Google Distributed Cloud (GDC) air-gapped fornisce una strategia di sicurezza completa che include crittografia at-rest, che aiuta a proteggere i tuoi contenuti dagli autori di attacchi. GDC cripta i tuoi contenuti inattivi, senza che sia richiesta alcuna azione da parte tua, utilizzando uno o più meccanismi di crittografia. Questo documento descrive l'approccio alla crittografia at-rest predefinita per GDC e come utilizzarla per proteggere maggiormente i tuoi dati.
Questo documento è destinato agli architetti della sicurezza e ai team di sicurezza che utilizzano o prendono in considerazione GDC. Questo documento presuppone una conoscenza di base della crittografia e delle primitive crittografiche.
Crittografia dei dati inattivi
GDC utilizza uno o più meccanismi di crittografia per criptare tutti i contenuti archiviati inattivi dei clienti, senza che sia richiesta alcuna azione da parte tua. La crittografia dei dati inattivi è una crittografia che protegge i dati archiviati su un disco, incluse le unità a stato solido o SSD, o su supporti di backup.
Le sezioni seguenti descrivono i meccanismi per criptare i dati dei clienti a riposo.
I dati di GDC Block Storage sono criptati a livello hardware con l'utilizzo di unità auto-criptanti conformi a FIPS 140-2. Le chiavi di crittografia per le unità auto-criptanti vengono archiviate in un HSM esterno, fornendo un'archiviazione at-rest conforme a FIPS 140-3. Inoltre, Block Storage implementa anche una soluzione di crittografia aggiuntiva a livello di software, la crittografia del volume (VE), che cripta ogni volume di dati di archiviazione a blocchi sottostante con una chiave XTS-AES-256 univoca, con ogni chiave specifica del volume archiviata in un HSM esterno.
Sistemi di gestione delle chiavi
I sistemi di gestione delle chiavi (KMS) consentono di creare chiavi di crittografia e firma personalizzate. Utilizzando KMS, puoi creare ed eliminare le chiavi. KMS non è coinvolto nella crittografia at-rest, come descritto in questa pagina.
Una chiave radice cripta le chiavi, che vengono criptate at-rest. Utilizzi le chiavi per crittografare o firmare i tuoi carichi di lavoro.
Chiavi di crittografia gestite dal cliente
Per proteggere i tuoi dati at-rest, utilizza le chiavi di crittografia gestite dal cliente (CMEK). CMEK ti consente di controllare le chiavi che proteggono i tuoi dati at-rest in GDC.
Tutti i dati archiviati in GDC sono criptati at-rest con moduli di crittografia convalidati FIPS 140-2 da chiavi che i moduli di sicurezza hardware (HSM) proteggono nella tua implementazione GDC. Non è richiesta alcuna configurazione.
Le chiavi CMEK offrono i seguenti vantaggi:
- Controllo: hai il controllo della CMEK, inclusa la possibilità di eliminare le chiavi.
- Trasparenza: puoi controllare il processo di crittografia per assicurarti che i tuoi dati siano ben protetti.
- Conformità: le chiavi CMEK possono aiutarti a soddisfare i requisiti di conformità.
Un altro vantaggio dell'adozione di CMEK è la cancellazione crittografica, un metodo di distruzione dei dati ad alta affidabilità per la correzione della fuoriuscita di dati e l'offboarding. Puoi eliminare le chiavi fuori banda rispetto ai dati che proteggono. Un insieme di chiavi CMEK protegge tutti i dati della tua organizzazione che l'amministratore della piattaforma può monitorare, controllare ed eliminare in base alle esigenze. Le chiavi CMEK sono chiavi di crittografia che puoi gestire utilizzando le API HSM.
Servizi supportati da CMEK
Ogni volta che un utente crea un datastore supportato da CMEK in GDC, ad esempio l'archiviazione a blocchi, viene creata automaticamente una CMEK per conto dell'utente e diventa disponibile per l'amministratore della piattaforma per la gestione. I servizi che supportano la rotazione delle chiavi CMEK forniscono istruzioni specifiche per la rotazione delle chiavi CMEK. Questo processo potrebbe richiedere la copia dei dati in una nuova istanza.
I seguenti servizi GDC supportano CMEK:
- Archiviazione a blocchi: cripta ogni dispositivo di archiviazione a blocchi con una chiave gestita dall'amministratore della piattaforma.
- Dischi delle macchine virtuali (VM).
- Database Service: l'istanza del database archivia principalmente i dati con una chiave gestita dall'amministratore della piattaforma. I backup del database non rientrano nell'ambito della CMEK e vengono criptati con le impostazioni di crittografia del sistema di archiviazione del backup.
- Carichi di lavoro dei container utente: cripta i metadati di Kubernetes, il cluster
ETCDcon una chiave gestita dall'amministratore della piattaforma. - Archiviazione: cripta ogni oggetto con una chiave di crittografia dei dati AES-256-GCM univoca racchiusa in una chiave AEAD KMS a livello di bucket.
Crittografia at-rest per proteggere i dati
La crittografia offre i seguenti vantaggi:
- Garantisce che, se i dati finiscono nelle mani di un utente malintenzionato, quest'ultimo non possa leggerli senza avere accesso anche alle chiavi di crittografia. Anche se gli autori degli attacchi ottengono i dispositivi di archiviazione contenenti i dati dei clienti, non potranno comprenderli o decriptarli.
- Riduce la superficie di attacco escludendo i livelli più bassi degli stack hardware e software.
- Funge da collo di bottiglia, in quanto le chiavi di crittografia gestite centralmente creano un'unica posizione in cui impongono l'accesso ai dati e impediscono il controllo.
- Riduce la superficie di attacco. Ad esempio, anziché proteggere tutti i dati, le aziende possono concentrare le proprie strategie di protezione sulle chiavi di crittografia.
- Fornisce un importante meccanismo di tutela della privacy. Quando GDC cripta i dati at-rest, limita l'accesso ai dati da parte di sistemi e ingegneri.
Dati dei clienti
I dati dei clienti sono i dati che i clienti o gli utenti finali forniscono a GDC tramite i servizi collegati al loro account. I dati dei clienti includono contenuti e metadati dei clienti.
I contenuti dei clienti sono i dati che generi tu stesso o che ci fornisci, ad esempio dati archiviati, snapshot di dischi e criteri Identity and Access Management (IAM). Questo documento si concentra sulla crittografia predefinita dei dati inattivi per i tuoi contenuti.
I metadati dei clienti costituiscono la parte restante dei dati. I metadati dei clienti potrebbero includere numeri di progetto generati automaticamente, timestamp, indirizzi IP, le dimensioni in byte di un oggetto o il tipo di macchina virtuale. GDC protegge i metadati in misura ragionevole per garantire prestazioni costanti e continuità delle operazioni.