Encriptado en reposo

La configuración con air gap de Google Distributed Cloud (GDC) proporciona una estrategia de seguridad integral para proteger tus datos, que incluye el cifrado automático en reposo. El cifrado en reposo es una medida de seguridad que evita el acceso no autorizado a los datos almacenados en un almacenamiento no volátil (almacenamiento que conserva los datos incluso después de perder la alimentación), como los discos (incluidas las unidades de estado sólido) y los medios de copia de seguridad. GDC cifra tu contenido en reposo sin que tengas que hacer nada.

En este documento se describen los mecanismos de cifrado en reposo predeterminados de GDC y se explica la función de claves de cifrado gestionadas por el cliente (CMEK), que te permite controlar las claves de cifrado que protegen tus datos almacenados.

En este documento se presupone que el lector tiene conocimientos básicos sobre encriptado y tipos de datos criptográficos, y está dirigido a usuarios que gestionan la seguridad (como administradores de TI o ingenieros de seguridad) en GDC. Para obtener más información, consulta Audiencias de la documentación aislada de GDC.

Tipos de datos de clientes protegidos

Los datos del cliente hacen referencia a los datos que los clientes o los usuarios finales proporcionan a GDC a través de los servicios de su cuenta. GDC gestiona las dos categorías siguientes de datos de clientes:

  • Contenido del cliente: datos que generas por tu cuenta o que proporcionas a GDC, como datos almacenados, capturas de disco y políticas de Gestión de Identidades y Accesos (IAM). El cifrado en reposo predeterminado, tal como se describe en este documento, protege principalmente el contenido del cliente.

  • Metadatos del cliente: el resto de los datos del cliente. Los metadatos del cliente pueden incluir números de proyecto generados automáticamente, marcas de tiempo, direcciones IP, el tamaño en bytes de un objeto o el tipo de máquina virtual. GDC protege los metadatos de los clientes con un grado de protección razonable que permite garantizar un buen rendimiento y la continuidad de las operaciones.

Ventajas del cifrado en reposo

El cifrado en reposo ofrece las siguientes ventajas:

  • Reduce el impacto del acceso físico no autorizado a los datos almacenados en discos. Aunque los atacantes obtengan acceso físico a los dispositivos de almacenamiento, no podrán leer ni descifrar los datos sin las claves de cifrado, ya que los discos solo exponen datos cifrados.
  • Centra la estrategia de seguridad en la gestión de claves. Como los datos están cifrados, proteger las claves de cifrado es una medida de seguridad importante para evitar el acceso no autorizado a los datos.
  • Proporciona un mecanismo de privacidad importante. Cuando GDC cifra los datos en reposo, limita el acceso que tienen los sistemas y los ingenieros a los datos.

Capas de cifrado predeterminadas

GDC encripta automáticamente todo el contenido de los clientes almacenado en reposo mediante varias capas de cifrado. Este enfoque por capas implica que, si se produce una vulneración en una capa, es menos probable que se expongan los datos. Estas capas se implementan en los tipos de almacenamiento principales que usan las cargas de trabajo de los clientes, incluidos los siguientes:

  • Almacenamiento en bloques

    • Cifrado a nivel de hardware: utiliza unidades de autocifrado (SEDs) que cumplen el estándar FIPS 140-2. Las claves de cifrado de estos SEDs se almacenan en un módulo de seguridad de hardware (HSM) externo, lo que proporciona un almacenamiento compatible con FIPS 140-3.
    • Cifrado a nivel de software: implementa una capa adicional llamada cifrado de volumen (VE). Cada volumen de almacenamiento en bloque se cifra con una clave XTS-AES-256 única. Estas claves específicas de volumen también se almacenan en el HSM externo y se gestionan como CMEKs.

Claves de encriptado gestionadas por el cliente

Las claves de cifrado gestionadas por el cliente (CMEK) te permiten controlar las claves que protegen tus datos en reposo en GDC. De forma predeterminada, todos los datos almacenados en GDC se cifran en reposo mediante módulos criptográficos validados por FIPS 140 y claves respaldadas por HSM, sin necesidad de configuración.

Las CMEKs ofrecen las siguientes ventajas, que pueden ayudarte a cumplir tus requisitos de cumplimiento:

  • Control: tú controlas las claves, incluida la posibilidad de eliminarlas.
  • Transparencia: puedes auditar el acceso a la clave para asegurarte de que tus datos están protegidos.
  • Borrado criptográfico: la adopción de CMEK permite usar este método de destrucción de datos de alta garantía para corregir las fugas de datos y para los procesos de baja. Puedes eliminar claves fuera de la banda de los datos que protegen.
  • Aplicación centralizada: las claves de encriptado gestionadas de forma centralizada crean un único lugar para aplicar las políticas de acceso y auditar el uso de las claves.

Tipos de recursos de CMEK

Las CMEKs son claves de cifrado que el grupo de administradores de la plataforma puede monitorizar, auditar y eliminar. Estas claves se gestionan a través de recursos de Kubernetes mediante APIs de HSM o el sistema de gestión de claves (KMS).

Hay dos tipos de recursos de Kubernetes de CMEK:

  • CTMKey: recurso de Kubernetes creado y gestionado directamente en el HSM mediante Thales CipherTrust Manager (CTM). Puedes gestionar CTMKey recursos mediante kubectl para interactuar con la API HSM.

    Servicios como el almacenamiento en bloque usan CTMKey recursos como CMEKs.

  • AEADKey: un recurso de Kubernetes gestionado por el KMS. KMS te permite crear y gestionar tus propias claves de cifrado y firma. El KMS usa una clave raíz respaldada por un HSM para encapsular el material de AEADKey, lo que asegura que esté cifrado en reposo. Aunque la raíz de confianza sigue siendo el HSM, KMS proporciona una capa adicional de gestión de claves. Gestionas los recursos de AEADKey mediante kubectl para interactuar con la API de KMS.

    Servicios como el cifrado de segmentos de almacenamiento de objetos usan recursos de AEADKey como CMEKs.

Servicios compatibles con CMEK en GDC

Cuando creas recursos que almacenan datos en servicios de GDC, los servicios generan automáticamente las claves de cifrado que protegen tus datos y las ponen a tu disposición como recursos de CMEK.

Solo algunos servicios admiten la rotación de CMEK. Consulta la documentación de cada servicio para obtener instrucciones sobre la rotación de claves.

Los siguientes servicios de GDC admiten CMEK:

  • Almacenamiento en bloques: cifra cada dispositivo de almacenamiento en bloques.
  • Discos de máquinas virtuales (VM): cifra los discos de las VMs.
  • Servicio de base de datos: cifra los datos de tu instancia de base de datos. Ten en cuenta que las copias de seguridad de tu base de datos no están incluidas en el ámbito de CMEK y, en su lugar, se cifran con los ajustes del sistema de almacenamiento de copias de seguridad.
  • Cargas de trabajo del contenedor de usuario: cifra los metadatos de Kubernetes y el clúster etcd. Los volúmenes persistentes (PVs) que usan las cargas de trabajo de los contenedores se cifran como parte del cifrado del almacenamiento en bloques.
  • Almacenamiento: cifra cada objeto con una clave AES-256-GCM única, envuelta por una clave AEAD del KMS a nivel de segmento.