이 페이지에서는 Google Distributed Cloud 설치를 보호하기 위한 권장사항을 설명합니다.
물리적 하드웨어 보안
Distributed Cloud 연결 하드웨어의 물리적 보안(예: 승인된 직원으로 액세스 제한)은 사용자가 담당합니다.
플랫폼 보안
Distributed Cloud 연결 하드웨어 플랫폼에는 다음과 같은 보안 기능이 있습니다.
물리적 침입 센서. 승인되지 않은 당사자가 기기를 물리적으로 열면 사용자와 Google에 물리적 침입이 즉시 통지됩니다.
신뢰 플랫폼 모듈 (TPM). TPM은 Distributed Cloud 연결에서 저장되고 수신 및 전송되는 모든 데이터의 암호화 키를 생성하고 저장하는 신뢰할 수 있는 루트입니다.
플랫폼 인증서. 플랫폼 인증서는 제조 및 TPM ID의 암호화 방식으로 안전한 기록입니다. 인증서는 Distributed Cloud 연결 하드웨어의 공급망 무결성을 증명하는 역할을 합니다.
포트 잠금. USB 및 RS-232 콘솔 포트와 같은 이더넷 포트 이외의 모든 외부 및 내부 포트는 펌웨어 수준에서 사용 중지되며 서비스 제공을 위해서만 사용 설정됩니다.
로컬 스토리지 보안
Distributed Cloud 연결 하드웨어는 자체 암호화 디스크(SED) 드라이브와 함께 제공되며 Linux 통합 키 설정 (LUKS)을 사용하여 각 Distributed Cloud 연결 노드의 논리적 볼륨을 암호화합니다. 고객 관리 암호화 키 (CMEK)를 사용하거나 Google-owned and managed keys LUKS 디스크 암호화 키 (DEK)를 래핑할 수 있습니다.
노드를 노드 풀에 할당하면 노드가 LUKS DEK를 생성하고 키 암호화 키 (KEK)라고도 하는 Google 관리 LUKS 비밀번호 또는 Cloud KMS를 통해 사용자가 제공한 비밀번호로 래핑합니다. 노드 풀을 만들 때 Cloud KMS를 사용할지 선택할 수 있습니다. Distributed Cloud 연결은 봉투 암호화 모델을 사용하여 Cloud KMS와 통합됩니다.
Distributed Cloud 연결은 정기적인 일정에 따라 LUKS 및 SED 비밀번호를 자동으로 순환합니다.
또한 각 Distributed Cloud 연결 머신은 콜드 스타트할 때마다 다음을 실행합니다.
Cloud KMS를 사용하지 않는 경우 머신은 새 KEK(LUKS 비밀번호)를 생성하고 처음부터 암호화된 스토리지를 설정합니다.
Cloud KMS를 사용하는 경우 머신은 Cloud KMS에서 KEK를 가져오고 데이터를 보유하는 기존 논리적 볼륨을 잠금 해제합니다.
로컬 스토리지의 고객 관리 암호화 키 (CMEK) 지원 구성
기본적으로 Google Distributed Cloud 연결은 저장된 고객 콘텐츠를 암호화합니다. Distributed Cloud 연결은 사용자의 추가 작업 없이 암호화를 처리합니다. 이 옵션을 Google 기본 암호화 라고 합니다.
암호화 키를 제어하려면 Distributed Cloud 연결을 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키 (CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키 (KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.
CMEK로 리소스를 설정한 후 Distributed Cloud 연결 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키 (CMEK)를 참조하세요.
Distributed Cloud 연결과 Cloud KMS 통합을 사용 설정하려면 다음 단계를 완료하세요.
Distributed Cloud 연결과 함께 사용할 키링, 대칭 키, 하나 이상의 키 버전을 만듭니다. Distributed Cloud 연결 설치와 동일한 Google Cloud 리전에서 이러한 아티팩트를 만들어야 합니다. 안내는 키 만들기를 참고하세요.
프로젝트의 Distributed Cloud 연결 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할 (
roles/cloudkms.cryptoKeyEncrypterDecrypter)을 부여합니다.Google Cloud Distributed Cloud 연결과 함께 사용할 각 키 버전에 대해 이 작업을 실행해야 합니다. Distributed Cloud 연결 설치를 Cloud KMS와 통합한 후 이 역할을 취소하면 Distributed Cloud 연결 머신에 저장된 데이터에 액세스할 수 없게 됩니다.노드 풀을 만듭니다
--local-disk-kms-key플래그를 사용하여 해당 노드 풀과 함께 사용할 키 버전의 전체 경로를 제공합니다.클러스터를 만들고
--control-plane-kms-key플래그를 사용하여 클러스터의 컨트롤 플레인을 실행하는 노드와 함께 사용할 키 버전의 전체 경로를 제공합니다.선택적으로 클러스터를 만들 때
--offline-reboot-ttl플래그를 사용하여 클러스터가 생존 가능성 노드에서 실행되는 동안 재부팅된 노드가 클러스터에 다시 참여할 수 있는 시간대를 지정합니다. 이 기간을 지정하지 않으면 재부팅된 노드는 생존 가능성 모드를 종료할 때까지 클러스터에 다시 참여할 수 없습니다.주의: 재부팅 제한 시간대를 지정하면 지정된 시간 동안 스토리지 키를 사용 중지하거나 삭제하더라도 오프라인 상태가 된 노드가 재부팅되고 클러스터에 다시 참여할 수 있습니다.
클러스터 또는 노드 풀을 되돌려 사용하려면 다음 중 하나에 설명된 대로 Google-owned and Google-managed encryption key
--use-google-managed-key 플래그를 사용합니다.
자세한 내용은 Cloud KMS 문서의 고객 관리 암호화 키 (CMEK)를 참고하세요.
Symcloud Storage 보안
Symcloud Storage는 다음과 같이 데이터를 자동으로 암호화합니다.
- Symcloud Storage 볼륨에 저장된 경우
- Symcloud Storage 노드 간에 전송할 때
데이터 복구 및 백업
Distributed Cloud 연결 하드웨어에 저장하기로 선택한 모든 데이터의 작동하는 중복 백업을 유지하고 Distributed Cloud 연결 하드웨어를 Google 또는 하드웨어를 판매한 Google 인증 시스템 통합업체 (SI)에 반환하기로 선택할 때 해당 데이터를 내보내는 것은 사용자의 책임입니다.
Distributed Cloud 연결 하드웨어에 오류가 발생하고 Google 또는 Google 인증 SI가 현장 수리를 실행하는 경우 서비스 중인 Distributed Cloud 연결 머신에서 모든 스토리지 미디어가 삭제되고 수리 기간 동안 사용자의 관리하에 두거나 안전하게 삭제된 후 폐기를 위해 전송됩니다.
Google 인증 SI에서 Distributed Cloud 하드웨어를 구매하고 더 이상 Distributed Cloud를 사용하지 않지만 하드웨어를 보관하고 용도를 변경하기로 선택한 경우 SI는 폐기 중에 Distributed Cloud 하드웨어에서 모든 Google 소프트웨어와 사용자 데이터를 삭제합니다.
네트워크 보안
Distributed Cloud 연결 하드웨어와 Google Cloud 간의 네트워크 트래픽은 머신별 인증서를 사용하는 MASQUE 터널 또는 TLS를 사용하여 암호화됩니다. Distributed Cloud 연결은 정기적인 일정에 따라 이러한 인증서를 자동으로 순환합니다.
비즈니스 요구사항과 조직의 네트워크 보안 정책에 따라 Distributed Cloud 연결 설치로 들어오고 나가는 네트워크 트래픽을 보호하는 데 필요한 단계가 결정됩니다. 또한 다음을 권장합니다.
Distributed Cloud 연결 기본 제공 부하 분산기와 Distributed Cloud 서브네트워크에서 노출되는 가상 IP 주소 풀에 대한 인바운드 연결만 허용합니다.
시스템 관리 및 서비스 관리 레이어를 제공하는 서브네트워크 에 대한 외부 네트워크 리소스의 인바운드 연결을 허용하지 않습니다.
외부 네트워크 리소스의 인바운드 연결을 로컬 컨트롤 플레인 엔드포인트의 IP 주소로 허용하지 않습니다. 자세한 내용은 생존 가능성 모드를 참고하세요.
Distributed Cloud 하드웨어를 연결하기 위해 로컬 네트워크를 준비하는 방법은 네트워킹을 참고하세요.