Sécurité et chiffrement

Cette page décrit comment Transfer Appliance sécurise et chiffre vos données.

Sécurité des données de l'infrastructure de Google

Lorsque vous renvoyez un dispositif, nous le recevons dans l'un de nos centres de données Google. Lorsque vous commandez un appareil pour l'exportation de données, nous le préparons dans l'un de nos centres de données Google. La sécurisation des données des clients est notre priorité absolue et notre responsabilité. Pour en savoir plus sur la sécurité de notre infrastructure, consultez la page Présentation de la sécurité sur l'infrastructure de Google. Pour plus d'informations sur nos pratiques de sécurité des centres de données, consultez la page Data et sécurité.

Sécuriser le dispositif en transit

Lorsque vous recevez votre serveur, vous exécutez l'application d'attestation Transfer Appliance. Cette application valide l'identité du serveur et son état, afin de garantir que le serveur est dans le même état que lors de notre expédition. L'application génère un code secret d'attestation que vous partagez avec nous. Si le code secret de l'attestation correspond à ce que nous attendons, nous fournissons les identifiants de connexion pour le serveur.

Lorsque vous avez fini d'utiliser le dispositif et que nous avons reçu votre envoi, nous validons le dispositif à nouveau afin de nous assurer qu'il n'a pas été altéré pendant l'expédition. Une fois le dispositif validé, nous transférons vos données dans Cloud Storage.

Si la validation du dispositif indique que celui-ci a été altéré et a été modifié à un moment donné, nous invalidons l'intégralité de la session de transfert et nous vous contactons afin de vous envoyer un dispositif de remplacement.

Chiffrement des données

Vos données sont chiffrées lors de leur importation, de leur transit vers nos centres de données, après leur importation dans Cloud Storage et pendant leur téléchargement sur l'appareil lorsque vous utilisez la fonctionnalité d'exportation de données. Vous trouverez ci-dessous les détails concernant le chiffrement de vos données :

• Pendant le transit vers Cloud Storage : vos données sont chiffrées sur Transfer Appliance avec dm-encrypt et le chiffrement au niveau de la partition, avec l'algorithme de chiffrement AES-256.

• Pendant l'importation dans Cloud Storage : vos données sont chiffrées à l'aide de connexions TLS sécurisées. Nous transférons les données chiffrées sur votre serveur vers Cloud Storage. Pour les clients utilisant VPC Service Controls, ce processus se produit dans votre périmètre VPC Service Controls.

• Sur Cloud Storage: vos données sont chiffrées sur Cloud Storage par défaut. Pour en savoir plus, consultez la page Options de chiffrement des données.

• Pendant le téléchargement sur Transfer Appliance: vos données sont chiffrées dans le cloud avant d'être téléchargées sur l'appareil lorsque la fonctionnalité d'exportation des données est utilisée.

Chiffrement des données en transit vers votre dispositif

Nous n'appliquons pas le chiffrement entre vos périphériques de stockage ou réseau et votre dispositif. La sécurisation du réseau et de l'accès physique au dispositif vous incombe. Nous n'accédons ni ne surveillons le dispositif lorsqu'il est connecté à votre réseau.

Chiffrement des données sur votre dispositif

Nous utilisons deux clés pour chiffrer les données sur votre dispositif :

• Une clé de chiffrement de clé, qui est appliquée à la clé de chiffrement des données avant que le serveur nous soit renvoyé par vos soins.

• Une clé de chiffrement de données, qui est appliquée à vos données avant leur écriture sur les disques du serveur.

Clé de chiffrement de clé

Vous disposez des deux options suivantes pour la clé de chiffrement de clé (KEK):

• Vous pouvez créer une clé gérée par le client, dans laquelle vous générez et gérez vous-même la clé.

• Vous pouvez sélectionner une clé gérée par Google, dans laquelle nous générons et gérons la clé.

  Les clés gérées par Google sont uniques pour chaque session et ne sont pas partagées avec d'autres services Google Cloud. Lorsqu'une session est terminée ou annulée, ou en cas de perte d'un serveur, nous détruisons la clé pour garantir la sécurité de vos données.

  Voici les paramètres utilisés pour créer des clés gérées par Google :

  • Région: Monde
  • Niveau de protection : Logiciel
  • Objectif : Déchiffrement asymétrique
  • Algorithme :RSA 4 096 bits - Remplissage OAEP - Condensé SHA256

La destruction de la KEK avant la fin de la session entraîne une perte complète des données sur le serveur.

La KEK est générée en tant que clé asymétrique Cloud Key Management Service (Cloud KMS) dans Google Cloud, puis nous téléchargeons la clé publique KEK sur le serveur avant que nous vous l'envoyions.

Clé de chiffrement de données (DEK)

La DEK est générée sur le serveur. La DEK est conservée en mémoire. Elle est stockée sur le module Trusted Platform du serveur afin de conserver la clé lors des redémarrages. La DEK n'est jamais stockée sur un disque local non chiffrée.

Le serveur applique la DEK générée à vos données avant de les écrire sur le disque. Lorsque vous finalisez les données sur le serveur, la clé publique KEK est appliquée à la clé DEK, puis la DEK est supprimée du serveur.

Les données ne sont jamais stockées de manière non chiffrée sur le dispositif.

Chiffrer les données pour l'exportation de données depuis Cloud Storage

Lorsque vous commandez un appareil en vue d'exporter des données, il est préparé dans un centre de données Google sécurisé, et vos données sont d'abord chiffrées. Les données chiffrées sont ensuite transférées de manière sécurisée vers le dispositif, qui est davantage sécurisé par le chiffrement au niveau du disque. Vos données restent chiffrées sur l'appareil tant dans le centre de données qu'en transit. De plus, ils ne sont accessibles qu'une fois l'appareil activé.

Restreindre l'accès aux données sur votre appareil

Pour limiter l'accès aux données stockées sur les partages NFS de votre système, vous pouvez appliquer un filtre IP qui permet à des hôtes spécifiques de votre réseau d'accéder au dispositif. Veuillez contacter votre administrateur réseau pour obtenir de l'aide.

Pour plus d'informations sur les ports réseau IP utilisés par Transfer Appliance, consultez la section Configurer les ports réseau IP.

Importer des données dans Cloud Storage

Lorsque nous recevons votre serveur dans l'un de nos centres de données sécurisés, nous importons vos données chiffrées dans votre périmètre VPC Service Controls avant d'appliquer la KEK pour déchiffrer la DEK et vos données. La DEK n'est jamais conservée pendant le cycle de vie du transfert. Nous transférons ensuite de manière sécurisée vos données vers Cloud Storage sur notre réseau de centres de données privé à l'aide de connexions TLS sécurisées. Par défaut, vos données sont chiffrées dans Cloud Storage. Elles ne sont accessibles que par vous.

Assainissement des supports du dispositif

Après avoir importé vos données ou reçu l'appareil en vue de leur exportation, nous nettoyons le contenu du disque dans l'appareil que vous avez renvoyé en appliquant les normes NIST 800-88 pour la suppression définitive des informations. Plus précisément, nous utilisons l'effacement cryptographique pour nettoyer toutes les données chiffrées précédemment stockées sur les disques du dispositif. Si un disque subit une défaillance pendant l'utilisation qui le rend inutilisable et en empêche l'effacement, nous détruisons physiquement les supports physiques concernés. Pour en savoir plus sur nos processus de nettoyage des médias, consultez Assurer un nettoyage sûr et sécurisé des médias.

Vous pouvez demander un certificat d'effacement pour prouver que nous avons nettoyé en toute sécurité le support de l'appareil dans les quatre semaines suivant la mise à disposition de vos données dans Cloud Storage ou après que vous avez retourné l'appareil après l'exportation des données.

Reconditionnement du serveur Transfer Appliance

Une fois que nous avons détruit vos données sur le dispositif que vous avez renvoyé, nous nous chargeons de l'expédier au client suivant. Vous trouverez ci-dessous un résumé de notre procédure de reconditionnement de chaque dispositif après l'assainissement des supports :

1. Nous partitionnons les lecteurs sur le dispositif. L'assainissement du support détruit également nos partitions de données. Nous devons donc repartir de zéro à chaque fois.

2. Nous reformatons ensuite les disques pour les préparer à stocker les données et les logiciels du dispositif.

3. Nous installons ensuite le logiciel du dispositif et appliquons les mises à jour nécessaires.

4. Enfin, nous emballons et préparons l'expédition du dispositif au client suivant.