Se usó la API de Cloud Translation para traducir esta página.

Encriptación en reposo

Google Distributed Cloud (GDC) aislado proporciona una estrategia de seguridad integral para ayudar a proteger tus datos, que incluye la encriptación automática en reposo. La encriptación en reposo es una medida de seguridad que evita el acceso no autorizado a los datos almacenados en un almacenamiento no volátil (almacenamiento que retiene los datos incluso después de perder energía), como los discos (incluidas las unidades de estado sólido) y los medios de copia de seguridad. GDC encripta tu contenido en reposo sin que debas realizar ninguna acción.

En este documento, se describen los mecanismos de encriptación en reposo predeterminados en GDC y se explica la función de claves de encriptación administradas por el cliente (CMEK), que te permite controlar las claves de encriptación que protegen tus datos almacenados.

En este documento, se supone que tienes conocimientos básicos sobre la encriptación y los tipos de datos criptográficos, y está dirigido a los públicos que administran la seguridad (como los administradores de TI o los ingenieros de seguridad) dentro de GDC. Para obtener más información, consulta Audiences for GDC air-gapped documentation.

Tipos de datos del cliente protegidos

Los datos del cliente hacen referencia a los datos que los clientes o los usuarios finales proporcionan a GDC a través de los servicios que se indican en su cuenta. GDC maneja las siguientes dos categorías de datos del cliente:

Contenido del cliente: Son los datos que generas o proporcionas a GDC, como los datos almacenados, las instantáneas de discos y las políticas de Identity and Access Management (IAM). La encriptación en reposo predeterminada, como se describe en este documento, protege principalmente el contenido del cliente.
Metadatos de clientes: Son todos los demás datos de los clientes. Los metadatos de clientes pueden incluir números de proyectos, marcas de tiempo, direcciones IP, tamaños de bytes de un objeto o el tipo de máquina virtual generados automáticamente. GDC protege los metadatos del cliente en un nivel razonable que permita mantener las operaciones y el rendimiento.

Beneficios de la encriptación en reposo

La encriptación en reposo tiene los siguientes beneficios:

Reduce el impacto del acceso físico no autorizado a los datos almacenados en los discos. Incluso si los atacantes obtienen acceso físico a los dispositivos de almacenamiento, no pueden leer ni desencriptar los datos sin las claves de encriptación, ya que los discos solo exponen datos encriptados.
Enfoca la estrategia de seguridad en la administración de claves. Debido a que los datos están encriptados, proteger las claves de encriptación es una medida de seguridad importante para evitar el acceso no autorizado a los datos.
Proporciona un mecanismo de privacidad importante. Cuando GDC encripta los datos en reposo, limita el acceso de ingenieros y sistemas a los datos.

Capas de encriptación predeterminadas

GDC encripta automáticamente todo el contenido de los clientes almacenado en reposo con varias capas de encriptación. Este enfoque en capas significa que es menos probable que una vulneración en una capa exponga los datos. Estas capas se implementan en los principales tipos de almacenamiento que usan las cargas de trabajo de los clientes, incluidos los siguientes:

Almacenamiento en bloque
- Encriptación a nivel del hardware: Utiliza unidades de disco autoencriptadas (SED) que cumplen con el estándar FIPS 140-2. Las claves de encriptación de estas SED se almacenan en un módulo de seguridad de hardware (HSM) externo, lo que proporciona almacenamiento compatible con FIPS 140-3.
- Encriptación a nivel de software: Implementa una capa adicional llamada Encriptación de volumen (VE). Cada volumen de almacenamiento en bloque se encripta con una clave XTS-AES-256 única. Estas claves específicas del volumen también se almacenan en el HSM externo y se administran como CMEK.

Claves de encriptación administradas por el cliente

Las claves de encriptación administradas por el cliente (CMEK) te brindan control sobre las claves que protegen tus datos en reposo en GDC. De forma predeterminada, todos los datos almacenados en GDC se encriptan en reposo con módulos criptográficos validados por FIPS 140 y claves respaldadas por HSM, sin necesidad de configuración.

Las CMEK ofrecen las siguientes ventajas que pueden ayudarte a cumplir con tus requisitos de cumplimiento:

Control: Tú controlas las llaves, incluida la capacidad de borrarlas.
Transparencia: Puedes auditar el acceso a la clave para garantizar que tus datos estén protegidos.
Borrado criptográfico: La adopción de CMEK habilita este método de destrucción de datos de alta garantía para la corrección de filtraciones de datos y la baja de usuarios. Puedes borrar claves fuera de la banda de los datos que protegen.
Aplicación centralizada: Las claves de encriptación administradas de forma central crean un lugar único para aplicar políticas de acceso y auditar el uso de claves.

Tipos de recursos de CMEK

Las CMEK son claves de encriptación que el grupo de administradores de la plataforma puede supervisar, auditar y borrar. Administras estas claves a través de recursos de Kubernetes con las APIs de HSM o el Sistema de administración de claves (KMS).

Existen dos tipos de recursos de CMEK de Kubernetes:

CTMKey: Es un recurso de Kubernetes que se crea y administra directamente dentro del HSM con Thales CipherTrust Manager (CTM). Puedes administrar los recursos de CTMKey con kubectl para interactuar con la API del HSM.

Los servicios, como el almacenamiento en bloque, usan recursos CTMKey como CMEK.
AEADKey: Es un recurso de Kubernetes administrado por el KMS. KMS te permite crear y administrar tus propias claves de encriptación y firma. KMS usa una clave raíz respaldada por un HSM para unir el material de AEADKey, lo que garantiza que esté encriptado en reposo. Si bien la raíz de confianza sigue siendo el HSM, el KMS proporciona una capa adicional de administración de claves. Administras los recursos de AEADKey con kubectl para interactuar con la API de KMS.

Los servicios, como la encriptación de bucket de almacenamiento de objetos, usan recursos de AEADKey como CMEK.

Servicios compatibles con CMEK en GDC

Cuando creas recursos que almacenan datos dentro de los servicios de GDC, los servicios generan automáticamente las claves de encriptación que protegen tus datos y las ponen a disposición como recursos de CMEK.

Solo algunos servicios admiten la rotación de CMEK. Consulta la documentación de cada servicio para obtener instrucciones sobre la rotación de claves.

Los siguientes servicios de GDC admiten CMEK:

Almacenamiento en bloque: Encripta cada dispositivo de almacenamiento en bloque.
Discos de máquina virtual (VM): Encripta los discos de VM.
Servicio de base de datos: Encripta los datos de tu instancia de base de datos. Ten en cuenta que las copias de seguridad de tu base de datos no se incluyen en el alcance de la CMEK y, en cambio, se encriptan con la configuración del sistema de almacenamiento de copias de seguridad.
Cargas de trabajo de contenedores del usuario: Encripta los metadatos de Kubernetes y el clúster de etcd. Los volúmenes persistentes (PVs) que usan las cargas de trabajo de contenedores se encriptan como parte de la encriptación del almacenamiento en bloque.
Almacenamiento: Encripta cada objeto con una clave AES-256-GCM única, encapsulada por una clave AEAD de KMS a nivel del bucket.

Encriptación en reposo Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.