En esta página se explica cómo gestionar los contenedores de almacenamiento cifrados, centrándonos en cómo actualizar y rotar las AEADKeys para el cifrado de la versión 2. En este artículo se explican los requisitos previos y los pasos para usar los comandos kubectl para gestionar las claves AEAD y los secretos kekRef. Esta información te permite aplicar una seguridad de datos sólida y minimizar el riesgo de que se vean comprometidas tus claves de cifrado mediante una gestión eficaz del ciclo de vida.
Esta página está dirigida a audiencias como administradores de TI del grupo de operadores de infraestructura o desarrolladores del grupo de operadores de aplicaciones que gestionan la configuración del cifrado de los segmentos de almacenamiento en entornos aislados de Google Distributed Cloud (GDC). Para obtener más información, consulta Audiencias de la documentación de GDC air-gapped.
Antes de empezar
Un espacio de nombres de proyecto gestiona los recursos de los contenedores en el servidor de la API Management. Debes tener un proyecto para trabajar con los contenedores y los objetos.
También debe tener los permisos de contenedor adecuados para realizar la siguiente operación. Consulta Conceder acceso a un contenedor.
Gestionar recursos de cifrado
Los contenedores con cifrado v2 tendrían un secreto kekRef y varias AEADKeys creadas, en las que kekRef se usa para hacer referencia a las AEADKeys predeterminadas activas que se están usando, y las AEADKeys incluyen las activas y las archivadas que pertenecen al contenedor.
Actualizar las AEADKeys predeterminadas activas de un segmento
Como práctica recomendada, actualiza las AEADKeys predeterminadas de tu contenedor después de aproximadamente 42.000 millones de escrituras de objetos. Esta medida proactiva mejora la seguridad y evita que se agoten las claves. El proceso de actualización creará un nuevo kekRef y desactivará las AEADKeys anteriores. Para iniciar el proceso de actualización, elimina el secreto kekRef asociado al contenedor.
El kekRef anterior se puede recuperar ejecutando el siguiente comando:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
A continuación, puedes ejecutar lo siguiente para eliminar el kekRef:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Una vez que se haya eliminado correctamente, puedes ejecutar lo siguiente para confirmar que se ha creado un nuevo kekRef basado en AGE:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifica que se hayan creado nuevas AEADKeys predeterminadas basadas en AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Rotar las AEADKeys predeterminadas de un segmento
Si una AEADKey de tu segmento se ve comprometida, debes rotar manualmente las claves de cifrado de claves asociadas al segmento.
Para iniciar el proceso, primero debes actualizar las claves predeterminadas activas. De esta forma, se crean nuevas AEADKeys predeterminadas activas y se marcan como desactivadas las claves de cifrado anteriores. Después de que se actualicen las claves predeterminadas, las subidas de objetos posteriores usarán las nuevas AEADKeys como claves de cifrado de claves. Las AEADKeys anteriores no se destruyen, por lo que puedes seguir descifrando los objetos que se cifraron anteriormente con esas claves.
A continuación, sigue los pasos para descargar y volver a subir los objetos de tu segmento y eliminar los objetos antiguos.
Después de volver a subir todos los objetos de tu contenedor, puedes limpiar las AEADKeys inactivas y los objetos antiguos. Identifica las AEADKeys desactivadas en función de AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Por último, sigue los pasos para eliminar las AEADKeys.