このページでは、Transfer Appliance でデータを保護し、暗号化する方法について説明します。
Google のインフラストラクチャ データのセキュリティ
アプライアンスを返却と、Google のデータセンターのいずれかで受領されます。 データ エクスポート用のアプライアンスを注文すると、Google のデータセンターのいずれかで準備されます。お客様のデータの保護は Google の最優先事項であり、責任を負っています。インフラストラクチャ セキュリティの詳細については、Google インフラストラクチャのセキュリティ設計の概要、Google のデータセンターにおけるセキュリティ対策の詳細についてはデータとセキュリティをご覧ください。
転送中のアプライアンスの保護
アプライアンスを受け取ったら、Transfer Appliance 認証アプリケーションを実行します。このアプリケーションは、アプライアンスの ID と状態を検証し、アプライアンスが発送されたときと同じ状態であることを確認します。アプリは構成証明パスコードを生成し、Google と共有します。構成証明パスコードが想定どおりの場合、アプライアンスのログイン認証情報が提供されます。
アプライアンスの使用が終了し、アプライアンスが Google に届いた時点で、アプライアンスが配送中に改ざんされていないことを確認するために、アプライアンスを再度検証します。アプライアンスの検証が完了すると、データが Cloud Storage にアップロードされます。
アプライアンスの検証で、アプライアンスが不正に改ざんされたことが判明した場合は、転送セッション全体を無効にし、交換用アプライアンスの配送についてお客様と連携します。
データ暗号化
データは、アップロード中、Google のデータセンターへの転送中、Cloud Storage にアップロードされた後、データ エクスポート機能を使用する場合はアプライアンスへのダウンロード中に暗号化されます。データを暗号化する方法の詳細は次のとおりです。
Cloud Storage への転送中: データは、AES-256 暗号化アルゴリズムを使用して、
dm-encryptとパーティション レベルの暗号化により、Transfer Appliance 上で暗号化されます。Cloud Storage へのアップロード中: データは安全な TLS 接続を使用して暗号化されます。アプライアンス上の暗号化されたデータは Cloud Storage に転送されます。VPC Service Controls を使用しているお客様の場合、このプロセスは VPC Service Controls 境界内で行われます。
Cloud Storage の場合: デフォルトでは、Cloud Storage でデータが暗号化されます。詳細については、データ暗号化オプションをご覧ください。
Transfer Appliance へのダウンロード中: データ エクスポート機能を使用すると、データはアプライアンスにダウンロードされる前にクラウドで暗号化されます。
アプライアンスへの転送中のデータの暗号化
ストレージまたはネットワーク デバイスとアプライアンスの間では暗号化が適用されません。ネットワークとネットワークへの物理的アクセスの保護は、お客様の責任です。Google がネットワークに接続しているアプライアンスにアクセスしたり、モニタリングしたりすることはありません。
アプライアンス上のデータを暗号化する
Google は、アプライアンス上のデータを暗号化するために 2 つの鍵を使用します。
鍵暗号鍵
鍵暗号鍵(KEK)には、次の 2 つの選択肢があります。
顧客管理の鍵を作成して、鍵を自分で生成して管理できます。
Google が管理する鍵を選択できます。この場合、Google が鍵を生成して管理します。
Google 管理鍵はセッションごとに一意であり、他の Google Cloud サービスと共有されません。セッションが完了またはキャンセルされた場合、またはアプライアンスが紛失した場合、Google はデータの安全性を確保するために鍵を破棄します。
Google 管理の鍵の作成に使用される設定は次のとおりです。
- Region: Global
- 保護レベル: ソフトウェア
- 目的: 非対称復号
- アルゴリズム: 4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト
セッションが完了する前に KEK を破棄すると、アプライアンス上のすべてのデータが失われます。
KEK は Google Cloud で Cloud Key Management Service(Cloud KMS)非対称鍵として生成されます。Google は、お客様に送付する前に KEK 公開鍵をアプライアンスにダウンロードします。
データ暗号鍵(DEK)
DEK はアプライアンスで生成されます。DEK はメモリに保持され、アプライアンスの Trusted Platform Module に保存されます。これにより、再起動後も鍵が保持されます。DEK は暗号化されていない状態でローカル ディスクに保存されることはありません。
データをディスクに書き込む前に、アプライアンスで生成された DEK をデータに適用します。アプライアンスでデータをファイナライズすると、KEK 公開鍵が DEK に適用され、その後 DEK がアプライアンスから削除されます。
データは暗号化されていない状態でアプライアンスに保存されることはありません。
Cloud Storage からのデータのエクスポート用にデータを暗号化する
データ エクスポート用のアプライアンスを注文すると、アプライアンスは安全な Google データセンターで準備され、まずデータが暗号化されます。暗号化されたデータは、ディスクレベルの暗号化でさらに保護されたアプライアンスに安全に移動されます。データは、データセンター内と転送中はアプライアンスで暗号化されたままであり、アプライアンスを有効にするとアクセスできるようになります。
アプライアンス上のデータへのアクセスを制限する
アプライアンスの NFS 共有に保存されているデータへのアクセスを制限するには、ネットワーク上の特定のホストがアプライアンスにアクセスできるように IP フィルタを適用します。サポートが必要な場合は、ネットワーク管理者にお問い合わせください。
Transfer Appliance で使用する IP ネットワーク ポートの詳細については、IP ネットワーク ポートの構成をご覧ください。
Cloud Storage へのデータ アップロード
アプライアンスが Google の安全なデータセンターのいずれかに届くと、暗号化されたデータが VPC Service Controls 境界にアップロードされ、KEK が適用されて DEK とデータが復号されます。DEK は、転送ライフサイクルのどの時点でも保持されません。その後、安全な TLS 接続を使用して、Google のプライベート データセンター ネットワーク上の Cloud Storage にデータを安全に移動します。データはデフォルトで Cloud Storage で暗号化され、ユーザーのみがアクセスできます。
アプライアンスのメディアのサニタイズ
データをアップロードするか、データ エクスポート用のアプライアンスを受け取った後、Google は、情報のパージに関する NIST 800-88 標準を適用して、返品されたアプライアンスのドライブ メディアをサニタイズします。具体的には、暗号化消去を使用して、アプライアンスのドライブに以前に保存されていたすべての暗号化されたデータを消去します。使用中にドライブに障害が発生し、動作不能になり、消去できない場合は、影響を受ける物理メディアを物理的に破壊します。メディアの消去プロセスについて詳しくは、メディアの安全で確実な消去を確保するをご覧ください。
データが Cloud Storage で利用可能になってから 4 週間以内、またはデータのエクスポート後にアプライアンスを返却してから 4 週間以内に、アプライアンス メディアが安全に消去されたことを証明するワイプ証明書をリクエストできます。
Transfer Appliance の再生
返却されたアプライアンス上のデータを破棄した後、次のお客様にアプライアンスを発送するための準備を行いします。以下に、メディア サニタイズ後の各アプライアンスの再生方法の概要を示します。
アプライアンスでドライブをパーティション化します。メディアのサニタイズによってデータ パーティションも破棄されるため、毎回白紙の状態から開始します。
その後、ドライブを再フォーマットし、データとアプライアンスのソフトウェアを準備します。
次に、アプライアンスのソフトウェアをインストールし、必要なアップデートを適用します。
最後に、アプライアンスを梱包して次のお客様に発送する準備を行います。