Sécurité et chiffrement

Cette page décrit comment Transfer Appliance sécurise et chiffre vos données.

Sécurité des données de l'infrastructure de Google

Lorsque vous renvoyez un dispositif, nous le recevons dans l'un de nos centres de données Google. La sécurisation des données des clients est notre priorité absolue et notre responsabilité. Pour en savoir plus sur la sécurité de notre infrastructure, consultez la page Présentation de la sécurité sur l'infrastructure de Google. Pour plus d'informations sur nos pratiques de sécurité des centres de données, consultez la page Data et sécurité.

Sécuriser le dispositif en transit

Lorsque vous recevez votre serveur, vous exécutez l'application d'attestation Transfer Appliance. Cette application valide l'identité du serveur et son état, afin de garantir que le serveur est dans le même état que lors de notre expédition. L'application génère un code secret d'attestation que vous partagez avec nous. Si le code secret de l'attestation correspond à ce que nous attendons, nous fournissons les identifiants de connexion pour le serveur.

Lorsque vous avez fini d'utiliser le dispositif et que nous avons reçu votre envoi, nous validons le dispositif à nouveau afin de nous assurer qu'il n'a pas été altéré pendant l'expédition. Une fois le dispositif validé, nous transférons vos données dans Cloud Storage.

Si la validation du dispositif indique que celui-ci a été altéré et a été modifié à un moment donné, nous invalidons l'intégralité de la session de transfert et nous vous contactons afin de vous envoyer un dispositif de remplacement.

Chiffrement des données

Vos données sont chiffrées pendant l'importation, pendant le transit vers nos centres de données et après leur importation dans Cloud Storage. Vous trouverez ci-dessous les détails concernant le chiffrement de vos données:

  • Pendant le transit vers Cloud Storage : vos données sont chiffrées sur Transfer Appliance avec dm-encrypt et le chiffrement au niveau de la partition, avec l'algorithme de chiffrement AES-256.

  • Pendant l'importation dans Cloud Storage: vos données sont chiffrées à l'aide de connexions TLS sécurisées. Nous transférons les données chiffrées sur votre serveur vers Cloud Storage. Pour les clients utilisant VPC Service Controls, ce processus se produit dans votre périmètre VPC Service Controls.

  • Sur Cloud Storage : vos données sont chiffrées par défaut sur Cloud Storage. Pour en savoir plus, consultez la page Options de chiffrement des données.

Chiffrement des données en transit vers votre dispositif

Nous n'appliquons pas le chiffrement entre vos périphériques de stockage ou réseau et votre dispositif. La sécurisation du réseau et de l'accès physique au dispositif vous incombe. Nous n'accédons ni ne surveillons le dispositif lorsqu'il est connecté à votre réseau.

Chiffrement des données sur votre dispositif

Nous utilisons deux clés pour chiffrer les données sur votre dispositif:

Clé de chiffrement de clé (KEK)

Vous disposez des deux options suivantes pour la KEK:

  • Vous pouvez créer une clé gérée par le client, dans laquelle vous générez et gérez vous-même la clé.

  • Vous pouvez sélectionner une clé gérée par Google, dans laquelle nous générons et gérons la clé.

    Les clés gérées par Google sont uniques pour chaque session et ne sont pas partagées avec d'autres services Google Cloud. Lorsqu'une session est terminée ou annulée, ou en cas de perte d'un serveur, nous détruisons la clé pour garantir la sécurité de vos données.

    Voici les paramètres utilisés pour créer des clés gérées par Google:

    • Region (Région) : /kms/docs/locations#global
    • Niveau de protection:Logiciel
    • Objectif: Déchiffrement asymétrique
    • Algorithme:RSA 4 096 bits - Remplissage OAEP - Condensé SHA256

La destruction de la KEK avant la fin de la session entraîne une perte complète des données sur le serveur.

La KEK est générée en tant que clé asymétrique Cloud Key Management Service (Cloud KMS) dans Google Cloud, puis nous téléchargeons la clé publique KEK sur le serveur avant que nous vous l'envoyions.

Clé de chiffrement de données (DEK)

La DEK est générée sur le serveur. La DEK est conservée en mémoire. Elle est stockée sur le module Trusted Platform du serveur afin de conserver la clé lors des redémarrages. La DEK n'est jamais stockée sur un disque local non chiffrée.

Le serveur applique la DEK générée à vos données avant de les écrire sur le disque. Lorsque vous finalisez les données sur le serveur, la clé publique KEK est appliquée à la clé DEK, puis la DEK est supprimée du serveur.

Les données ne sont jamais stockées de manière non chiffrée sur le dispositif.

Restreindre l'accès aux données sur votre dispositif

Pour limiter l'accès aux données stockées sur les partages NFS de votre système, vous pouvez appliquer un filtre IP qui permet à des hôtes spécifiques de votre réseau d'accéder au dispositif. Veuillez contacter votre administrateur réseau pour obtenir de l'aide.

Pour plus d'informations sur les ports réseau IP utilisés par Transfer Appliance, consultez la section Configurer les ports réseau IP.

Importer des données dans Cloud Storage

Lorsque nous recevons votre serveur dans l'un de nos centres de données sécurisés, nous importons vos données chiffrées dans votre périmètre VPC Service Controls avant d'appliquer la KEK pour déchiffrer la DEK et vos données. La DEK n'est jamais conservée pendant le cycle de vie du transfert. Nous transférons ensuite de manière sécurisée vos données vers Cloud Storage sur notre réseau de centres de données privé à l'aide de connexions TLS sécurisées. Par défaut, vos données sont chiffrées dans Cloud Storage. Elles ne sont accessibles que par vous.

Assainissement des supports du dispositif

Après l'importation de vos données, nous nettoyons le support du lecteur du dispositif que vous avez renvoyé en appliquant les normes NIST 800-88 pour la suppression des informations. Plus précisément, nous utilisons l'effacement cryptographique pour nettoyer toutes les données chiffrées précédemment stockées sur les disques du dispositif. Si un disque subit une défaillance pendant l'utilisation qui le rend inutilisable et en empêche l'effacement, nous détruisons physiquement les supports physiques concernés. Pour en savoir plus sur nos processus d'assainissement des supports, consultez la page Assurer la destruction des supports en toute sécurité.

Vous pouvez demander un certificat de nettoyage pour prouver que nous avons nettoyé les supports de manière sécurisée dans les quatre semaines suivant la disponibilité des données dans Cloud Storage.

Reconditionnement du serveur Transfer Appliance

Une fois que nous avons détruit vos données sur le dispositif que vous avez renvoyé, nous nous chargeons de l'expédier au client suivant. Vous trouverez ci-dessous un résumé de notre procédure de reconditionnement de chaque dispositif après l'assainissement des supports :

  1. Nous partitionnons les lecteurs sur le dispositif. L'assainissement du support détruit également nos partitions de données. Nous devons donc repartir de zéro à chaque fois.

  2. Nous reformatons ensuite les disques pour les préparer à stocker les données et les logiciels du dispositif.

  3. Nous installons ensuite le logiciel du dispositif et appliquons les mises à jour nécessaires.

  4. Enfin, nous emballons et préparons l'expédition du dispositif au client suivant.