靜態資料加密

Google Distributed Cloud (GDC) 實體隔離方案提供全方位的安全策略,可協助保護您的資料,並自動加密靜態資料。靜態資料加密是一種安全措施,可防止未經授權存取儲存在非揮發性儲存空間 (即使斷電也能保留資料的儲存空間) 的資料,例如磁碟 (包括固態硬碟) 和備份媒體。GDC 會加密靜態內容,您不必採取任何行動。

本文說明 GDC 的預設靜態加密機制,並介紹「客戶管理的加密金鑰」(CMEK) 功能,讓您控管用於保護儲存資料的加密金鑰。

本文假定讀者對加密和密碼編譯資料型別有基本瞭解,適用於管理 GDC 安全性的對象 (例如 IT 管理員或安全工程師)。詳情請參閱 GDC air-gapped 說明文件的目標對象

受保護的客戶資料類型

客戶資料是指客戶或使用者透過帳戶下的服務提供給 GDC 的資料。GDC 會處理下列兩類客戶資料:

  • 客戶內容:您自行產生或提供給 GDC 的資料,例如儲存的資料、磁碟快照,以及身分與存取權管理 (IAM) 政策。如本文所述,預設靜態加密主要用於保護客戶內容。

  • 顧客中繼資料:所有其他顧客資料。客戶中繼資料可能包括系統自動產生的專案編號、時間戳記、IP 位址、物件的位元組大小,或是虛擬機器類型。在不影響當前效能與作業的前提下,GDC 會以適當方式保護客戶中繼資料。

靜態資料加密的優點

靜態資料加密有以下優點:

  • 降低未經授權者實際存取磁碟上儲存資料的影響。即使攻擊者實際取得儲存裝置,也無法讀取或解密資料,因為磁碟只會顯示加密資料,攻擊者必須有加密金鑰才能存取。
  • 將資安策略重點放在金鑰管理。由於資料經過加密,保護加密金鑰是防止未經授權存取資料的重要安全措施。
  • 提供重要的隱私權機制。GDC 對靜態資料加密時,會限制系統和工程師存取資料的權限。

預設加密層

GDC 會使用多層加密技術,自動將儲存的所有靜態客戶內容加密。這種分層方法表示,某一層遭到入侵時,資料較不容易外洩。這些層級會透過客戶工作負載使用的主要儲存空間類型實作,包括:

  • 區塊儲存空間

    • 硬體層級加密:使用符合 FIPS 140-2 標準的自加密硬碟 (SED)。這些 SED 的加密金鑰會儲存在外部硬體安全性模組 (HSM) 中,提供符合 FIPS 140-3 標準的儲存空間。
    • 軟體層級加密:實作名為「磁碟區加密」(VE) 的額外層級。每個區塊儲存空間磁碟區都會以專屬的 XTS-AES-256 金鑰加密。這些磁碟區專屬金鑰也會儲存在外部 HSM 中,並以 CMEK 形式管理。

客戶自行管理的加密金鑰

客戶自行管理的加密金鑰 (CMEK) 可讓您控管用於保護 GDC 靜態資料的金鑰。根據預設,儲存在 GDC 中的所有資料都會使用 FIPS 140 驗證的加密編譯模組和具備 HSM 的金鑰進行靜態加密,無須另行設定或調整。

CMEK 具有下列優點,可協助您達成法規遵循要求:

  • 控制:您可以控制金鑰,包括刪除金鑰。
  • 透明度:您可以稽核金鑰存取權,確保資料受到保護。
  • 加密清除:採用 CMEK 後,您就能使用這種高保障的資料銷毀方法,補救資料外洩問題並進行離職程序。您可以刪除金鑰,但無法刪除受保護的資料。
  • 集中強制執行:集中管理加密金鑰,在單一位置強制執行存取政策,並稽核金鑰使用情形。

CMEK 資源類型

平台管理員群組可以監控、稽核及刪除 CMEK。您可以使用 HSM API 或金鑰管理系統 (KMS),透過 Kubernetes 資源管理這些金鑰。

CMEK Kubernetes 資源分為兩種:

  • CTMKey:使用 Thales CipherTrust Manager (CTM) 直接在 HSM 中建立及管理 Kubernetes 資源。您可以使用 kubectl 與 HSM API 互動,藉此管理 CTMKey 資源。

    區塊儲存空間等服務會將 CTMKey 資源做為 CMEK。

  • AEADKey:由 KMS 管理的 Kubernetes 資源。您可以使用 KMS 建立及管理自己的加密和簽署金鑰。KMS 會使用 HSM 支援的根金鑰包裝 AEADKey 內容,確保內容在靜態時經過加密。雖然信任根仍是 HSM,但 KMS 提供額外的金鑰管理層。您可以使用 kubectl 與 KMS API 互動,藉此管理 AEADKey 資源。

    物件儲存空間值區加密等服務會使用 AEADKey 資源做為 CMEK。

GDC 中支援 CMEK 的服務

在 GDC 服務中建立儲存資料的資源時,服務會自動產生加密金鑰來保護資料,並將金鑰做為 CMEK 資源提供。

只有部分服務支援 CMEK 輪替。如需金鑰輪替的操作說明,請參閱各項服務的說明文件。

下列 GDC 服務支援 CMEK:

  • 封鎖儲存空間:加密每個區塊儲存裝置。
  • 虛擬機器 (VM) 磁碟:加密 VM 磁碟。
  • 資料庫服務:加密資料庫執行個體的資料。請注意,資料庫備份不在 CMEK 的適用範圍內,而是使用備份儲存系統的設定進行加密。
  • 使用者容器工作負載:加密 Kubernetes 中繼資料和 etcd 叢集。容器工作負載使用的永久磁碟區 (PV) 會加密,這是區塊儲存空間加密程序的一部分。
  • 儲存空間:使用不重複的 AES-256-GCM 金鑰加密每個物件,並以 bucket 層級的 KMS AEAD 金鑰包裝。