Google Distributed Cloud (GDC) 网闸隔离配置提供全面的安全策略,包括静态加密,有助于保护您的内容免遭攻击者的侵害。GDC 使用一种或多种加密机制对您的静态内容进行加密,您无需执行任何操作。本文档介绍了 GDC 中采用的默认静态加密方法,以及如何使用此方法来进一步确保您的信息安全。
本文档面向使用或考虑使用 GDC 的安全架构师和安全团队。本文档假定读者对加密和密码学原语具有基本的了解。
静态加密
GDC 使用一种或多种加密机制对以静态方式存储的所有客户内容进行加密,您无需执行任何操作。静态加密是指用于保护存储在磁盘(包括固态硬盘)或备份介质中的数据的加密手段。
以下部分介绍了用于加密静态客户数据的机制。
GDC 块存储数据在硬件级别进行加密,利用符合 FIPS 140-2 标准的自加密驱动器。自加密型硬盘的加密密钥存储在外部 HSM 中,可提供符合 FIPS 140-3 标准的静态加密存储。此外,块存储还实现了额外的软件级加密解决方案“卷加密”(VE),该解决方案使用唯一的 XTS-AES-256 密钥对每个底层块存储数据卷进行加密,并且每个卷的专用密钥都存储在外部 HSM 中。
密钥管理系统
借助密钥管理系统 (KMS),您可以创建自己的加密和签名密钥。您可以使用 KMS 创建和删除密钥。如本页中所述,KMS 不参与静态加密。
根密钥封装密钥,后者在静态时加密。您可以使用这些密钥来加密或签署工作负载。
客户管理的加密密钥
如需保护静态数据,请使用客户管理的加密密钥 (CMEK)。借助 CMEK,您可以控制用于保护 GDC 中静态数据的密钥。
存储在 GDC 中的所有数据均采用 FIPS 140-2 验证的加密模块进行静态加密,密钥由 GDC 部署中的硬件安全模块 (HSM) 保护。无需进行任何设置或配置。
CMEK 具有以下优势:
- 控制:您可以控制 CMEK,包括删除密钥。
- 透明度:您可以审核加密流程,确保数据得到妥善保护。
- 合规性:CMEK 可帮助您满足合规性要求。
采用 CMEK 的另一优势是加密清除,这是一种高保证的数据销毁方法,可用于数据泄露补救和离职。您可以删除所保护数据带外密钥。一组 CMEK 可保护贵组织中平台管理员可以监控、审核和删除(如果需要)的所有数据。CMEK 密钥是您可以使用 HSM API 管理的加密密钥。
支持 CMEK 的服务
每当用户在 GDC 中创建受 CMEK 支持的数据存储区(例如块存储区)时,系统都会自动代表用户创建 CMEK,并供平台管理员进行管理。支持 CMEK 轮替的服务会提供有关轮替 CMEK 密钥的服务专用说明。此过程可能需要将数据复制到新实例。
以下 GDC 服务支持 CMEK:
- 块存储:使用平台管理员管理的密钥加密每个块存储设备。
- 虚拟机 (VM) 磁盘。
- 数据库服务:数据库实例主要使用平台管理员管理的密钥存储其数据。数据库备份不在 CMEK 的范围内,而是使用备份存储系统的加密设置进行加密。
- 用户容器工作负载:使用平台管理员管理的密钥加密 Kubernetes 元数据(即
ETCD集群)。 - 存储:使用由存储桶级 KMS AEAD 密钥封装的唯一 AES-256-GCM 数据加密密钥对每个对象进行加密。
静态加密可确保数据安全
加密具有以下优势:
- 确保在数据落入攻击者之手时,攻击者在无法访问加密密钥时无法读取数据。 即使攻击者拿到了包含客户数据的存储设备,也无法理解或解密数据。
- 通过削减硬件和软件堆栈的较低层级,缩小受攻击面。
- 充当关卡,因为集中管理的加密密钥将数据访问权限的实施和审核集中到了一起。
- 缩小攻击面。例如,企业可以专注于保护加密密钥,而不是保护所有数据。
- 为您提供重要的隐私保护机制。GDC 对静态数据进行加密后,会限制系统和工程师对数据的访问权限。
客户数据
客户数据是指客户或最终用户通过其账号下的服务提供给 GDC 的数据。客户数据包括客户内容和元数据。
客户内容是您自行生成或提供给我们的数据,例如存储的数据、磁盘快照和 Identity and Access Management (IAM) 政策。本文档重点介绍内容默认静态加密。
客户元数据构成数据的其余部分。客户元数据可能包括自动生成的项目编号、时间戳、IP 地址、对象的字节大小或虚拟机器类型。GDC 会对元数据进行合理的保护,以满足一贯的性能和持续运行的需要。