Google Distributed Cloud (GDC) 實體隔離方案提供全方位的安全策略,包括靜態加密,可協助保護您的內容免於遭到攻擊。GDC 會透過一或多項加密機制,將靜態內容加密,您不需要採取任何行動。本文說明 GDC 靜態資料的預設加密方式,以及如何運用這項機制讓資訊更加安全。
本文適用於使用或考慮使用 GDC 的安全架構師和安全團隊。本文假定讀者對於加密機制與密碼編譯基本功能已有初步認識。
靜態資料加密
GDC 會透過一或多項加密機制,將儲存在系統中的所有靜態客戶內容加密,您不需要採取任何行動。靜態資料加密是指對儲存於磁碟 (含固態硬碟) 或備份媒體的資料進行加密。
下列各節說明如何加密靜態顧客資料。
GDC 區塊儲存空間資料會在硬體層級加密,並採用符合 FIPS 140-2 標準的自加密硬碟。自加密磁碟機的加密金鑰會儲存在外部 HSM 中,提供符合 FIPS 140-3 規範的靜態資料加密儲存空間。此外,Block Storage 也實作了額外的軟體層級加密解決方案「磁碟區加密 (VE)」,可使用專屬的 XTS-AES-256 金鑰加密每個基礎的 Block Storage 資料磁碟區,且每個磁碟區專屬的金鑰都會儲存在外部 HSM 中。
金鑰管理系統
金鑰管理系統 (KMS) 可讓您建立自己的加密和簽署金鑰。您可以使用 KMS 建立及刪除金鑰。如本頁所述,KMS 不會參與待機加密作業。
根金鑰會包裝金鑰,並在靜態時加密。您可以使用金鑰加密或簽署工作負載。
客戶管理的加密金鑰
如要保護靜態資料,請使用客戶自行管理的加密金鑰 (CMEK)。CMEK 可讓您控管用來保護 GDC 靜態資料的金鑰。
儲存在 GDC 中的所有靜態資料,都會透過硬體安全模組 (HSM) 保護的金鑰,以通過 FIPS 140-2 驗證的加密模組加密。無須設定或配置。
使用 CMEK 有以下優點:
- 控管:您可以控管 CMEK,包括刪除金鑰。
- 資訊公開:您可以稽核加密程序,確保資料受到妥善保護。
- 法規遵循:CMEK 可協助您滿足法規遵循要求。
採用 CMEK 的另一個優點是加密編譯清除功能,這是一種高保障的資料銷毀方法,可用於補救資料外洩問題和停用服務。您可以刪除金鑰,但無法刪除受保護的資料。一組 CMEK 可保護貴機構中所有資料,平台管理員可視需要監控、稽核及刪除這些資料。CMEK 金鑰是加密金鑰,您可以使用 HSM API 管理。
支援 CMEK 的服務
使用者在 GDC 中建立支援 CMEK 的資料存放區 (例如區塊儲存空間) 時,系統會自動代表使用者建立 CMEK,並提供給平台管理員管理。支援 CMEK 輪替的服務會提供服務專屬的 CMEK 金鑰輪替操作說明。這個程序可能需要將資料複製到新執行個體。
下列 GDC 服務支援 CMEK:
- 區塊儲存空間:使用平台管理員管理金鑰,加密每個區塊儲存空間裝置。
- 虛擬機器 (VM) 磁碟。
- 資料庫服務:資料庫執行個體主要會使用平台管理員管理的金鑰儲存資料。資料庫備份不在 CMEK 的適用範圍內,且會使用備份儲存系統的加密設定進行加密。
- 使用者容器工作負載:使用平台管理員管理金鑰,加密 Kubernetes 中繼資料和
ETCD叢集。 - 儲存空間:使用儲存空間層級的 KMS AEAD 金鑰包裝,以專屬的 AES-256-GCM 資料加密金鑰加密每個物件。
靜態資料加密,確保資料安全無虞
加密有以下好處:
- 確保資料落入攻擊者手中時,對方必須同時取得加密金鑰,才能讀取資料。即使攻擊者取得含有顧客資料的儲存裝置,也無法解讀或解密當中的資料。
- 切除軟硬體堆疊中的較低層級,減少攻擊面積。
- 集中管理加密金鑰,在單一位置執行資料存取權,並防止稽核,因此可做為阻塞點。
- 減少受攻擊面。舉例來說,企業不必保護所有資料,而是將保護策略著重於加密金鑰。
- 為您提供重要的隱私權機制。GDC 會加密靜態資料,限制系統和工程師存取資料。
顧客數位資料
客戶資料是指客戶或使用者透過帳戶下的服務提供給 GDC 的資料。客戶資料包括客戶內容和中繼資料。
客戶內容是指您自行產生或提供給我們的資料,例如儲存的資料、磁碟快照,以及身分與存取權管理 (IAM) 政策。本文著重說明內容的預設靜態加密。
其餘資料則為顧客中繼資料。客戶中繼資料可能包含系統自動產生的專案編號、時間戳記、IP 位址、物件的位元組大小,或是虛擬機器類型。在不影響當前效能與作業的前提下,Google Cloud Dataflow 會以適當方式保護中繼資料。