このページでは、Transfer Appliance でデータを保護し、暗号化する方法について説明します。
Google のインフラストラクチャのデータ セキュリティ
アプライアンスを返却と、Google のデータセンターのいずれかで受領されます。 データ エクスポート用のアプライアンスを注文すると、Google のデータセンターのいずれかで準備されます。お客様のデータの保護は Google の最優先事項であり、責任を負っています。インフラストラクチャ セキュリティの詳細については、Google インフラストラクチャのセキュリティ設計の概要、Google のデータセンターにおけるセキュリティ対策の詳細についてはデータとセキュリティをご覧ください。
転送中のアプライアンスの保護
アプライアンスを受け取ったら、Transfer Appliance 認証アプリケーションを実行します。このアプリケーションは、アプライアンスの ID と状態を検証し、アプライアンスがお客様に発送されたときと同じ状態であることを確認します。アプリは、お客様が Google と共有する証明パスコードを生成します。構成証明パスコードが想定どおりであれば、アプライアンスのログイン認証情報が提供されます。
アプライアンスの使用が完了し、お客様からアプライアンスを受け取ったら、配送中に改ざんされていないことを確認するために、アプライアンスを再度検証します。アプライアンスの検証が完了したら、データを Cloud Storage にアップロードします。
アプライアンスの検証で、アプライアンスが改ざんされたことが示された場合は、転送セッション全体が無効になり、交換用アプライアンスの発送についてお客様と協力して対応します。
データ暗号化
データは、アップロード中、Google のデータセンターへの転送中、Cloud Storage へのアップロード後、データ エクスポート機能を使用する際の Transfer Appliance へのダウンロード中に暗号化されます。データを暗号化する方法の詳細は次のとおりです。
Cloud Storage への転送中: データは、AES-256 暗号化アルゴリズムを使用して、
dm-encryptとパーティション レベルの暗号化により、Transfer Appliance 上で暗号化されます。Cloud Storage へのアップロード中: データは安全な TLS 接続を使用して暗号化されます。アプライアンス上の暗号化されたデータは Cloud Storage に転送されます。VPC Service Controls を使用しているお客様の場合、このプロセスは VPC Service Controls 境界内で行われます。
Cloud Storage の場合: データはデフォルトで Cloud Storage で暗号化されます。詳細については、データ暗号化オプションをご覧ください。
Transfer Appliance へのダウンロード中: データ エクスポート機能を使用すると、データはアプライアンスにダウンロードされる前にクラウドで暗号化されます。
アプライアンスへの転送中のデータの暗号化
ストレージまたはネットワーク デバイスとアプライアンスの間では暗号化が適用されません。ネットワークとネットワークへの物理的アクセスの保護は、お客様の責任です。Google がネットワークに接続しているアプライアンスにアクセスしたり、モニタリングしたりすることはありません。
アプライアンス上のデータの暗号化
アプライアンス上のデータを暗号化するために、次の 2 つの鍵を使用します。
鍵暗号鍵
鍵暗号鍵(KEK)には次の 2 つの選択肢があります。
顧客管理の鍵を作成できます。この場合、鍵の生成と管理はユーザーが行います。
Google-owned and managed keyを選択できます。この場合、鍵は Google が生成して管理します。
Google-owned and managed keys はセッションごとに一意であり、他の Google Cloud サービスと共有されません。セッションが完了またはキャンセルされた場合、またはアプライアンスが紛失した場合は、データのセキュリティを確保するために鍵を破棄します。
Google-owned and managed keysの作成に使用される設定は次のとおりです。
- Region: Global
- 保護レベル: ソフトウェア
- 目的: 非対称復号
- アルゴリズム: 4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト
セッションが完了する前に KEK を破棄すると、アプライアンス上のデータが完全に失われます。
KEK はGoogle Cloudで Cloud Key Management Service(Cloud KMS)の非対称鍵として生成されます。Google は、アプライアンスをお客様に発送する前に、KEK 公開鍵をアプライアンスにダウンロードします。
データ暗号鍵(DEK)
DEK はアプライアンスで生成されます。DEK はメモリに保持され、アプライアンスのトラステッド プラットフォーム モジュールに保存されて、再起動後も鍵が保持されます。DEK は、暗号化されていない状態でローカル ディスクに保存されることはありません。
データをディスクに書き込む前に、アプライアンスで生成された DEK をデータに適用します。アプライアンスでデータをファイナライズすると、KEK 公開鍵が DEK に適用され、その後 DEK がアプライアンスから削除されます。
データはアプライアンスに暗号化されていない状態で保存されることはありません。
Cloud Storage からのエクスポート用にデータを暗号化する
データ エクスポート用のアプライアンスを注文すると、アプライアンスは安全な Google データセンターで準備され、データは最初に暗号化されます。暗号化されたデータは、ディスクレベルの暗号化でさらに保護されたアプライアンスに安全に移動されます。データセンター内および転送中、アプライアンス上のデータは暗号化されたままです。アプライアンスを有効にすると、データにアクセスできるようになります。
アプライアンス上のデータへのアクセスを制限する
アプライアンスの NFS 共有に保存されているデータへのアクセスを制限するには、ネットワーク上の特定のホストがアプライアンスにアクセスできるように IP フィルタを適用します。サポートが必要な場合は、ネットワーク管理者にお問い合わせください。
Transfer Appliance で使用する IP ネットワーク ポートの詳細については、IP ネットワーク ポートの構成をご覧ください。
Cloud Storage へのデータ アップロード
アプライアンスが安全なデータセンターに届くと、暗号化されたデータが VPC Service Controls の境界にアップロードされ、KEK が適用されて DEK とデータが復号されます。DEK は、転送ライフサイクルのどの時点でも永続化されません。その後、安全な TLS 接続を使用して、プライベート データセンター ネットワーク上の Cloud Storage にデータを安全に移動します。Cloud Storage のデータはデフォルトで暗号化され、自分だけがアクセスできます。
アプライアンスのメディア サニタイズ
データをアップロードした後、またはデータ エクスポート用のアプライアンスを受け取った後、Google は、返却されたアプライアンスのドライブ メディアを、情報のパージに関する NIST 800-88 標準を適用してサニタイズします。具体的には、暗号消去を使用して、アプライアンスのドライブに以前に保存されたすべての暗号化データをサニタイズします。使用中にドライブで障害が発生し、動作不能になり、データを消去できなくなった場合は、影響を受けた物理メディアを物理的に破壊します。メディアのサニタイズ プロセスの詳細については、メディアの安全かつ確実なサニタイズをご覧ください。
Cloud Storage でデータが利用可能になった後、またはデータのエクスポート後にアプライアンスを返却した後、4 週間以内にアプライアンス メディアが安全にサニタイズされたことを証明するワイプ証明書をリクエストできます。
Transfer Appliance の再生
返却されたアプライアンス上のデータを破棄した後、次のお客様にアプライアンスを発送するための準備を行いします。以下に、メディア サニタイズ後の各アプライアンスの再生方法の概要を示します。
アプライアンスでドライブをパーティション化します。メディアのサニタイズによってデータ パーティションも破棄されるため、毎回白紙の状態から開始します。
その後、ドライブを再フォーマットし、データとアプライアンスのソフトウェアを準備します。
次に、アプライアンスのソフトウェアをインストールし、必要なアップデートを適用します。
最後に、アプライアンスを梱包して次のお客様に発送する準備を行います。