O Google Distributed Cloud (GDC) isolado por air gap oferece uma estratégia de segurança abrangente que inclui criptografia em repouso, o que ajuda a proteger seu conteúdo contra invasores. O GDC criptografa seu conteúdo em repouso, sem que você precise fazer nada, usando um ou mais mecanismos de criptografia. Neste documento, descrevemos a abordagem de criptografia em repouso padrão para o GDC e como usá-la para manter suas informações mais seguras.
Este documento é destinado a arquitetos e equipes de segurança que usam ou consideram o GDC. Este documento pressupõe um conhecimento básico de criptografia e primitivas criptográficas.
Criptografia em repouso
O GDC criptografa todo o conteúdo do cliente armazenado em repouso, sem que você precise fazer nada, usando um ou mais mecanismos de criptografia. A criptografia em repouso protege os dados armazenados em um disco, incluindo unidades de estado sólido ou mídias de backup.
As seções a seguir descrevem os mecanismos para criptografar dados do cliente em repouso.
Os dados de armazenamento em blocos do GDC são criptografados no nível do hardware com o uso de unidades de autocriptografia compatíveis com o FIPS 140-2. As chaves de criptografia para unidades de disco com criptografia automática são armazenadas em um HSM externo, oferecendo armazenamento de criptografia em repouso compatível com FIPS 140-3. Além disso, o Block Storage também implementa uma solução de criptografia adicional no nível do software, a criptografia de volume (VE, na sigla em inglês), que criptografa cada volume de dados de armazenamento em blocos subjacente com uma chave XTS-AES-256 exclusiva. Cada chave específica do volume é armazenada em um HSM externo.
Sistemas de gerenciamento de chaves
Com os sistemas de gerenciamento de chaves (KMS), é possível criar suas próprias chaves de criptografia e assinatura. Com o KMS, é possível criar e excluir chaves. O KMS não está envolvido na criptografia em repouso, conforme descrito nesta página.
Uma chave raiz encapsula as chaves, que são criptografadas em repouso. Você usa as chaves para criptografar ou assinar suas cargas de trabalho.
Chaves de criptografia gerenciadas pelo cliente
Para proteger seus dados em repouso, use chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK dá a você o controle das chaves que protegem seus dados em repouso no GDC.
Todos os dados armazenados no GDC são criptografados em repouso com módulos criptográficos validados pelo FIPS 140-2 por chaves que os módulos de segurança de hardware (HSM) protegem na sua implantação do GDC. Não é necessário fazer nenhuma configuração ou instalação.
As CMEKs oferecem as seguintes vantagens:
- Controle: você tem controle sobre a CMEK, incluindo a capacidade de excluir chaves.
- Transparência: você pode auditar o processo de criptografia para garantir que seus dados estejam bem protegidos.
- Compliance: as CMEKs podem ajudar você a atender aos requisitos de compliance.
Outra vantagem da adoção da CMEK é o apagamento criptográfico, um método de destruição de dados de alta segurança para correção de vazamento de dados e desativação. É possível excluir chaves fora da banda dos dados que elas protegem. Um conjunto de CMEKs protege todos os dados da sua organização que o administrador da plataforma pode monitorar, auditar e excluir conforme necessário. As chaves CMEK são chaves de criptografia que podem ser gerenciadas usando APIs HSM.
Serviços compatíveis com CMEK
Sempre que um usuário cria um armazenamento de dados compatível com CMEK no GDC, como armazenamento em blocos, uma CMEK é criada automaticamente em nome do usuário e fica disponível para o administrador da plataforma gerenciar. Os serviços que oferecem suporte à rotação de CMEK fornecem instruções específicas para essa rotação. Esse processo pode exigir a cópia dos dados para uma nova instância.
Os seguintes serviços do GDC são compatíveis com a CMEK:
- Armazenamento em blocos: criptografa cada dispositivo de armazenamento em blocos com uma chave gerenciada pelo administrador da plataforma.
- Discos de máquina virtual (VM).
- Serviço de banco de dados: sua instância de banco de dados armazena principalmente os dados com uma chave gerenciada pelo administrador da plataforma. Os backups do seu banco de dados estão fora do escopo da CMEK e são criptografados com as configurações de criptografia do sistema de armazenamento do backup.
- Cargas de trabalho de contêineres do usuário: criptografa os metadados do Kubernetes, o cluster
ETCDcom uma chave gerenciada pelo administrador da plataforma. - Armazenamento: criptografa cada objeto com uma chave de criptografia de dados AES-256-GCM exclusiva encapsulada por uma chave AEAD do KMS no nível do bucket.
Criptografia em repouso para proteger dados
A criptografia tem os seguintes benefícios:
- Garante que, se os dados ficarem nas mãos de um invasor, ele não poderá ler as informações sem ter acesso às chaves de criptografia. Mesmo que os invasores recebam os dispositivos de armazenamento que contêm dados de clientes, eles não poderão entendê-los ou descriptografá-los.
- Reduz a superfície de ataque cortando as camadas inferiores da pilha de hardware e software.
- Atua como um estrangulamento porque as chaves de criptografia gerenciadas centralmente criam um único local em que o acesso aos dados é aplicado e impede a auditoria.
- Reduz a superfície de ataque. Por exemplo, em vez de proteger todos os dados, as empresas podem concentrar as estratégias de proteção nas chaves de criptografia.
- Oferece um importante mecanismo de privacidade para você. Quando o GDC criptografa dados em repouso, ele limita o acesso que sistemas e engenheiros têm aos dados.
Dados do cliente
Os dados do cliente são informações que os clientes ou usuários finais fornecem ao GDC pelos serviços da conta deles. Os dados do cliente incluem o conteúdo e os metadados.
O conteúdo do cliente são os dados que você gera ou nos fornece, como dados armazenados, snapshots de disco e políticas do Identity and Access Management (IAM). Este documento se concentra na criptografia padrão em repouso do seu conteúdo.
Os metadados do cliente compõem seus outros dados. Os metadados do cliente podem incluir números de projeto gerados automaticamente, carimbos de data/hora, endereços IP, o tamanho de bytes de um objeto ou o tipo de máquina virtual. O GDC protege os metadados em um nível razoável para manter operações e desempenho contínuos.