Halaman ini diterjemahkan oleh Cloud Translation API.

Enkripsi dalam penyimpanan

Google Distributed Cloud (GDC) dengan air gap menyediakan strategi keamanan komprehensif untuk membantu melindungi data Anda, yang dilengkapi dengan enkripsi otomatis dalam penyimpanan. Enkripsi dalam penyimpanan adalah langkah keamanan yang mencegah akses tidak sah ke data yang disimpan di penyimpanan non-volatile (penyimpanan yang mempertahankan data meskipun kehilangan daya), seperti disk (termasuk solid-state drive) dan media cadangan. GDC mengenkripsi konten Anda dalam penyimpanan, tanpa memerlukan tindakan apa pun dari Anda.

Dokumen ini menjelaskan mekanisme enkripsi dalam penyimpanan default di GDC dan menjelaskan fitur Kunci Enkripsi yang Dikelola Pelanggan (CMEK), yang memungkinkan Anda mengontrol kunci enkripsi yang melindungi data tersimpan Anda.

Dokumen ini mengasumsikan pemahaman dasar tentang enkripsi dan jenis data kriptografi, serta ditujukan bagi audiens yang mengelola keamanan (seperti admin IT atau engineer keamanan) dalam GDC. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Audiens untuk GDC yang terisolasi dari internet.

Jenis data pelanggan yang dilindungi

Data pelanggan mengacu pada data yang diberikan pelanggan atau pengguna akhir kepada GDC melalui layanan yang terkait dengan akun mereka. GDC menangani dua kategori data pelanggan berikut:

Konten pelanggan: Data yang Anda buat sendiri atau berikan kepada GDC, seperti data tersimpan, snapshot disk, dan kebijakan Identity and Access Management (IAM). Enkripsi dalam penyimpanan default, seperti yang dijelaskan dalam dokumen ini, terutama melindungi konten pelanggan.
Metadata pelanggan: Semua data pelanggan lainnya. Metadata pelanggan dapat mencakup nomor project yang dihasilkan secara otomatis, stempel waktu, alamat IP, ukuran byte objek, atau jenis virtual machine. GDC melindungi metadata pelanggan hingga suatu tingkat yang wajar untuk mendukung performa dan operasi yang berkelanjutan.

Manfaat enkripsi dalam penyimpanan

Enkripsi dalam penyimpanan memiliki manfaat berikut:

Mengurangi dampak akses fisik yang tidak sah ke data yang disimpan di disk. Meskipun penyerang mendapatkan akses fisik ke perangkat penyimpanan, mereka tidak dapat membaca atau mendekripsi data tanpa kunci enkripsi, karena disk hanya mengekspos data terenkripsi.
Memfokuskan strategi keamanan pada pengelolaan kunci. Karena data dienkripsi, melindungi kunci enkripsi adalah salah satu langkah keamanan penting untuk mencegah akses data yang tidak sah.
Menyediakan mekanisme privasi yang penting. Saat mengenkripsi data dalam penyimpanan, GDC membatasi akses yang dimiliki sistem dan engineer ke data tersebut.

Lapisan enkripsi default

GDC otomatis mengenkripsi semua konten pelanggan yang disimpan dalam status nonaktif menggunakan beberapa lapisan enkripsi. Pendekatan berlapis ini berarti kompromi di satu lapisan cenderung tidak mengekspos data. Lapisan ini diimplementasikan di seluruh jenis penyimpanan utama yang digunakan oleh workload pelanggan, termasuk:

Block Storage
- Enkripsi tingkat hardware: Memanfaatkan Drive yang Enkripsi Sendiri (SED) yang mematuhi FIPS 140-2. Kunci enkripsi untuk SED ini disimpan dalam Modul Keamanan Hardware (HSM) eksternal, yang menyediakan penyimpanan yang mematuhi FIPS 140-3.
- Enkripsi tingkat software: Menerapkan lapisan tambahan yang disebut Enkripsi Volume (VE). Setiap volume penyimpanan blok dienkripsi dengan kunci XTS-AES-256 yang unik. Kunci khusus volume ini juga disimpan di HSM eksternal dan dikelola sebagai CMEK.

Kunci enkripsi yang dikelola pelanggan

Kunci Enkripsi yang Dikelola Pelanggan (CMEK) memberi Anda kontrol atas kunci yang melindungi data dalam penyimpanan di GDC. Secara default, semua data yang disimpan dalam GDC dienkripsi dalam penyimpanan menggunakan modul kriptografi yang divalidasi FIPS 140 dan kunci yang didukung HSM, tanpa memerlukan penyiapan atau konfigurasi.

CMEK menawarkan keuntungan berikut yang dapat membantu Anda memenuhi persyaratan kepatuhan:

Kontrol: Anda mengontrol kunci, termasuk kemampuan untuk menghapusnya.
Transparansi: Anda dapat mengaudit akses ke kunci untuk membantu memastikan data Anda dilindungi.
Penghapusan kriptografis: Penggunaan CMEK memungkinkan metode penghancuran data dengan jaminan tinggi ini untuk remediasi dan penghentian penggunaan data. Anda dapat menghapus kunci di luar band data yang dilindunginya.
Penerapan terpusat: Kunci enkripsi yang dikelola secara terpusat membuat satu tempat untuk menerapkan kebijakan akses dan mengaudit penggunaan kunci.

Jenis resource CMEK

CMEK adalah kunci enkripsi yang dapat dipantau, diaudit, dan dihapus oleh grup administrator platform. Anda mengelola kunci ini melalui resource Kubernetes menggunakan API HSM atau Key Management System (KMS).

Ada dua jenis resource Kubernetes CMEK:

CTMKey: Resource Kubernetes yang dibuat dan dikelola langsung dalam HSM menggunakan Thales CipherTrust Manager (CTM). Anda dapat mengelola resource CTMKey menggunakan kubectl untuk berinteraksi dengan HSM API.

Layanan seperti penyimpanan blok menggunakan resource CTMKey sebagai CMEK.
AEADKey: Resource Kubernetes yang dikelola oleh KMS. Dengan KMS, Anda dapat membuat dan mengelola kunci penandatanganan dan enkripsi Anda sendiri. KMS menggunakan kunci root yang didukung HSM untuk membungkus materi AEADKey, sehingga memastikan materi tersebut dienkripsi dalam penyimpanan. Meskipun root of trust masih berupa HSM, KMS memberikan lapisan tambahan pengelolaan kunci. Anda mengelola resource AEADKey menggunakan kubectl untuk berinteraksi dengan KMS API.

Layanan seperti enkripsi bucket penyimpanan objek menggunakan resource AEADKey sebagai CMEK.

Layanan yang didukung CMEK di GDC

Saat Anda membuat resource yang menyimpan data dalam layanan GDC, layanan tersebut akan otomatis membuat kunci enkripsi yang melindungi data Anda dan menyediakannya sebagai resource CMEK.

Hanya beberapa layanan yang mendukung rotasi CMEK. Lihat dokumentasi untuk setiap layanan guna mengetahui petunjuk tentang rotasi kunci.

Layanan GDC berikut mendukung CMEK:

Penyimpanan blok: Mengenkripsi setiap perangkat penyimpanan blok.
Disk virtual machine (VM): Mengenkripsi disk VM.
Layanan database: Mengenkripsi data untuk instance database Anda. Perhatikan bahwa pencadangan untuk database Anda tidak termasuk dalam cakupan CMEK dan sebagai gantinya dienkripsi menggunakan setelan sistem penyimpanan cadangan.
Beban kerja penampung pengguna: Mengenkripsi metadata Kubernetes dan cluster etcd. Volume persisten (PV) yang digunakan oleh beban kerja container dienkripsi sebagai bagian dari enkripsi penyimpanan blok.
Penyimpanan: Mengenkripsi setiap objek dengan kunci AES-256-GCM unik, yang dienkripsi dengan kunci AEAD KMS tingkat bucket.

Enkripsi dalam penyimpanan Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.