O Google Distributed Cloud (GDC) air-gapped oferece uma estratégia de segurança abrangente que inclui a encriptação em repouso, o que ajuda a proteger o seu conteúdo contra atacantes. O GDC encripta o seu conteúdo em repouso, sem qualquer ação da sua parte, através de um ou mais mecanismos de encriptação. Este documento descreve a abordagem à encriptação predefinida em repouso para o GDC e como usá-la para manter as suas informações mais seguras.
Este documento destina-se a arquitetos de segurança e equipas de segurança que usam ou consideram o GDC. Este documento pressupõe uma compreensão básica da encriptação e das primitivas criptográficas.
Encriptação em repouso
O GDC encripta todo o conteúdo do cliente armazenado em repouso, sem que seja necessária qualquer ação sua, através de um ou mais mecanismos de encriptação. A encriptação de dados inativos é uma encriptação que protege os dados armazenados num disco, incluindo unidades de estado sólido ou suportes de cópia de segurança.
As secções seguintes descrevem os mecanismos para encriptar os dados de clientes em repouso.
Os dados de armazenamento em blocos do GDC são encriptados ao nível do hardware com a utilização de unidades de autoencriptação em conformidade com a norma FIPS 140-2. As chaves de encriptação para unidades de autoencriptação são armazenadas num HSM externo, o que oferece armazenamento em repouso encriptado em conformidade com a norma FIPS 140-3. Além disso, o armazenamento em blocos também implementa uma solução de encriptação ao nível do software adicional, a encriptação de volumes (VE), que encripta cada volume de dados de armazenamento em blocos subjacente com uma chave XTS-AES-256 exclusiva, com cada chave específica do volume armazenada num HSM externo.
Sistemas de gestão de chaves
Os sistemas de gestão de chaves (KMS) permitem-lhe criar as suas próprias chaves de encriptação e assinatura. Com o KMS, pode criar e eliminar chaves. O KMS não está envolvido na encriptação em repouso, conforme descrito nesta página.
Uma chave raiz envolve as chaves, que são encriptadas em repouso. Usa as chaves para encriptar ou assinar as suas cargas de trabalho.
Chaves de encriptação geridas do cliente
Para proteger os seus dados em repouso, use chaves de encriptação geridas pelo cliente (CMEK). As CMEK dão-lhe controlo sobre as chaves que protegem os seus dados em repouso no GDC.
Todos os dados armazenados no GDC são encriptados em repouso com módulos criptográficos validados pela FIPS 140-2 através de chaves que os módulos de segurança de hardware (HSM) protegem na sua implementação do GDC. Não é necessária nenhuma configuração.
As CMEKs oferecem as seguintes vantagens:
- Controlo: tem controlo sobre a CMEK, incluindo a capacidade de eliminar chaves.
- Transparência: pode auditar o processo de encriptação para garantir que os seus dados estão bem protegidos.
- Conformidade: as CMEKs podem ajudar a cumprir os requisitos de conformidade.
Outra vantagem da adoção das CMEK é a eliminação criptográfica, um método de destruição de dados de alta garantia para a remediação de derrames de dados e a desativação. Pode eliminar chaves fora da banda dos dados que protegem. Um conjunto de CMEKs protege todos os dados na sua organização que o administrador da plataforma pode monitorizar, auditar e eliminar conforme necessário. As chaves CMEK são chaves de encriptação que pode gerir através das APIs HSM.
Serviços compatíveis com CMEK
Sempre que um utilizador cria um arquivo de dados suportado por CMEK no GDC, como o armazenamento de blocos, é criado automaticamente um CMEK em nome do utilizador e fica disponível para o administrador da plataforma para gestão. Os serviços que suportam a rotação de CMEK fornecem instruções específicas do serviço para a rotação de chaves CMEK. Este processo pode exigir a cópia dos dados para uma nova instância.
Os seguintes serviços do GDC são compatíveis com a CMEK:
- Armazenamento de blocos: encripta cada dispositivo de armazenamento de blocos com uma chave gerida pelo administrador da plataforma.
- Discos de máquinas virtuais (VMs).
- Serviço de base de dados: a sua instância de base de dados armazena principalmente os respetivos dados com uma chave gerida pelo administrador da plataforma. As cópias de segurança da sua base de dados estão fora do âmbito da CMEK e são encriptadas com as definições de encriptação do sistema de armazenamento da cópia de segurança.
- Cargas de trabalho do contentor do utilizador: encripta os metadados do Kubernetes, o cluster
ETCDcom uma chave gerida pelo administrador da plataforma. - Armazenamento: encripta cada objeto com uma chave de encriptação de dados AES-256-GCM única envolvida por uma chave AEAD do KMS ao nível do contentor.
Encriptação em repouso para proteger os dados
A encriptação tem as seguintes vantagens:
- Garante que, se os dados caírem nas mãos de um atacante, este não consegue ler os dados sem também ter acesso às chaves de encriptação. Mesmo que os atacantes obtenham os dispositivos de armazenamento que contêm dados de clientes, não vão conseguir compreender nem desencriptar os dados.
- Reduz a superfície de ataque ao eliminar as camadas inferiores da pilha de hardware e software.
- Atua como um ponto de estrangulamento, uma vez que as chaves de encriptação geridas centralmente criam um único local onde impõem o acesso aos dados e impedem a auditoria.
- Reduz a superfície de ataque. Por exemplo, em vez de proteger todos os dados, as empresas podem focar as respetivas estratégias de proteção nas chaves de encriptação.
- Oferece-lhe um mecanismo de privacidade importante. Quando a GDC encripta os dados em repouso, limita o acesso que os sistemas e os engenheiros têm aos dados.
Dados de clientes
Os dados do cliente são dados que os clientes ou os utilizadores finais fornecem ao GDC através dos serviços na respetiva conta. Os dados do cliente incluem conteúdo e metadados do cliente.
O conteúdo do cliente são dados que gera ou nos fornece, como dados armazenados, capturas instantâneas de disco e políticas de gestão de identidade e de acesso (IAM). Este documento centra-se na encriptação predefinida em repouso do seu conteúdo.
Os metadados de clientes constituem o resto dos seus dados. Os metadados de clientes podem incluir números de projetos gerados automaticamente, datas/horas, endereços IP, o tamanho em bytes de um objeto ou o tipo de máquina virtual. O GDC protege os metadados até um ponto razoável para o desempenho e as operações contínuas.