module (TPM). Il TPM è la radice di attendibilità che genera e archivia le chiavi di crittografia per tutti i dati archiviati, ricevuti e trasmessi da Distributed Cloud Connected.
Certificato della piattaforma. Il certificato della piattaforma è un record crittograficamente sicuro dell'identità di produzione e del TPM. Il certificato funge da prova dell'integrità della supply chain per l'hardware connesso a Distributed Cloud.
Blocco delle porte. Tutte le porte esterne e interne diverse dalle porte Ethernet, come le porte USB e RS-232 della console, sono disabilitate a livello di firmware e abilitate solo per la manutenzione.
Sicurezza dello spazio di archiviazione locale
L'hardware connesso a Distributed Cloud viene fornito con unità Self-Encrypting Disk (SED) e utilizza Linux Unified Key Setup (LUKS) per criptare i volumi logici su ogni nodo connesso a Distributed Cloud. Puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) o Google-owned and managed keys per eseguire il wrapping della chiave di crittografia del disco LUKS (DEK).
Quando assegni un nodo a un pool di nodi, il nodo genera una DEK LUKS e la racchiude in una passphrase LUKS gestita da Google, nota anche come chiave di crittografia della chiave (KEK), o in una fornita da te tramite Cloud KMS. Puoi scegliere se utilizzare Cloud KMS durante la creazione di un pool di nodi. Distributed Cloud connected si integra con Cloud KMS utilizzando il modello di crittografia envelope.
Distributed Cloud connesso ruota automaticamente le passphrase LUKS e SED in base a una pianificazione regolare.
Inoltre, ogni macchina Distributed Cloud connected esegue le seguenti operazioni a ogni avvio a freddo:
Se non utilizzi Cloud KMS, la macchina genera una nuova KEK (passphrase LUKS) e configura lo spazio di archiviazione criptato fin dall'inizio.
Se utilizzi Cloud KMS, la macchina recupera la KEK da Cloud KMS e sblocca i volumi logici esistenti che contengono i tuoi dati.
Configura il supporto per le chiavi di crittografia gestite dal cliente (CMEK) per l'archiviazione locale
Per impostazione predefinita, Google Distributed Cloud connesso cripta i contenuti inattivi dei clienti. Distributed Cloud connesso gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.
Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, incluso Distributed Cloud connetted. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse Distributed Cloud Connected è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, vedi Chiavi di crittografia gestite dal cliente (CMEK).
Per abilitare l'integrazione di Cloud KMS con Distributed Cloud Connected, completa i seguenti passaggi:
Crea un keyring, una chiave simmetrica e una o più versioni della chiave da utilizzare con Distributed Cloud connesso. Devi creare questi artefatti nella stessa regione dell'installazione di Distributed Cloud connessa. Google Cloud Per le istruzioni, vedi Creare una chiave.
Concedi il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) al service account connesso a Distributed Cloud nel tuo progettoGoogle Cloud . Devi eseguire questa operazione per ogni versione della chiave che vuoi utilizzare con Distributed Cloud connesso. Se revochi questo ruolo dopo aver integrato l'installazione di Distributed Cloud connected con Cloud KMS, perdi l'accesso ai dati memorizzati sulle macchine Distributed Cloud connected.Crea un node pool utilizzando il flag
--local-disk-kms-keye fornisci il percorso completo della versione della chiave che vuoi utilizzare con quel pool di nodi.Crea un cluster utilizzando il flag
--control-plane-kms-keye fornisci il percorso completo della versione della chiave che vuoi utilizzare con il nodo che esegue il control plane del cluster.(Facoltativo) Utilizza il flag
--offline-reboot-ttldurante la creazione del cluster per specificare un intervallo di tempo durante il quale i nodi riavviati possono ricongiungersi al cluster mentre il cluster è in esecuzione in modalità di sopravvivenza del nodo. Se non specifichi questa finestra, i nodi riavviati non possono rientrare nel cluster finché non esce dalla modalità di sopravvivenza.ATTENZIONE: se specifichi una finestra di timeout per il riavvio, i nodi che sono andati offline possono riavviarsi e ricongiungersi al cluster anche se disattivi o elimini la chiave di archiviazione per il periodo di tempo specificato.
Per ripristinare l'utilizzo di un Google-owned and Google-managed encryption keyper un cluster o un pool di nodi, utilizza
il flag --use-google-managed-key come descritto in uno dei seguenti modi:
Per saperne di più, consulta Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS.
Recupero dei dati e backup
Sei responsabile della manutenzione di backup ridondanti funzionanti di tutti i dati che scegli di archiviare sull'hardware connesso a Distributed Cloud e dell'esportazione di questi dati quando scegli di restituire l'hardware connesso a Distributed Cloud a Google o all'integratore di sistemi (SI) certificato da Google che ti ha venduto l'hardware.
Se si verifica un guasto dell'hardware di Distributed Cloud connesso e Google o un SI certificato da Google esegue riparazioni in loco, tutti i supporti di archiviazione vengono rimossi dalla macchina Distributed Cloud connessa in manutenzione e vengono affidati a te per la durata della riparazione o cancellati in modo sicuro e poi inviati per la distruzione.
Se hai acquistato l'hardware Distributed Cloud da un SI certificato da Google e non utilizzi più Distributed Cloud, ma hai scelto di conservare e riutilizzare l'hardware, il SI cancellerà tutto il software Google e i tuoi dati dall'hardware Distributed Cloud durante il ritiro.
Sicurezza della rete
Il traffico di rete tra l'hardware connesso a Distributed Cloud e Google Cloud viene criptato utilizzando tunnel MASQUE o TLS che utilizzano certificati per macchina. Distributed Cloud connesso ruota automaticamente questi certificati in base a una pianificazione regolare.
I requisiti aziendali e le norme di sicurezza di rete della tua organizzazione dettano i passaggi necessari per proteggere il traffico di rete in entrata e in uscita dall'installazione connessa di Distributed Cloud. Inoltre, ti consigliamo quanto segue:
Consenti solo le connessioni in entrata ai pool di indirizzi IP virtuali esposti dal bilanciatore del carico integrato di Distributed Cloud connesso e alle subnet di Distributed Cloud.
Non consentire le connessioni in entrata dalle risorse di rete esterne alle subnet che gestiscono i livelli di gestione del sistema e gestione dei servizi.
Non consentire le connessioni in entrata dalle risorse di rete esterne agli indirizzi IP degli endpoint del control plane locale. Per saperne di più, consulta la sezione Modalità di sopravvivenza.
Per saperne di più su come preparare la rete locale per la connessione dell'hardware Distributed Cloud, consulta Networking.