Questa pagina è stata tradotta dall'API Cloud Translation.

Crittografia at-rest

Google Distributed Cloud (GDC) con air gap fornisce una strategia di sicurezza completa per proteggere i tuoi dati, con crittografia automatica dei dati inattivi. La crittografia dei dati inattivi è una misura di sicurezza che impedisce l'accesso non autorizzato ai dati archiviati su supporti di archiviazione non volatili (supporti di archiviazione che conservano i dati anche dopo l'interruzione dell'alimentazione), come dischi (incluse le unità a stato solido) e supporti di backup. GDC cripta i tuoi contenuti archiviati non attivi, senza richiedere alcuna azione da parte tua.

Questo documento descrive i meccanismi di crittografia at-rest predefiniti in GDC e spiega la funzionalità delle chiavi di crittografia gestite dal cliente (CMEK), che ti consente di controllare le chiavi di crittografia che proteggono i tuoi dati archiviati.

Questo documento presuppone una conoscenza di base della crittografia e dei tipi di dati crittografici ed è destinato a un pubblico che gestisce la sicurezza (ad esempio amministratori IT o ingegneri della sicurezza) all'interno di GDC. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Tipi di dati dei clienti protetti

I dati dei clienti si riferiscono ai dati che i clienti o gli utenti finali forniscono a GDC tramite i servizi collegati al loro account. GDC gestisce le seguenti due categorie di dati dei clienti:

Contenuti dei clienti: dati che generi tu stesso o fornisci a GDC, come dati archiviati, snapshot di dischi e criteri Identity and Access Management (IAM). La crittografia at-rest predefinita, come descritto in questo documento, protegge principalmente i contenuti dei clienti.
Metadati dei clienti: tutti gli altri dati dei clienti. I metadati dei clienti possono includere numeri di progetto generati automaticamente, timestamp, indirizzi IP, le dimensioni in byte di un oggetto o il tipo di macchina virtuale. GDC protegge i metadati dei clienti in modo ragionevole per garantire prestazioni costanti e continuità delle operazioni.

Vantaggi della crittografia at-rest

La crittografia dei dati inattivi presenta i seguenti vantaggi:

Riduce l'impatto dell'accesso fisico non autorizzato ai dati memorizzati sui dischi. Anche se gli autori degli attacchi ottengono l'accesso fisico ai dispositivi di archiviazione, non possono leggere o decriptare i dati senza le chiavi di crittografia, in quanto i dischi espongono solo dati criptati.
Concentra la strategia di sicurezza sulla gestione delle chiavi. Poiché i dati sono criptati, la protezione delle chiavi di crittografia è una misura di sicurezza importante per impedire l'accesso non autorizzato ai dati.
Fornisce un importante meccanismo di tutela della privacy. Quando GDC cripta i dati inattivi, limita l'accesso ai dati da parte di sistemi e ingegneri.

Livelli di crittografia predefiniti

GDC cripta automaticamente tutti i contenuti dei clienti archiviati inattivi utilizzando più livelli di crittografia. Questo approccio a più livelli significa che una compromissione a un livello ha meno probabilità di esporre i dati. Questi livelli sono implementati nei tipi di archiviazione principali utilizzati dai carichi di lavoro dei clienti, inclusi i seguenti:

Archiviazione a blocchi
- Crittografia a livello hardware:utilizza unità auto-crittografanti (SED) conformi allo standard FIPS 140-2. Le chiavi di crittografia per questi SED sono memorizzate in un modulo di sicurezza hardware (HSM) esterno, che fornisce uno spazio di archiviazione conforme a FIPS 140-3.
- Crittografia a livello di software:implementa un livello aggiuntivo chiamato crittografia del volume (VE). Ogni volume di archiviazione a blocchi è criptato con una chiave XTS-AES-256 univoca. Queste chiavi specifiche del volume vengono archiviate anche nell'HSM esterno e gestite come CMEK.

Chiavi di crittografia gestite dal cliente

Le chiavi di crittografia gestite dal cliente (CMEK) ti consentono di controllare le chiavi che proteggono i tuoi dati at-rest in GDC. Per impostazione predefinita, tutti i dati archiviati in GDC vengono criptati at-rest utilizzando moduli crittografici convalidati FIPS 140 e chiavi supportate da HSM, senza richiedere configurazione o impostazione.

Le chiavi CMEK offrono i seguenti vantaggi che possono aiutarti a soddisfare i requisiti di conformità:

Controllo:controlli le chiavi, inclusa la possibilità di eliminarle.
Trasparenza:puoi controllare l'accesso alla chiave per assicurarti che i tuoi dati siano protetti.
Cancellazione crittografica:l'adozione di CMEK consente questo metodo di distruzione dei dati ad alta affidabilità per la correzione e l'offboarding della fuoriuscita di dati. Puoi eliminare le chiavi al di fuori della banda dei dati che proteggono.
Applicazione centralizzata: le chiavi di crittografia gestite centralmente creano un'unica posizione in cui applicare le norme di accesso e controllare l'utilizzo delle chiavi.

Tipi di risorse CMEK

Le CMEK sono chiavi di crittografia che il gruppo di amministratori della piattaforma può monitorare, controllare ed eliminare. Gestisci queste chiavi tramite le risorse Kubernetes utilizzando le API HSM o il Key Management System (KMS).

Esistono due tipi di risorse Kubernetes CMEK:

CTMKey: una risorsa Kubernetes creata e gestita direttamente all'interno dell'HSM utilizzando Thales CipherTrust Manager (CTM). Puoi gestire le risorse CTMKey utilizzando kubectl per interagire con l'API HSM.

Servizi come l'archiviazione a blocchi utilizzano le risorse CTMKey come chiavi CMEK.
AEADKey: una risorsa Kubernetes gestita da KMS. KMS ti consente di creare e gestire le tue chiavi di crittografia e firma. KMS utilizza una chiave radice supportata da HSM per eseguire il wrapping del materiale AEADKey, assicurandosi che sia criptato a riposo. Sebbene la radice di attendibilità sia ancora l'HSM, KMS fornisce un ulteriore livello di gestione delle chiavi. Gestisci le risorse AEADKey utilizzando kubectl per interagire con l'API KMS.

Servizi come la crittografia dei bucket di archiviazione degli oggetti utilizzano le risorse AEADKey come CMEK.

Servizi supportati da CMEK in GDC

Quando crei risorse che archiviano dati all'interno dei servizi GDC, questi generano automaticamente le chiavi di crittografia che proteggono i tuoi dati e le rendono disponibili come risorse CMEK.

Solo alcuni servizi supportano la rotazione della chiave di crittografia gestita dal cliente. Consulta la documentazione di ogni servizio per istruzioni sulla rotazione della chiave.

I seguenti servizi GDC supportano CMEK:

Archiviazione a blocchi: cripta ogni dispositivo di archiviazione a blocchi.
Dischi delle macchine virtuali (VM): cripta i dischi delle VM.
Servizio di database: cripta i dati per l'istanza di database. Tieni presente che i backup del database non rientrano nell'ambito della CMEK e vengono invece criptati utilizzando le impostazioni del sistema di archiviazione dei backup.
Workload dei container utente: cripta i metadati di Kubernetes e il cluster etcd. I volumi permanenti (PV) utilizzati dai carichi di lavoro dei container sono criptati nell'ambito della crittografia dello spazio di archiviazione a blocchi.
Archiviazione: cripta ogni oggetto con una chiave AES-256-GCM univoca, racchiusa da una chiave AEAD KMS a livello di bucket.

Crittografia at-rest Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.