Cette page a été traduite par l'API Cloud Translation.

Chiffrement au repos

Google Distributed Cloud (GDC) sous air gap offre une stratégie de sécurité complète pour protéger vos données, avec un chiffrement automatique au repos. Le chiffrement au repos est une mesure de sécurité qui empêche tout accès non autorisé aux données stockées sur un stockage non volatile (stockage qui conserve les données même en cas de perte d'alimentation), comme les disques (y compris les disques durs SSD) et les supports de sauvegarde. GDC chiffre vos contenus au repos, sans aucune action de votre part.

Ce document décrit les mécanismes de chiffrement au repos par défaut dans GDC et explique la fonctionnalité de clés de chiffrement gérées par le client (CMEK), qui vous permet de contrôler les clés de chiffrement protégeant vos données stockées.

Ce document suppose que vous possédez des connaissances de base en chiffrement et en types de données cryptographiques. Il s'adresse aux utilisateurs qui gèrent la sécurité (administrateurs informatiques ou ingénieurs en sécurité, par exemple) dans GDC. Pour en savoir plus, consultez la documentation sur les audiences pour GDC air-gapped.

Types de données client protégées

Les données client désignent les données que les clients ou les utilisateurs finaux fournissent à GDC via les services dans le cadre de leur compte. GDC gère les deux catégories de données client suivantes :

Contenus client : données que vous générez vous-même ou que vous fournissez à GDC, telles que les données stockées, les instantanés de disque et les stratégies IAM (Identity and Access Management). Le chiffrement au repos par défaut, tel que décrit dans ce document, protège principalement le contenu client.
Métadonnées client : toutes les autres données client. Les métadonnées client peuvent inclure des numéros de projet générés automatiquement, des horodatages, des adresses IP, la taille en octets d'un objet ou le type de machine virtuelle. GDC protège les métadonnées client à un niveau raisonnable pour assurer la continuité des performances et des opérations.

Avantages du chiffrement au repos

Le chiffrement au repos présente les avantages suivants :

Réduit l'impact d'un accès physique non autorisé aux données stockées sur les disques. Même si des pirates informatiques accèdent physiquement aux périphériques de stockage, ils ne peuvent pas lire ni déchiffrer les données sans les clés de chiffrement, car les disques n'exposent que des données chiffrées.
La stratégie de sécurité est axée sur la gestion des clés. Étant donné que les données sont chiffrées, la protection des clés de chiffrement est une mesure de sécurité importante pour empêcher tout accès non autorisé aux données.
Elle offre un mécanisme de confidentialité important. Lorsque GDC chiffre les données au repos, il limite l'accès des systèmes et des ingénieurs aux données.

Couches de chiffrement par défaut

GDC chiffre automatiquement tous les contenus client stockés au repos à l'aide de plusieurs couches de chiffrement. Cette approche en couches signifie qu'une compromission à un niveau est moins susceptible d'exposer les données. Ces couches sont implémentées dans les principaux types de stockage utilisés par les charges de travail des clients, y compris les suivants :

Stockage de blocs
- Chiffrement au niveau matériel : utilise des lecteurs auto-chiffrants (SED) conformes à la norme FIPS 140-2. Les clés de chiffrement de ces disques SED sont stockées dans un module de sécurité matériel (HSM) externe, ce qui permet un stockage conforme à la norme FIPS 140-3.
- Chiffrement au niveau logiciel : implémente une couche supplémentaire appelée "chiffrement du volume" (VE, Volume Encryption). Chaque volume de stockage par blocs est chiffré avec une clé XTS-AES-256 unique. Ces clés spécifiques au volume sont également stockées dans le HSM externe et gérées en tant que CMEK.

Clés de chiffrement gérées par le client

Les clés de chiffrement gérées par le client (CMEK) vous permettent de contrôler les clés qui protègent vos données au repos dans GDC. Par défaut, toutes les données stockées dans GDC sont chiffrées au repos à l'aide de modules cryptographiques validés FIPS 140 et de clés sauvegardées par HSM, sans qu'aucune configuration ni installation ne soit requise.

Les clés CMEK offrent les avantages suivants qui peuvent vous aider à répondre à vos exigences de conformité :

Contrôle : vous contrôlez les clés, y compris la possibilité de les supprimer.
Transparence : vous pouvez auditer l'accès à la clé pour vous assurer que vos données sont protégées.
Effacement cryptographique : l'adoption de CMEK permet cette méthode de destruction des données à haute assurance pour la correction des fuites de données et le désabonnement. Vous pouvez supprimer les clés hors bande des données qu'elles protègent.
Application centralisée : les clés de chiffrement gérées de manière centralisée créent un point d'accès unique pour appliquer les règles d'accès et auditer l'utilisation des clés.

Types de ressources CMEK

Les CMEK sont des clés de chiffrement que le groupe d'administrateurs de la plate-forme peut surveiller, auditer et supprimer. Vous gérez ces clés via des ressources Kubernetes à l'aide des API HSM ou du système de gestion des clés (KMS).

Il existe deux types de ressources Kubernetes CMEK :

CTMKey : ressource Kubernetes créée et gérée directement dans le HSM à l'aide de Thales CipherTrust Manager (CTM). Vous pouvez gérer les ressources CTMKey à l'aide de kubectl pour interagir avec l'API HSM.

Les services tels que le stockage par blocs utilisent des ressources CTMKey comme CMEK.
AEADKey : ressource Kubernetes gérée par le KMS. KMS vous permet de créer et de gérer vos propres clés de chiffrement et de signature. KMS utilise une clé racine soutenue par un HSM pour encapsuler le matériel AEADKey, ce qui garantit qu'il est chiffré au repos. Bien que la racine de confiance reste le HSM, KMS fournit une couche supplémentaire de gestion des clés. Vous gérez les ressources AEADKey à l'aide de kubectl pour interagir avec l'API KMS.

Les services tels que le chiffrement des buckets de stockage d'objets utilisent les ressources AEADKey comme CMEK.

Services compatibles avec les CMEK dans GDC

Lorsque vous créez des ressources qui stockent des données dans les services GDC, les services génèrent automatiquement les clés de chiffrement qui protègent vos données et les rendent disponibles en tant que ressources CMEK.

Seuls certains services sont compatibles avec la rotation des clés CMEK. Consultez la documentation de chaque service pour obtenir des instructions sur la rotation des clés.

Les services GDC suivants sont compatibles avec CMEK :

Stockage de blocs : chiffre chaque périphérique de stockage de blocs.
Disques de machine virtuelle (VM) : chiffre les disques de VM.
Service de base de données : chiffre les données de votre instance de base de données. Notez que les sauvegardes de votre base de données ne sont pas concernées par CMEK. Elles sont chiffrées à l'aide des paramètres du système de stockage des sauvegardes.
Charges de travail des conteneurs utilisateur : chiffre les métadonnées Kubernetes et le cluster etcd. Les volumes persistants (PV) utilisés par les charges de travail de conteneurs sont chiffrés dans le cadre du chiffrement du stockage de blocs.
Stockage : chaque objet est chiffré avec une clé AES-256-GCM unique, encapsulée par une clé AEAD KMS au niveau du bucket.

Chiffrement au repos Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.