静态加密

Google Distributed Cloud (GDC) 网闸隔离配置提供全面的安全策略,可帮助保护您的数据,并支持自动加密静态数据。静态加密是一种安全措施,可防止未经授权访问存储在非易失性存储空间(即使断电也能保留数据的存储空间)中的数据,例如磁盘(包括固态硬盘)和备份介质。GDC 会加密静态内容,您无需执行任何操作。

本文档介绍了 GDC 中的默认静态数据加密机制,并说明了客户管理的加密密钥 (CMEK) 功能,该功能可让您控制用于保护存储数据的加密密钥。

本文档假定读者对加密和加密数据类型具有基本的了解,并且面向在 GDC 中管理安全事务的受众群体(例如 IT 管理员或安全工程师)。如需了解详情,请参阅 GDC 气隙环境受众群体文档

受保护的客户数据类型

客户数据是指客户或最终用户通过其账号下的服务提供给 GDC 的数据。GDC 处理以下两类客户数据:

  • 客户内容:您自行生成或提供给 GDC 的数据,例如存储的数据、磁盘快照和 Identity and Access Management (IAM) 政策。如本文档中所述,默认静态加密主要用于保护客户内容。

  • 客户元数据:所有其他客户数据。客户元数据可能包括自动生成的项目编号、时间戳、IP 地址、对象的字节大小或虚拟机器类型。GDC 会对客户元数据进行合理的保护,以满足一贯的性能和持续运行的需要。

静态加密的优势

静态加密具有以下优势:

  • 降低未经授权的物理访问对存储在磁盘上的数据的影响。 即使攻击者获得了对存储设备的物理访问权限,他们也无法在没有加密密钥的情况下读取或解密数据,因为磁盘只会公开加密数据。
  • 将安全策略重点放在密钥管理上。由于数据已加密,因此保护加密密钥是防止未经授权的数据访问的一项重要安全措施。
  • 提供重要的隐私保护机制。GDC 对静态数据进行加密后,会限制系统和工程师对数据的访问权限。

默认加密层级

GDC 使用多层加密机制自动加密静态存储的所有客户内容。这种分层方法意味着,即使某一层遭到入侵,数据也不太可能泄露。这些层在客户工作负载所用的主要存储类型中实现,包括:

  • 块存储

    • 硬件级加密:利用符合 FIPS 140-2 标准的自加密硬盘 (SED)。这些 SED 的加密密钥存储在外部硬件安全模块 (HSM) 中,可提供符合 FIPS 140-3 标准的存储。
    • 软件级加密:实现一个名为“卷加密”(VE) 的额外层。每个块存储卷都使用唯一的 XTS-AES-256 密钥进行加密。这些卷专用密钥也存储在外部 HSM 中,并作为 CMEK 进行管理。

客户管理的加密密钥

借助客户管理的加密密钥 (CMEK),您可以控制用于保护 GDC 中静态数据的密钥。默认情况下,GDC 中存储的所有数据在静态时都会使用通过 FIPS 140 验证的加密模块和 HSM 支持的密钥进行加密,无需进行任何设置或配置。

CMEK 具有以下优势,可帮助您满足合规性要求:

  • 控制权:您可以控制密钥,包括删除密钥。
  • 透明度:您可以审核对密钥的访问,以确保您的数据受到保护。
  • 加密擦除:采用 CMEK 后,您可以使用这种高保证的数据销毁方法来补救数据泄露和进行离职处理。您可以删除密钥,而无需删除受其保护的数据。
  • 集中式强制执行:集中管理的加密密钥将访问政策的强制执行和密钥使用的审核集中到了一起。

CMEK 资源类型

CMEK 是平台管理员群组可以监控、审核和删除的加密密钥。您可以使用 HSM API 或密钥管理系统 (KMS) 通过 Kubernetes 资源管理这些密钥。

CMEK Kubernetes 资源有两种类型:

  • CTMKey:一种使用 Thales CipherTrust Manager (CTM) 直接在 HSM 中创建和管理的 Kubernetes 资源。您可以使用 kubectl 与 HSM API 互动,从而管理 CTMKey 资源。

    块存储等服务使用 CTMKey 资源作为 CMEK。

  • AEADKey:由 KMS 管理的 Kubernetes 资源。借助 KMS,您可以创建和管理自己的加密密钥和签名密钥。KMS 使用由 HSM 支持的根密钥来封装 AEADKey 材料,确保其在静态时处于加密状态。虽然信任根仍然是 HSM,但 KMS 提供了额外的密钥管理层。您可以使用 kubectl 与 KMS API 互动,从而管理 AEADKey 资源。

    对象存储桶加密等服务使用 AEADKey 资源作为 CMEK。

GDC 中支持 CMEK 的服务

当您创建在 GDC 服务中存储数据的资源时,这些服务会自动生成用于保护数据的加密密钥,并将其作为 CMEK 资源提供。

只有部分服务支持 CMEK 轮换。如需了解密钥轮替方面的说明,请参阅每项服务的文档。

以下 GDC 服务支持 CMEK:

  • 块存储:加密每个块存储设备。
  • 虚拟机 (VM) 磁盘:加密虚拟机磁盘。
  • 数据库服务:为数据库实例加密数据。请注意,数据库备份不在 CMEK 的范围内,而是使用备份存储系统的设置进行加密。
  • 用户容器工作负载:加密 Kubernetes 元数据和 etcd 集群。容器工作负载使用的永久性卷 (PV) 会作为块存储加密的一部分进行加密。
  • 存储:使用由存储桶级 KMS AEAD 密钥封装的唯一 AES-256-GCM 密钥加密每个对象。