保存データの暗号化

Google Distributed Cloud(GDC)エアギャップは、保存データの暗号化を含む包括的なセキュリティ戦略を提供し、コンテンツを攻撃者から保護します。GDC では、お客様が何もしなくても、1 つ以上の暗号化メカニズムを使用して、保存されているコンテンツを暗号化します。このドキュメントでは、GDC でのデフォルトの保存データの暗号化のアプローチと、それによって情報を安全に保護する方法について説明します。

このドキュメントは、GDC を使用している、またはご利用を検討しているセキュリティ アーキテクトとセキュリティ チームを対象としています。このドキュメントは、暗号化と初歩的な暗号についての基本事項を理解されていることを前提に作成しています。

保存時の暗号化

GDC では、お客様が何もしなくても、1 つ以上の暗号化メカニズムを使用して、保存されているすべての顧客コンテンツを暗号化します。保存データの暗号化は、SSD(ソリッド ステート ドライブ)を含むディスクやバックアップ メディアに保存されるデータを保護するためのものです。

以降のセクションでは、保存時の顧客データを暗号化するメカニズムについて説明します。

GDC ブロック ストレージ データは、FIPS 準拠の 140-2 自己暗号化ドライブを活用して、ハードウェア レベルで暗号化されます。自己暗号化ドライブの暗号鍵は外部 HSM に保存され、FIPS 140-3 準拠の保存データの暗号化ストレージを提供します。また、Block Storage には、基盤となる各ブロック ストレージ データ ボリュームを一意の XTS-AES-256 鍵で暗号化する追加のソフトウェア レベルの暗号化ソリューションであるボリューム暗号化(VE)も実装されています。各ボリューム固有の鍵は外部 HSM に保存されます。

鍵管理システム

鍵管理システム(KMS)を使用すると、独自の暗号鍵と署名鍵を作成できます。KMS を使用すると、鍵の作成と削除を行うことができます。このページで説明するように、KMS は保存データの暗号化に関与しません。

ルートキーは鍵をラップし、保存時に暗号化されます。鍵を使用して、ワークロードを暗号化または署名します。

顧客管理の暗号鍵

保存データを保護するには、顧客管理の暗号鍵(CMEK)を使用します。CMEK を使用すると、GDC の保存データを保護する鍵を制御できます。

GDC 内に保存されるすべてのデータは、GDC デプロイでハードウェア セキュリティ モジュール(HSM)が保護する鍵によって、FIPS 140-2 検証済みの暗号モジュールで静止時に暗号化されます。設定や構成は必要ありません。

CMEK には次のような利点があります。

  • 制御: 鍵の削除など、CMEK を制御できます。
  • 透明性: 暗号化プロセスを監査して、データが適切に保護されていることを確認できます。
  • コンプライアンス: CMEK は、コンプライアンス要件を満たすのに役立ちます。

CMEK のもう 1 つの利点は、暗号消去です。これは、データ漏洩の修復とオフボーディングのための高保証データ破壊方法です。鍵は、保護するデータとは別に削除できます。一連の CMEK は、プラットフォーム管理者が必要に応じてモニタリング、監査、削除できる組織内のすべてのデータを保護します。CMEK 鍵は、HSM API を使用して管理できる暗号鍵です。

CMEK でサポートされるサービス

ユーザーが GDC で CMEK 対応のデータストア(ブロック ストレージなど)を作成すると、ユーザーに代わって CMEK が自動的に作成され、プラットフォーム管理者が管理できるようになります。CMEK ローテーションをサポートするサービスでは、CMEK 鍵のローテーションに関するサービス固有の手順が提供されています。このプロセスでは、データを新しいインスタンスにコピーする必要がある場合があります。

次の GDC サービスは CMEK をサポートしています。

  • ブロック ストレージ: プラットフォーム管理者が管理する鍵を使用して、各ブロック ストレージ デバイスを暗号化します。
  • 仮想マシン(VM)ディスク。
  • データベース サービス: データベース インスタンスは、主にプラットフォーム管理者が管理するキーを使用してデータを保存します。データベースのバックアップは CMEK の対象外であり、バックアップのストレージ システムの暗号化設定で暗号化されます。
  • ユーザー コンテナ ワークロード: プラットフォーム管理者が管理する鍵を使用して、Kubernetes メタデータ、ETCD クラスタを暗号化します。
  • ストレージ: バケットレベルの KMS AEAD 鍵でラップされた一意の AES-256-GCM データ暗号鍵を使用して、各オブジェクトを暗号化します。

保存データの暗号化によるデータ保護

暗号化には次のようなメリットがあります。

  • データが攻撃者に盗まれても、攻撃者が暗号鍵にアクセスできない限り、攻撃者はデータを読み取ることができません。攻撃者が顧客データを含むストレージ デバイスを取得したとしても、そのデータを理解することも、復号することもできません。
  • ハードウェアとソフトウェア スタックの下位レイヤを切り離すことで攻撃対象領域を減らすことができます。
  • 暗号化は「チョークポイント」にもなります。暗号鍵は一元管理されているため、データへのアクセスは必ずここを経由しなければならず、監査も防止できます。
  • 攻撃対象領域が縮小されます。たとえば、すべてのデータを保護するのではなく、暗号鍵の保護戦略に取り組むことができます。
  • お客様に重要なプライバシー メカニズムを提供できます。GDC が保存データを暗号化すると、システムとエンジニアがデータにアクセスできる範囲が制限されます。

顧客データ

顧客データとは、お客様またはエンドユーザーが自身のアカウントを使用して、サービス経由で GDC に提供するデータです。顧客データには、顧客コンテンツとメタデータが含まれます。

顧客コンテンツとは、保存データ、ディスク スナップショット、Identity and Access Management(IAM)ポリシーなど、お客様自身で作成または提供したデータです。このドキュメントでは、コンテンツに対するデフォルトの保存データの暗号化について説明します。

残りのデータは顧客メタデータになります。顧客メタデータには、自動生成されたプロジェクト番号、タイムスタンプ、IP アドレス、オブジェクトのバイトサイズ、仮想マシンタイプなどがあります。GDC は、進行中のパフォーマンスやオペレーションに対して妥当な範囲でメタデータを保護します。