安全和加密

本页面介绍了 Transfer Appliance 如何保护和加密数据。

Google 基础架构数据的安全性

您退回设备后,我们会将设备寄回我们的某个 Google 数据中心。当您订购要导出数据的设备时,我们会在其中一个 Google 数据中心为您准备设备。保护客户数据是我们的第一要务,也是我们的职责。如需详细了解我们的基础架构安全,请参阅 Google 基础架构安全设计概览;如需详细了解我们的数据中心安全措施,请参阅数据和安全性

保护传输过程中的设备安全

收到设备后,您需要运行 Transfer Appliance 认证应用。此应用会验证设备身份及其状态,以确保设备与我们寄给您时的状态相同。该应用会生成您与我们共享的认证密码。如果认证密码与我们的预期相符,我们会提供设备的登录凭据。

在您使用完设备并且我们收到您发送的设备后,我们会再次验证设备,以确保它在运输过程中不会被篡改。验证完设备后,我们会将您的数据上传到 Cloud Storage。

如果 Search Appliance 验证表明设备在任何时间点被篡改,我们将使整个传输会话失效,并与您一起努力,将替代设备运送给您。

数据加密

您的数据在上传过程中、传输到我们数据中心期间、上传到 Cloud Storage 后,以及使用数据导出功能下载到设备的过程中都会加密。以下详细说明了我们如何对您的数据进行加密:

  • 在传输到 Cloud Storage 期间:您的数据在 Transfer Appliance 中采用 dm-encrypt 和分区级加密,并使用 AES-256 加密算法进行加密。

  • 在上传到 Cloud Storage 期间:您的数据会使用安全 TLS 连接进行加密。我们将您设备上的加密数据传输到 Cloud Storage。对于使用 VPC Service Controls 的客户,此过程在您的 VPC Service Controls 边界内执行。

  • 在 Cloud Storage 上:默认情况下,您的数据在 Cloud Storage 上加密。如需了解详情,请参阅数据加密选项

  • 下载到 Transfer Appliance 期间:使用数据导出功能时,您的数据会先在云端加密,然后再下载到设备。

对传输到设备上的数据进行加密

我们不会在存储设备或网络设备和您的设备之间实施加密。您要负责保护设备的网络和物理访问权限。我们不会访问或监控连接在您网络上的设备。

对设备上的数据进行加密

我们使用两个密钥来加密设备上的数据:

  • 密钥加密密钥,该密钥会在您将设备返回给我们之前应用于数据加密密钥。

  • 数据加密密钥,在数据写入设备磁盘之前应用于数据。

密钥加密密钥

您可以选择以下两种密钥加密密钥 (KEK):

  • 您可以创建客户管理的密钥,从而自行生成和管理密钥。

  • 您可以选择一个 Google 管理的密钥,我们将在其中生成和管理密钥。

    Google 管理的密钥在每个会话中是唯一的,并且不与其他 Google Cloud 服务共享。当会话完成或取消时,或者如果设备丢失,我们会销毁相应密钥以确保您的数据安全性。

    以下是用于创建 Google 管理的密钥的设置:

    • 区域全球
    • 保护级别:软件
    • 用途:非对称解密
    • 算法:4096 位 RSA - OAEP 填充 - SHA256 摘要

在会话完成之前销毁 KEK 会导致设备的数据完全丢失。

KEK 是在 Google Cloud 中作为 Cloud Key Management Service (Cloud KMS) 非对称密钥生成的,我们会先将 KEK 公钥下载到设备上,然后再将其寄送给您。

数据加密密钥 (DEK)

DEK 是在设备上生成的。DEK 保存在内存中,也存储在设备的可信平台模块中,以便在重新启动后保留相应密钥。DEK 绝不会存储在未加密的本地磁盘上。

将数据写入磁盘之前,设备会将生成的 DEK 应用于数据。在设备上最终完成数据后,KEK 公钥将应用于 DEK,然后从设备中移除 DEK。

数据永不会以未加密的方式存储在设备上。

加密数据以便从 Cloud Storage 导出数据

当您订购设备以进行数据导出时,设备会在安全的 Google 数据中心做好准备,并且首先对您的数据进行加密。然后,加密的数据被安全地移动到设备,该设备通过磁盘级加密来进一步保护。在数据中心内和传输过程中,您的数据仍会在设备上保持加密状态,并且仅在您激活设备后才能访问。

限制对设备上数据的访问权限

如需限制对存储在设备 NFS 共享中的数据的访问权限,您可以应用 IP 过滤条件,以允许网络上的特定主机访问设备。请联系您的网络管理员获取帮助。

如需详细了解 Transfer Appliance 使用的 IP 网络端口,请参阅配置 IP 网络端口

将数据上传到 Cloud Storage

当我们在其中一个安全数据中心收到您的设备时,会先将加密数据上传到您的 VPC Service Controls 边界,然后再应用 KEK 以进行 DEK 和数据解密。在传输生命周期中的任何时间点,DEK 都永不会保留。然后,我们会在私有数据中心网络中使用安全 TLS 连接,将您的数据安全地传输到 Cloud Storage。默认情况下,数据会在 Cloud Storage 中加密,并且只有您才能访问。

设备介质清理

在您上传数据或接收设备以进行数据导出后,我们会运用 NIST 800-88 标准清除信息,对退回的设备中的驱动器介质进行清理。具体来说,我们使用加密清除功能来清理先前存储在设备驱动器上的所有加密数据。如果驱动器在使用过程中发生故障,造成无法运行、无法清空,我们会以物理方式销毁受影响的物理介质。如需详细了解我们的媒体清理流程,请参阅确保安全可靠的媒体清理

您可以申请擦除证书,以证明我们已在 Cloud Storage 中可用的数据后的 4 周内或将数据导出后返回设备后,已对设备介质进行了安全清理。

Transfer Appliance 翻新

我们在您退回的设备上销毁数据后,会准备好将设备运送给下一位客户。以下汇总了我们在清理介质后对每个设备进行翻新的方法:

  1. 我们对设备上的驱动器进行分区。介质清理也会破坏数据分区,因此我们每次都会重新开始。

  2. 然后,我们会重新格式化驱动器,使其准备好存储数据和设备的软件。

  3. 接下来,我们将安装设备软件,并应用所有必要的更新。

  4. 最后,我们会将设备打包,并准备好将设备运送给下一位客户。