本页介绍了 Transfer Appliance 如何保护和加密您的数据。
Google 的基础架构数据安全
当您退回设备时,我们会在 Google 数据中心接收设备。当您订购用于数据导出的设备时,我们会在 Google 数据中心之一准备该设备。保障客户数据安全是我们的第一要务和责任。如需详细了解我们的基础架构安全,请参阅 Google 基础架构安全设计概览;如需详细了解我们的数据中心安全做法,请参阅数据和安全。
确保运输过程中设备的安全
收到设备后,您需要运行 Transfer Appliance 证明应用。此应用会验证设备的身份及其状态,以确保设备的状态与我们寄送给您的状态相同。该应用会生成您要与我们分享的认证通行密钥。如果认证通行密钥与我们预期相符,我们会提供该设备的登录凭据。
当您不再使用设备,并且我们收到设备后,我们会再次验证设备,以确保设备在运输过程中未被篡改。验证设备后,我们会将您的数据上传到 Cloud Storage。
如果 Search Appliance 验证表明设备在任何时间点被篡改,我们将使整个传输会话失效,并与您一起努力,将替代设备运送给您。
数据加密
数据会在上传过程中、在传输到数据中心期间、上传到 Cloud Storage 后以及使用数据导出功能下载到设备期间予以加密。以下详细说明了我们如何对您的数据进行加密:
在传输到 Cloud Storage 期间:您的数据在 Transfer Appliance 中采用
dm-encrypt
和分区级加密,并使用 AES-256 加密算法进行加密。在上传到 Cloud Storage 期间:您的数据会使用安全 TLS 连接进行加密。我们将您设备上的加密数据传输到 Cloud Storage。对于使用 VPC Service Controls 的客户,此过程在您的 VPC Service Controls 边界内执行。
在 Cloud Storage 上:默认情况下,您的数据在 Cloud Storage 上会经过加密。如需了解详情,请参阅数据加密选项。
在下载到 Transfer Appliance 期间:使用数据导出功能时,您的数据会先在云端加密,然后再下载到设备。
对传输到设备上的数据进行加密
我们不会在存储设备或网络设备和您的设备之间实施加密。您要负责保护设备的网络和物理访问权限。我们不会访问或监控连接在您网络上的设备。
对设备上的数据进行加密
我们使用两把密钥来加密设备上的数据:
密钥加密密钥
您可以通过以下两种方式提供密钥加密密钥 (KEK):
您可以创建客户管理的密钥,自行生成和管理该密钥。
您可以选择由 Google 管理的密钥,由我们生成和管理该密钥。
Google 管理的密钥因会话而异,不会与其他 Google Cloud 服务共享。当会话完成或取消时,或者设备丢失时,我们会销毁密钥,以确保您的数据安全。
以下是用于创建 Google 管理的密钥的设置:
- 区域:全球
- 保护级别:软件
- 用途:非对称解密
- 算法:4096 位 RSA - OAEP 填充 - SHA256 摘要
如果在会话完成之前销毁 KEK,则会导致设备上的数据完全丢失。
KEK 在 Google Cloud 中生成为 Cloud Key Management Service (Cloud KMS) 非对称密钥,我们会先将 KEK 公钥下载到设备,然后再将设备寄给您。
数据加密密钥 (DEK)
DEK 是在设备上生成的。DEK 会保留在内存中,并存储在设备的受信任平台模块 (TPM) 上,以便在重新启动后保留密钥。DEK 绝不会以未加密的方式存储在本地磁盘上。
将数据写入磁盘之前,设备会将生成的 DEK 应用于数据。在设备上最终完成数据后,KEK 公钥将应用于 DEK,然后从设备中移除 DEK。
数据永不会以未加密的方式存储在设备上。
对要从 Cloud Storage 导出的数据进行加密
当您订购用于数据导出的设备时,我们会在安全的 Google 数据中心内准备好设备,并先对您的数据进行加密。然后,加密数据会安全地移至设备,并通过磁盘级加密进一步保护。您的数据在数据中心和传输过程中会保持加密状态,只有在您激活设备后才能访问。
限制对设备上数据的访问
如需限制对存储在设备 NFS 共享中的数据的访问权限,您可以应用 IP 过滤条件,以允许网络上的特定主机访问设备。请联系您的网络管理员获取帮助。
如需详细了解 Transfer Appliance 使用的 IP 网络端口,请参阅配置 IP 网络端口。
将数据上传到 Cloud Storage
当我们在其中一个安全数据中心收到您的设备时,会先将加密数据上传到您的 VPC Service Controls 边界,然后再应用 KEK 以进行 DEK 和数据解密。在传输生命周期中的任何时间点,DEK 都永不会保留。然后,我们会在私有数据中心网络中使用安全 TLS 连接,将您的数据安全地传输到 Cloud Storage。默认情况下,数据会在 Cloud Storage 中加密,并且只有您才能访问。
设备介质清理
上传数据或收到用于数据导出的设备后,我们会应用 NIST 800-88 信息清除标准,清理您退回的设备中的驱动器介质。具体来说,我们使用加密清除功能来清理先前存储在设备驱动器上的所有加密数据。如果驱动器在使用过程中发生故障,造成无法运行、无法清空,我们会以物理方式销毁受影响的物理介质。如需详细了解介质清理过程,请参阅确保安全和保障介质清理。
您可以索要擦除证书,此证书证明您在 Cloud Storage 中存放数据后的 4 周内或者您在数据导出后退回设备后的 4 周内,我们已经安全地清理设备介质。
Transfer Appliance 翻新
我们在您退回的设备上销毁数据后,会准备好将设备运送给下一位客户。以下汇总了我们在清理介质后对每个设备进行翻新的方法:
我们对设备上的驱动器进行分区。介质清理也会破坏数据分区,因此我们每次都会重新开始。
然后,我们会重新格式化驱动器,使其准备好存储数据和设备的软件。
接下来,我们将安装设备的软件,并应用所有必要的更新。
最后,我们会将设备打包,并准备好将设备运送给下一位客户。