保存データの暗号化

Google Distributed Cloud(GDC)エアギャップは、保存データの自動暗号化など、データを保護するための包括的なセキュリティ戦略を提供します。保存データの暗号化は、ディスク(SSD を含む)やバックアップ メディアなどの不揮発性ストレージ(電源が切れてもデータを保持するストレージ)に保存されているデータへの不正アクセスを防ぐセキュリティ対策です。GDC は、お客様の操作を必要とせずに、保存されているコンテンツを暗号化します。

このドキュメントでは、GDC のデフォルトの保存データ暗号化メカニズムについて説明し、保存データを保護する暗号鍵を制御できる顧客管理の暗号鍵(CMEK)機能について説明します。

このドキュメントは、暗号化と暗号データ型の基本を理解していることを前提としており、GDC 内でセキュリティを管理するユーザー(IT 管理者やセキュリティ エンジニアなど)を対象としています。詳細については、GDC エアギャップの対象読者に関するドキュメントをご覧ください。

保護されるお客様のデータの種類

顧客データとは、お客様またはエンドユーザーが自身のアカウントを使用して、サービス経由で GDC に提供するデータです。GDC は、次の 2 つのカテゴリの顧客データを処理します。

  • 顧客コンテンツ: 保存データ、ディスク スナップショット、Identity and Access Management(IAM)ポリシーなど、お客様自身で作成したデータまたは GDC に提供したデータ。このドキュメントで説明するデフォルトの保存データの暗号化は、主に顧客コンテンツを保護します。

  • 顧客メタデータ: その他のすべての顧客データ。顧客メタデータには、自動生成されたプロジェクト番号、タイムスタンプ、IP アドレス、オブジェクトのバイトサイズ、仮想マシンタイプなどがあります。GDC は、進行中のパフォーマンスやオペレーションに対して妥当な範囲で顧客メタデータを保護します。

保存データの暗号化のメリット

保存データの暗号化には、次の利点があります。

  • ディスクに保存されているデータへの不正な物理的アクセスの影響を軽減します。攻撃者がストレージ デバイスに物理的にアクセスできたとしても、ディスクには暗号化されたデータしか公開されないため、暗号鍵がなければデータを読み取ったり復号したりすることはできません。
  • セキュリティ戦略の焦点を鍵管理に絞ります。データは暗号化されているため、暗号鍵の保護は、データへの不正アクセスを防ぐための重要なセキュリティ対策の一つです。
  • 重要なプライバシー メカニズムを提供します。GDC が保存データを暗号化すると、システムとエンジニアがデータにアクセスできる範囲が制限されます。

デフォルトの暗号化レイヤ

GDC では、複数の暗号化レイヤを使用して、保存されているすべての顧客コンテンツが自動的に暗号化されます。この階層型のアプローチにより、1 つのレイヤが侵害されてもデータが漏洩する可能性は低くなります。これらのレイヤは、お客様のワークロードで使用される次のプライマリ ストレージ タイプ全体に実装されます。

  • ブロック ストレージ

    • ハードウェア レベルの暗号化: FIPS 140-2 準拠の自己暗号化ドライブ(SED)を利用します。これらの SED の暗号鍵は外部のハードウェア セキュリティ モジュール(HSM)に保存され、FIPS 140-3 準拠のストレージが提供されます。
    • ソフトウェア レベルの暗号化: ボリューム暗号化(VE)と呼ばれる追加レイヤを実装します。各ブロック ストレージ ボリュームは、一意の XTS-AES-256 鍵で暗号化されます。これらのボリューム固有の鍵も外部 HSM に保存され、CMEK として管理されます。

顧客管理の暗号鍵

顧客管理の暗号鍵(CMEK)を使用すると、GDC で保存データを保護する鍵を制御できます。デフォルトでは、GDC 内に保存されるすべてのデータは、FIPS 140 認定の暗号化モジュールと HSM 対応の鍵を使用して保存時に暗号化されます。セットアップや構成は必要ありません。

CMEK には、コンプライアンス要件の遵守に役立つ次の利点があります。

  • 制御: 鍵の削除など、鍵を制御できます。
  • 透明性: 鍵へのアクセスを監査して、データが保護されていることを確認できます。
  • 暗号消去: CMEK を採用すると、データ漏洩の修復とオフボーディングにこの高保証データ破壊方法を使用できます。保護対象のデータとは別に鍵を削除できます。
  • 一元化された適用: 暗号鍵を一元管理することで、アクセス ポリシーを適用し、鍵の使用状況を監査する単一の場所が作成されます。

CMEK リソースの種類

CMEK は、プラットフォーム管理者グループがモニタリング、監査、削除できる暗号鍵です。これらの鍵は、HSM API または Key Management System(KMS)を使用して、Kubernetes リソースを介して管理します。

CMEK Kubernetes リソースには次の 2 種類があります。

  • CTMKey: Thales CipherTrust Manager(CTM)を使用して HSM 内で直接作成および管理される Kubernetes リソース。kubectl を使用して HSM API を操作し、CTMKey リソースを管理できます。

    ブロック ストレージなどのサービスは、CTMKey リソースを CMEK として使用します。

  • AEADKey: KMS によって管理される Kubernetes リソース。KMS を使用すると、独自の暗号鍵と署名鍵を作成して管理できます。KMS は HSM バックアップのルート鍵を使用して AEADKey マテリアルをラップし、保存時に暗号化されるようにします。信頼のルートは引き続き HSM ですが、KMS は鍵管理の追加レイヤを提供します。AEADKey リソースは、kubectl を使用して KMS API とやり取りすることで管理します。

    オブジェクト ストレージ バケットの暗号化などのサービスは、AEADKey リソースを CMEK として使用します。

GDC で CMEK がサポートされているサービス

GDC サービス内にデータを保存するリソースを作成すると、サービスはデータを保護する暗号鍵を自動的に生成し、CMEK リソースとして使用できるようにします。

CMEK ローテーションは、一部のサービスでのみサポートされています。鍵のローテーションの手順については、各サービスのドキュメントをご覧ください。

次の GDC サービスは CMEK をサポートしています。

  • ブロック ストレージ: 各ブロック ストレージ デバイスを暗号化します。
  • 仮想マシン(VM)ディスク: VM ディスクを暗号化します。
  • データベース サービス: データベース インスタンスのデータを暗号化します。データベースのバックアップは CMEK の対象外であり、バックアップ ストレージ システムの設定を使用して暗号化されます。
  • ユーザー コンテナ ワークロード: Kubernetes メタデータと etcd クラスタを暗号化します。コンテナ ワークロードで使用される永続ボリューム(PV)は、ブロック ストレージ暗号化の一部として暗号化されます。
  • ストレージ: 各オブジェクトを一意の AES-256-GCM 鍵で暗号化し、バケットレベルの KMS AEAD 鍵でラップします。