このページでは、Transfer Appliance でデータを保護し、暗号化する方法について説明します。
Google のインフラストラクチャ データ セキュリティ
アプライアンスを返却と、Google のデータセンターのいずれかで受領されます。 データ エクスポート用にアプライアンスを注文すると、Google のデータセンターのいずれかで準備されます。お客様のデータの保護は Google の最優先事項であり、責任を負っています。インフラストラクチャ セキュリティの詳細については、Google インフラストラクチャのセキュリティ設計の概要、Google のデータセンターにおけるセキュリティ対策の詳細についてはデータとセキュリティをご覧ください。
転送中のアプライアンスの保護
アプライアンスを受け取ったら、Transfer Appliance 認証アプリケーションを実行します。このアプリケーションは、アプライアンスの ID とその状態を検証し、アプライアンスが配送されたときと同じ状態であることを確認します。アプリケーションは、Google と共有する証明書パスコードを生成します。証明書のパスコードが期待されるものと一致する場合は、アプライアンスのログイン認証情報を提供します。
Google は、アプライアンスの使用が完了し、お客様がアプライアンスを受け取ったら、アプライアンスを再び検証して配送中に改ざんされていないことを確認します。アプライアンスが確認されたら、Cloud Storage にデータをアップロードします。
アプライアンスの検証でアプライアンスが改ざんされていたことが示された場合は、転送セッション全体を無効にし、協力してアプライアンスを発送します。
データ暗号化
データは、Cloud Storage にアップロードされた後のアップロード中、Google のデータセンターへの転送中、およびデータ エクスポート機能を使用してアプライアンスにダウンロードされるときに暗号化されます。データの暗号化方法の詳細は次のとおりです。
Cloud Storage への転送中: データは、AES-256 暗号化アルゴリズムを使用して、
dm-encryptとパーティション レベルの暗号化により、Transfer Appliance 上で暗号化されます。Cloud Storage へのアップロード中: データは、安全な TLS 接続を使用して暗号化されます。アプライアンス上の暗号化されたデータを Cloud Storage に転送します。VPC Service Controls を使用している場合は、VPC Service Controls の境界内でこのプロセスが行われます。
Cloud Storage の場合: データはデフォルトで Cloud Storage で暗号化されます。詳細については、データ暗号化オプションをご覧ください。
Transfer Appliance へのダウンロード中: データ エクスポート機能が使用されている場合、データはアプライアンスにダウンロードされる前にクラウドで暗号化されます。
アプライアンスへの転送データの暗号化
ストレージまたはネットワーク デバイスとアプライアンスの間では暗号化が適用されません。ネットワークとネットワークへの物理的アクセスの保護は、お客様の責任です。Google がネットワークに接続しているアプライアンスにアクセスしたり、モニタリングしたりすることはありません。
アプライアンス上のデータの暗号化
アプライアンス上のデータの暗号化には、次の 2 つの鍵を使用します。
鍵暗号鍵
鍵暗号鍵(KEK)には次の 2 つの選択肢があります。
顧客管理の暗号鍵を作成することで、自分で鍵を生成、管理できます。
Google が管理する鍵を選択できます。この鍵は、鍵の生成と管理に使用されます。
Google が管理するキーはセッションごとに一意で、他の Google Cloud サービスと共有されることはありません。セッションが完了またはキャンセルされた場合、またはアプライアンスを紛失した場合は、データ セキュリティを確保するための鍵が破棄されます。
Google が管理する鍵の作成に使用する設定は次のとおりです。
- Region: Global
- 保護レベル: ソフトウェア
- 目的: 非対称復号
- アルゴリズム: 4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト
セッションが完了する前に KEK を破棄すると、アプライアンスでデータが完全に失われます。
KEK は、Google Cloud で Cloud Key Management Service(Cloud KMS)の非対称鍵として生成され、KEK 公開鍵をアプライアンスにダウンロードする前にアプライアンスにダウンロードします。
データ暗号鍵(DEK)
DEK がアプライアンスで生成されます。DEK はメモリに保持され、再起動後も鍵を保持するために、アプライアンスの Trusted Platform Modules に保存されます。DEK が暗号化されずにローカル ディスクに保存されることはありません。
データをディスクに書き込む前に、アプライアンスで生成された DEK をデータに適用します。アプライアンスでデータをファイナライズすると、KEK 公開鍵が DEK に適用され、その後 DEK がアプライアンスから削除されます。
データが暗号化されずにアプライアンスに保存されることはありません。
Cloud Storage からのエクスポート データを暗号化する
データ エクスポート用のアプライアンスを注文すると、そのアプライアンスは安全な Google データセンターで準備され、最初にデータが暗号化されます。その後、暗号化されたデータはアプライアンスに安全に移動され、ディスクレベルの暗号化で保護されます。データセンター内の転送中も転送中もデータはアプライアンスで暗号化され、アプライアンスを有効化するまでアクセスできません。
アプライアンス上のデータへのアクセスを制限する
アプライアンスの NFS 共有に保存されているデータへのアクセスを制限するには、ネットワーク上の特定のホストがアプライアンスにアクセスできるように IP フィルタを適用します。サポートが必要な場合は、ネットワーク管理者にお問い合わせください。
Transfer Appliance で使用する IP ネットワーク ポートの詳細については、IP ネットワーク ポートの構成をご覧ください。
Cloud Storage へのデータ アップロード
Google の安全なデータセンターのいずれかでアプライアンスを受け取ったら、KEK を適用して DEK とデータを復号する前に、暗号化されたデータを VPC Service Controls の境界にアップロードします。DEK は転送ライフサイクル内のどの時点においても保持されません。次に、安全な TLS 接続を使用して、プライベート データセンター ネットワーク上の Cloud Storage にデータを安全に移動します。データはデフォルトで Cloud Storage に暗号化され、自分だけがアクセスできます。
アプライアンスのメディア サニタイズ
データをアップロードするか、データ エクスポート用に Transfer Appliance を受け取った後、NIST 800-88 標準を適用して情報の削除に使用し、返されたアプライアンスのドライブ メディアをサニタイズします。具体的には、暗号消去を使用してアプライアンスに以前保存されているすべての暗号化データをサニタイズします。使用中に障害が発生してドライブが動作しなくなり、データを消去できない場合、影響を受ける物理メディアは物理的に破棄されます。メディアのサニタイズ プロセスの詳細については、メディアのサニタイズの安全性の確保をご覧ください。
データが Cloud Storage 内で利用可能になった後、またはデータのエクスポート後に Transfer Appliance を返送してから 4 週間以内に、アプライアンス メディアのサニタイズ処理が正常に終了したことを証明するために、ワイプ証明書をリクエストできます。
Transfer Appliance の改造
返却されたアプライアンス上のデータを破棄した後、次のお客様にアプライアンスを発送するための準備を行いします。以下に、メディア サニタイズ後の各アプライアンスの再生方法の概要を示します。
アプライアンスでドライブをパーティション化します。メディアのサニタイズによってデータ パーティションも破棄されるため、毎回白紙の状態から開始します。
その後、ドライブを再フォーマットし、データとアプライアンスのソフトウェアを準備します。
次に、アプライアンスのソフトウェアをインストールし、必要な更新を適用します。
最後に、アプライアンスを梱包して次のお客様に発送する準備を行います。