Google Distributed Cloud (GDC) air-gapped proporciona una estrategia de seguridad integral que incluye la encriptación en reposo, lo que ayuda a proteger tu contenido de los atacantes. GDC encripta tu contenido en reposo con uno o más mecanismos de encriptación, sin que debas realizar ninguna acción. En este documento, se describe el enfoque de la encriptación en reposo predeterminada para GDC y cómo usarla para proteger mejor tu información.
Este documento está dirigido a arquitectos y equipos de seguridad que usan o consideran usar GDC. En este documento, se supone que tienes conocimientos básicos sobre la encriptación y las primitivas criptográficas.
Encriptación en reposo
GDC encripta todo el contenido de los clientes almacenado en reposo mediante uno o más mecanismos de encriptación, sin que debas realizar ninguna acción. La encriptación en reposo es la que protege los datos almacenados en un disco, incluidas las unidades de estado sólido, o en medios de copia de seguridad.
En las siguientes secciones, se describen los mecanismos para encriptar los datos de los clientes en reposo.
Los datos de almacenamiento en bloque de GDC se encriptan a nivel de hardware con unidades de disco autoencriptadas que cumplen con el estándar FIPS 140-2. Las claves de encriptación para unidades de disco con encriptación automática se almacenan en un HSM externo, lo que proporciona almacenamiento en reposo con encriptación que cumple con el estándar FIPS 140-3. Además, Block Storage también implementa una solución de encriptación adicional a nivel de software, Volume Encryption (VE), que encripta cada volumen de datos de almacenamiento en bloque subyacente con una clave XTS-AES-256 única, y cada clave específica del volumen se almacena en un HSM externo.
Sistemas de administración de claves
Los sistemas de administración de claves (KMS) te permiten crear tus propias claves de encriptación y firma. Con KMS, puedes crear y borrar claves. El KMS no participa en la encriptación en reposo, como se describe en esta página.
Una clave raíz une las claves, que se encriptan en reposo. Usas las claves para encriptar o firmar tus cargas de trabajo.
Claves de encriptación administradas por el cliente
Para proteger tus datos en reposo, usa claves de encriptación administradas por el cliente (CMEK). Las CMEK te permiten controlar las claves que protegen tus datos en reposo en GDC.
Todos los datos almacenados en GDC se encriptan en reposo con módulos criptográficos validados por FIPS 140-2 con claves que los módulos de seguridad de hardware (HSM) protegen en tu implementación de GDC. No se requiere configuración.
Las CMEK ofrecen las siguientes ventajas:
- Control: Tienes control sobre la CMEK, incluida la capacidad de borrar claves.
- Transparencia: Puedes auditar el proceso de encriptación para asegurarte de que tus datos estén bien protegidos.
- Cumplimiento: Las CMEK pueden ayudarte a cumplir con los requisitos de cumplimiento.
Otra ventaja de adoptar la CMEK es el borrado criptográfico, un método de destrucción de datos de alta garantía para la corrección de filtraciones de datos y la baja del sistema. Puedes borrar claves fuera de la banda de los datos que protegen. Un conjunto de CMEK protege todos los datos de tu organización que el administrador de la plataforma puede supervisar, auditar y borrar según sea necesario. Las claves de CMEK son claves de encriptación que puedes administrar con las APIs de HSM.
Servicios compatibles con CMEK
Cada vez que un usuario crea un almacén de datos compatible con CMEK en GDC, como el almacenamiento en bloque, se crea automáticamente una CMEK en nombre del usuario y queda disponible para que la administre el administrador de la plataforma. Los servicios que admiten la rotación de CMEK proporcionan instrucciones específicas del servicio para rotar las claves de CMEK. Este proceso puede requerir la copia de los datos en una instancia nueva.
Los siguientes servicios de GDC admiten CMEK:
- Almacenamiento en bloque: Encripta cada dispositivo de almacenamiento en bloque con una clave que administra el administrador de la plataforma.
- Discos de máquinas virtuales (VM)
- Servicio de base de datos: Tu instancia de base de datos almacena principalmente sus datos con una clave que administra el administrador de la plataforma. Las copias de seguridad de tu base de datos no están dentro del alcance de la CMEK y se encriptan con la configuración de encriptación del sistema de almacenamiento de tu copia de seguridad.
- Cargas de trabajo de contenedores de usuarios: Encripta los metadatos de Kubernetes, el clúster
ETCDcon una clave que administra el administrador de la plataforma. - Almacenamiento: Encripta cada objeto con una clave de encriptación de datos AES-256-GCM única encapsulada por una clave AEAD de KMS a nivel del bucket.
Encriptación en reposo para proteger los datos
La encriptación tiene los siguientes beneficios:
- Garantiza que, si los datos caen en manos de un atacante, este no pueda leerlos sin tener acceso también a las claves de encriptación. Incluso si los atacantes obtienen los dispositivos de almacenamiento que contienen datos de clientes, no podrán leerlos ni desencriptarlos.
- Reduce la superficie de ataque al eliminar las capas inferiores del hardware y de la pila de software.
- Actúa como un cuello de botella, ya que las claves de encriptación administradas de forma central crean un lugar único en el que se aplica el acceso a los datos y se impide la auditoría.
- Reduce la superficie de ataque. Por ejemplo, en lugar de proteger todos los datos, las empresas pueden enfocar sus estrategias de protección en las claves de encriptación.
- Te proporciona un mecanismo de privacidad importante. Cuando GDC encripta los datos en reposo, limita el acceso de los sistemas y los ingenieros a los datos.
Datos del cliente
Los datos del cliente son los que los clientes o los usuarios finales proporcionan a GDC a través de los servicios que se indican en sus cuentas. Los datos de los clientes incluyen el contenido y los metadatos de los clientes.
El contenido de clientes corresponde a los datos que generas o nos proporcionas, como los datos almacenados, las instantáneas de disco y las políticas de Identity and Access Management (IAM). Este documento se centra en la encriptación en reposo predeterminada para tu contenido.
Los metadatos de clientes son el resto de tus datos. Los metadatos de clientes pueden incluir números de proyectos, marcas de tiempo, direcciones IP, tamaños de bytes de un objeto o el tipo de máquina virtual generados automáticamente. GDC protege los metadatos en un nivel razonable que permita mantener las operaciones y el rendimiento.