Esta página foi traduzida pela API Cloud Translation.

Criptografia em repouso

O Google Distributed Cloud (GDC) com isolamento físico oferece uma estratégia de segurança abrangente para ajudar a proteger seus dados, com criptografia automática em repouso. A criptografia em repouso é uma medida de segurança que impede o acesso não autorizado a dados armazenados em armazenamento não volátil (que retém dados mesmo após a perda de energia), como discos (incluindo unidades de estado sólido) e mídia de backup. O GDC criptografa seu conteúdo em repouso sem exigir nenhuma ação da sua parte.

Este documento descreve os mecanismos padrão de criptografia em repouso no GDC e explica o recurso de chaves de criptografia gerenciadas pelo cliente (CMEK), que permite controlar as chaves de criptografia que protegem seus dados armazenados.

Este documento pressupõe um conhecimento básico de criptografia e tipos de dados criptográficos e é destinado a públicos que gerenciam a segurança (como administradores de TI ou engenheiros de segurança) no GDC. Para mais informações, consulte Públicos-alvo da documentação isolada do GDC.

Tipos de dados de clientes protegidos

Os dados do cliente se referem aos dados que os clientes ou usuários finais fornecem ao GDC pelos serviços da conta deles. O GDC processa as duas categorias de dados de clientes a seguir:

Conteúdo do cliente: dados que você gera ou fornece ao GDC, como dados armazenados, snapshots de disco e políticas do Identity and Access Management (IAM). A criptografia padrão em repouso, conforme descrito neste documento, protege principalmente o conteúdo do cliente.
Metadados do cliente: todos os outros dados do cliente. Os metadados do cliente podem incluir números de projeto gerados automaticamente, carimbos de data/hora, endereços IP, o tamanho em bytes de um objeto ou o tipo de máquina virtual. O GDC protege os metadados do cliente em um nível razoável para manter o desempenho e as operações contínuas.

Benefícios da criptografia em repouso

A criptografia em repouso tem os seguintes benefícios:

Reduz o impacto do acesso físico não autorizado aos dados armazenados em discos. Mesmo que os invasores tenham acesso físico aos dispositivos de armazenamento, eles não poderão ler ou descriptografar os dados sem as chaves de criptografia, já que os discos expõem apenas dados criptografados.
Concentra a estratégia de segurança no gerenciamento de chaves. Como os dados são criptografados, proteger as chaves de criptografia é uma medida de segurança importante para evitar o acesso não autorizado.
Oferece um importante mecanismo de privacidade. Quando o GDC criptografa dados em repouso, ele limita o acesso dos sistemas e engenheiros aos dados.

Camadas de criptografia padrão

O GDC criptografa automaticamente todo o conteúdo do cliente armazenado em repouso usando várias camadas de criptografia. Essa abordagem em camadas significa que uma violação em uma camada tem menos probabilidade de expor os dados. Essas camadas são implementadas em todos os tipos de armazenamento principais usados pelas cargas de trabalho dos clientes, incluindo:

Armazenamento em blocos
- Criptografia no nível do hardware:usa unidades de autocriptografia (SEDs, na sigla em inglês) compatíveis com FIPS 140-2. As chaves de criptografia desses SEDs são armazenadas em um módulo de segurança de hardware (HSM) externo, fornecendo armazenamento compatível com FIPS 140-3.
- Criptografia no nível do software:implementa uma camada extra chamada criptografia de volume (VE, na sigla em inglês). Cada volume de armazenamento em blocos é criptografado com uma chave XTS-AES-256 exclusiva. Essas chaves específicas do volume também são armazenadas no HSM externo e gerenciadas como CMEKs.

Chaves de criptografia gerenciadas pelo cliente

Com as chaves de criptografia gerenciadas pelo cliente (CMEK), você controla as chaves que protegem seus dados em repouso no GDC. Por padrão, todos os dados armazenados no GDC são criptografados em repouso usando módulos criptográficos validados pelo FIPS 140 e chaves protegidas por HSM, sem necessidade de configuração.

As CMEKs oferecem as seguintes vantagens que podem ajudar você a atender aos requisitos de conformidade:

Controle:você controla as chaves, incluindo a capacidade de excluí-las.
Transparência:é possível auditar o acesso à chave para garantir a proteção dos seus dados.
Exclusão criptográfica:a adoção da CMEK permite esse método de destruição de dados de alta segurança para correção de vazamento de dados e desativação. É possível excluir chaves fora da banda dos dados que elas protegem.
Aplicação centralizada:as chaves de criptografia gerenciadas centralmente criam um único lugar para aplicar políticas de acesso e auditar o uso de chaves.

Tipos de recursos da CMEK

As CMEKs são chaves de criptografia que o grupo de administradores da plataforma pode monitorar, auditar e excluir. Você gerencia essas chaves usando recursos do Kubernetes com APIs de HSM ou o Sistema de gerenciamento de chaves (KMS).

Há dois tipos de recursos do Kubernetes com CMEK:

CTMKey: um recurso do Kubernetes criado e gerenciado diretamente no HSM usando o Thales CipherTrust Manager (CTM). É possível gerenciar recursos CTMKey usando kubectl para interagir com a API HSM.

Serviços como o armazenamento em blocos usam recursos CTMKey como CMEKs.
AEADKey: um recurso do Kubernetes gerenciado pelo KMS. Com o KMS, é possível criar e gerenciar suas próprias chaves de criptografia e assinatura. O KMS usa uma chave raiz apoiada por HSM para encapsular o material AEADKey, garantindo que ele seja criptografado em repouso. Embora a raiz de confiança ainda seja o HSM, o KMS oferece uma camada adicional de gerenciamento de chaves. Você gerencia recursos AEADKey usando kubectl para interagir com a API KMS.

Serviços como a criptografia de buckets de armazenamento de objetos usam recursos AEADKey como CMEKs.

Serviços compatíveis com CMEK no GDC

Quando você cria recursos que armazenam dados nos serviços do GDC, eles geram automaticamente as chaves de criptografia que protegem seus dados e os disponibilizam como recursos de CMEK.

Apenas alguns serviços são compatíveis com a rotação de CMEK. Consulte a documentação de cada serviço para instruções sobre a rotação de chaves.

Os seguintes serviços do GDC são compatíveis com a CMEK:

Armazenamento em blocos: criptografa cada dispositivo de armazenamento em blocos.
Discos de máquina virtual (VM): criptografa discos de VM.
Serviço de banco de dados: criptografa dados para sua instância de banco de dados. Os backups do banco de dados estão fora do escopo da CMEK e são criptografados usando as configurações do sistema de armazenamento de backup.
Cargas de trabalho de contêiner do usuário: criptografa os metadados do Kubernetes e o cluster etcd. Os volumes permanentes (PVs) usados por cargas de trabalho de contêineres são criptografados como parte da criptografia de armazenamento em blocos.
Armazenamento: criptografa cada objeto com uma chave AES-256-GCM exclusiva, encapsulada por uma chave AEAD do KMS no nível do bucket.

Criptografia em repouso Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.