Google Distributed Cloud (GDC) Air-Gapped bietet eine umfassende Sicherheitsstrategie, die die Verschlüsselung inaktiver Daten umfasst, um Ihre Inhalte vor Angreifern zu schützen. GDC verschlüsselt Ihre inaktiven Inhalte mit einem oder mehreren Verschlüsselungsmechanismen, ohne dass Sie etwas tun müssen. In diesem Dokument wird der Ansatz für die Standardverschlüsselung inaktiver Daten für GDC beschrieben. Außerdem wird erläutert, wie Sie damit Ihre Informationen besser schützen können.
Dieses Dokument richtet sich an Sicherheitsarchitekten und Sicherheitsteams, die GDC verwenden oder in Erwägung ziehen. In diesem Dokument werden Grundkenntnisse in der Verschlüsselung und den kryptografischen Primitiven vorausgesetzt.
Verschlüsselung inaktiver Daten
GDC verschlüsselt alle gespeicherten inaktiven Kundeninhalte mit einem oder mehreren Verschlüsselungsverfahren, ohne dass Sie etwas tun müssen. Die Verschlüsselung inaktiver Daten dient zum Schutz der Daten, die auf einem Laufwerk (z. B. SSD) oder auf Sicherungsmedien gespeichert sind.
In den folgenden Abschnitten werden die Mechanismen zum Verschlüsseln von ruhenden Kundendaten beschrieben.
GDC Block Storage-Daten werden auf Hardwareebene mit FIPS 140-2-konformen selbstverschlüsselnden Laufwerken verschlüsselt. Verschlüsselungsschlüssel für selbstverschlüsselnde Laufwerke werden in einem externen HSM gespeichert, das die FIPS 140-3-konforme Verschlüsselung inaktiver Daten ermöglicht. Zusätzlich wird in Block Storage auch eine zusätzliche Verschlüsselungslösung auf Softwareebene implementiert, die Volume Encryption (VE). Dabei wird jedes zugrunde liegende Block Storage-Daten-Volume mit einem eindeutigen XTS-AES-256-Schlüssel verschlüsselt. Jeder volumenspezifische Schlüssel wird in einem externen HSM gespeichert.
Schlüsselverwaltungssysteme
Mit Schlüsselverwaltungssystemen (Key Management Systems, KMS) können Sie eigene Verschlüsselungs- und Signaturschlüssel erstellen. Mit KMS können Sie Schlüssel erstellen und löschen. KMS ist nicht an der Verschlüsselung ruhender Daten beteiligt, wie auf dieser Seite beschrieben.
Ein Stammschlüssel umschließt die Schlüssel, die im Ruhezustand verschlüsselt werden. Sie verwenden die Schlüssel zum Verschlüsseln oder Signieren Ihrer Arbeitslasten.
Vom Kunden verwaltete Verschlüsselungsschlüssel
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), um Ihre ruhenden Daten zu schützen. Mit CMEK haben Sie die Kontrolle über die Schlüssel, die Ihre ruhenden Daten in GDC schützen.
Alle in GDC gespeicherten Daten in Ruhe werden mit FIPS 140-2-validierten kryptografischen Modulen mit Schlüsseln verschlüsselt, die durch Hardwaresicherheitsmodule (HSM) in Ihrer GDC-Bereitstellung geschützt sind. Es ist keine Einrichtung oder Konfiguration erforderlich.
CMEKs bieten folgende Vorteile:
- Kontrolle: Sie haben die Kontrolle über den CMEK, einschließlich der Möglichkeit, Schlüssel zu löschen.
- Transparenz: Sie können den Verschlüsselungsprozess prüfen, um sicherzustellen, dass Ihre Daten gut geschützt sind.
- Compliance: Mit CMEKs können Sie Compliance-Anforderungen erfüllen.
Ein weiterer Vorteil der CMEK-Verschlüsselung ist das kryptografische Löschen, eine Methode zum sicheren Vernichten von Daten, die bei der Bereinigung von Datenlecks und beim Offboarding eingesetzt wird. Sie können Schlüssel unabhängig von den Daten löschen, die sie schützen. Eine Reihe von CMEKs schützt alle Daten in Ihrer Organisation, die Ihr Plattformadministrator nach Bedarf überwachen, prüfen und löschen kann. CMEK-Schlüssel sind Verschlüsselungsschlüssel, die Sie mit HSM-APIs verwalten können.
Von CMEK unterstützte Dienste
Wenn ein Nutzer in GDC einen CMEK-kompatiblen Datenspeicher wie Blockspeicher erstellt, wird automatisch ein CMEK im Namen des Nutzers erstellt, der vom Plattformadministrator verwaltet werden kann. Dienste, die die CMEK-Rotation unterstützen, bieten dienstspezifische Anleitungen zum Rotieren von CMEK-Schlüsseln. Dazu müssen die Daten möglicherweise in eine neue Instanz kopiert werden.
Die folgenden GDC-Dienste unterstützen CMEK:
- Blockspeicher: Jedes Blockspeichergerät wird mit einem Schlüssel verschlüsselt, der vom Plattformadministrator verwaltet wird.
- VM-Laufwerke
- Datenbankdienst: Die Daten Ihrer Datenbankinstanz werden hauptsächlich mit einem Schlüssel gespeichert, der vom Plattformadministrator verwaltet wird. Sicherungen für Ihre Datenbank fallen nicht unter CMEK und werden mit den Verschlüsselungseinstellungen des Speichersystems Ihrer Sicherung verschlüsselt.
- Arbeitslasten von Nutzercontainern: Verschlüsselt die Kubernetes-Metadaten des
ETCD-Clusters mit einem Schlüssel, der vom Plattformadministrator verwaltet wird. - Speicher: Jedes Objekt wird mit einem eindeutigen AES-256-GCM-Schlüssel zur Datenverschlüsselung verschlüsselt, der mit einem KMS AEAD-Schlüssel auf Bucket-Ebene verpackt ist.
Verschlüsselung inaktiver Daten zum Schutz von Daten
Die Verschlüsselung bietet folgende Vorteile:
- Sorgt dafür, dass ein Angreifer, der Zugang zu den Daten erhält, diese nur lesen kann, wenn er auch Zugriff auf die Verschlüsselungsschlüssel hat. Selbst wenn Angreifer Zugriff auf die Speichergeräte haben, die Kundendaten enthalten, können sie diese weder verstehen noch entschlüsseln.
- Reduziert die Angriffsfläche, indem die unteren Ebenen der Hardware- und Softwarestacks entfernt werden.
- Fungiert als Nadelöhr, da zentral verwaltete Verschlüsselungsschlüssel einen zentralen Ort darstellen, an dem der Zugriff auf Daten erzwungen und die Prüfung verhindert wird.
- Reduziert die Angriffsfläche. Beispiel: Anstatt alle Daten zu schützen, können Unternehmen ihre Schutzstrategien auf die Verschlüsselungsschlüssel konzentrieren.
- Bietet Ihnen einen wichtigen Datenschutzmechanismus. Wenn GDC inaktive Daten verschlüsselt, wird der Zugriff von Systemen und Technikern auf die Daten eingeschränkt.
Kundendaten
Kundendaten sind Daten, die Kunden oder Endnutzer GDC über die Dienste in ihrem Konto zur Verfügung stellen. Kundendaten beziehen sich auch auf Kundeninhalte und ‑metadaten.
Kundeninhalte sind Daten, die Sie selbst generieren oder uns bereitstellen, z. B. gespeicherte Daten, Laufwerk-Snapshots und IAM-Richtlinien (Identity and Access Management). In diesem Dokument geht es um die Standardverschlüsselung inaktiver Daten für Ihre Inhalte.
Kundenmetadaten bilden den Rest Ihrer Daten. Kundenmetadaten können automatisch generierte Projektnummern, Zeitstempel, IP-Adressen, die Bytegröße eines Objekts oder den Typ der virtuellen Maschine umfassen. GDC schützt Metadaten in dem Maße, dass eine kontinuierliche Leistung und ein kontinuierlicher Betrieb gewährleistet sind.