Esta página foi traduzida pela API Cloud Translation.

Encriptação em repouso

O Google Distributed Cloud (GDC) air-gapped oferece uma estratégia de segurança abrangente para ajudar a proteger os seus dados, com encriptação automática em repouso. A encriptação em repouso é uma medida de segurança que impede o acesso não autorizado a dados armazenados em armazenamento não volátil (armazenamento que retém dados mesmo após a perda de energia), como discos (incluindo unidades de estado sólido) e suportes de cópias de segurança. O GDC encripta o seu conteúdo em repouso, sem exigir qualquer ação da sua parte.

Este documento descreve os mecanismos de encriptação em repouso predefinidos no GDC e explica a funcionalidade de chaves de encriptação geridas pelo cliente (CMEK), que lhe permite controlar as chaves de encriptação que protegem os seus dados armazenados.

Este documento pressupõe uma compreensão básica da encriptação e dos tipos de dados criptográficos, e destina-se a públicos que gerem a segurança (como administradores de TI ou engenheiros de segurança) no GDC. Para mais informações, consulte a documentação sobre públicos-alvo para GDC com isolamento de ar.

Tipos de dados de clientes protegidos

Os dados do cliente referem-se aos dados que os clientes ou os utilizadores finais fornecem ao GDC através dos serviços na respetiva conta. O GDC processa as seguintes duas categorias de dados de clientes:

Conteúdo do cliente: dados que gera ou fornece ao GDC, como dados armazenados, capturas instantâneas de disco e políticas de gestão de identidade e acesso (IAM). A encriptação predefinida em repouso, conforme descrito neste documento, protege principalmente o conteúdo do cliente.
Metadados de clientes: todos os outros dados de clientes. Os metadados do cliente podem incluir números de projetos gerados automaticamente, datas/horas, endereços IP, o tamanho em bytes de um objeto ou o tipo de máquina virtual. O GDC protege os metadados dos clientes até um grau razoável para o desempenho e as operações contínuas.

Vantagens da encriptação em repouso

A encriptação em repouso tem as seguintes vantagens:

Reduz o impacto do acesso físico não autorizado aos dados armazenados em discos. Mesmo que os atacantes obtenham acesso físico aos dispositivos de armazenamento, não conseguem ler nem desencriptar os dados sem as chaves de encriptação, uma vez que os discos apenas expõem dados encriptados.
Foca a estratégia de segurança na gestão de chaves. Uma vez que os dados são encriptados, a proteção das chaves de encriptação é uma medida de segurança importante para impedir o acesso não autorizado aos dados.
Oferece um mecanismo de privacidade importante. Quando a GDC encripta os dados em repouso, limita o acesso que os sistemas e os engenheiros têm aos dados.

Camadas de encriptação predefinidas

O GDC encripta automaticamente todo o conteúdo do cliente armazenado em repouso através de várias camadas de encriptação. Esta abordagem em camadas significa que é menos provável que um compromisso numa camada exponha os dados. Estas camadas são implementadas nos tipos de armazenamento principais usados pelas cargas de trabalho dos clientes, incluindo o seguinte:

Armazenamento de blocos
- Encriptação ao nível do hardware: usa unidades de encriptação automática (SEDs) em conformidade com a norma FIPS 140-2. As chaves de encriptação para estes SEDs são armazenadas num módulo de segurança de hardware (HSM) externo, o que proporciona um armazenamento em conformidade com a norma FIPS 140-3.
- Encriptação ao nível do software: implementa uma camada adicional denominada encriptação de volume (EV). Cada volume de armazenamento em blocos é encriptado com uma chave XTS-AES-256 exclusiva. Estas chaves específicas do volume também são armazenadas no HSM externo e geridas como CMEKs.

Chaves de encriptação geridas do cliente

As chaves de encriptação geridas pelo cliente (CMEK) dão-lhe o controlo sobre as chaves que protegem os seus dados em repouso no GDC. Por predefinição, todos os dados armazenados no GDC são encriptados em repouso através de módulos criptográficos validados pela FIPS 140 e chaves suportadas por HSM, não sendo necessária qualquer configuração.

As CMEKs oferecem as seguintes vantagens que podem ajudar a cumprir os seus requisitos de conformidade:

Controlo: controla as chaves, incluindo a capacidade de as eliminar.
Transparência: pode auditar o acesso à chave para ajudar a garantir que os seus dados estão protegidos.
Apagamento criptográfico: a adoção das CMEK permite este método de destruição de dados de alta garantia para a remediação de derrames de dados e a desativação. Pode eliminar chaves fora da banda dos dados que protegem.
Aplicação centralizada: as chaves de encriptação geridas centralmente criam um único local para aplicar políticas de acesso e auditar a utilização das chaves.

Tipos de recursos CMEK

As CMEKs são chaves de encriptação que o grupo de administradores da plataforma pode monitorizar, auditar e eliminar. Gerir estas chaves através de recursos do Kubernetes com APIs HSM ou o Key Management System (KMS).

Existem dois tipos de recursos do Kubernetes de CMEK:

CTMKey: um recurso do Kubernetes criado e gerido diretamente no HSM através do Thales CipherTrust Manager (CTM). Pode gerir CTMKey recursos através de kubectl para interagir com a API HSM.

Os serviços, como o armazenamento em blocos, usam recursos CTMKey como CMEKs.
AEADKey: um recurso do Kubernetes gerido pelo KMS. O KMS permite-lhe criar e gerir as suas próprias chaves de encriptação e assinatura. O KMS usa uma chave raiz suportada por HSM para encapsular o material AEADKey, garantindo que está encriptado em repouso. Embora a raiz de fidedignidade continue a ser o HSM, o KMS oferece uma camada adicional de gestão de chaves. Faz a gestão dos recursos AEADKey através da kubectl para interagir com a API KMS.

Os serviços, como a encriptação de contentores de armazenamento de objetos, usam recursos AEADKey como CMEKs.

Serviços compatíveis com CMEK no GDC

Quando cria recursos que armazenam dados nos serviços da GDC, os serviços geram automaticamente as chaves de encriptação que protegem os seus dados e disponibilizam-nas como recursos CMEK.

Apenas alguns serviços suportam a rotação de CMEK. Consulte a documentação de cada serviço para ver instruções sobre a rotação de chaves.

Os seguintes serviços do GDC são compatíveis com a CMEK:

Bloquear armazenamento: encripta cada dispositivo de armazenamento de blocos.
Discos de máquinas virtuais (VMs): encripta os discos de VMs.
Serviço de base de dados: encripta os dados da instância da base de dados. Tenha em atenção que as cópias de segurança da sua base de dados estão fora do âmbito da CMEK e, em alternativa, são encriptadas através das definições do sistema de armazenamento de cópias de segurança.
Cargas de trabalho de contentores do utilizador: encripta os metadados do Kubernetes e o cluster etcd. Os volumes persistentes (PVs) usados por cargas de trabalho de contentores são encriptados como parte da encriptação do armazenamento de blocos.
Armazenamento: encripta cada objeto com uma chave AES-256-GCM única, envolvida por uma chave AEAD do KMS ao nível do contentor.

Encriptação em repouso Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.