Nesta página, você verá como o Transfer Appliance protege e criptografa os dados.
Segurança dos dados de infraestrutura do Google
Quando você devolve um dispositivo, nós o recebemos em um de nossos data centers do Google. Proteger os dados dos clientes é nossa maior prioridade e responsabilidade. Para mais informações sobre nossa segurança de infraestrutura, consulte Visão geral do design de segurança da infraestrutura do Google e, para mais informações sobre nossas práticas de segurança do data center, consulte Dados e segurança.
Como proteger o dispositivo em trânsito
Ao receber o dispositivo, execute o aplicativo de atestado do Transfer Appliance. Este aplicativo valida a identidade do dispositivo e o estado dele, para garantir que o dispositivo fique no mesmo estado que estava quando foi enviado a você. O aplicativo gera uma senha de confirmação que você compartilha conosco. Se a senha de atestado corresponder ao esperado, fornecemos as credenciais de login ao dispositivo.
Quando você terminar de usar o dispositivo e o recebermos de você, validamos o dispositivo novamente para garantir que ele não seja adulterado durante o envio. Depois de verificar o dispositivo, fazemos upload dos dados para o Cloud Storage.
Se a validação do dispositivo indicar que o dispositivo foi adulterado em algum momento, invalidaremos toda a sessão de transferência e trabalharemos com você para enviar um dispositivo de substituição.
Criptografia de dados
Os dados são criptografados durante o upload, durante o trânsito para os nossos data centers e depois de enviados para o Cloud Storage. Veja a seguir detalhes sobre como criptografamos os dados:
Durante o trânsito para o Cloud Storage: seus dados são criptografados no Transfer Appliance com
dm-encrypt
e criptografia no nível de partição, com o algoritmo de criptografia AES-256.Durante o upload para o Cloud Storage: seus dados são criptografados usando conexões TLS seguras. Transferimos os dados criptografados no seu dispositivo para o Cloud Storage. Para clientes que usam o VPC Service Controls, esse processo ocorre dentro do perímetro do VPC Service Controls.
No Cloud Storage: seus dados são criptografados no Cloud Storage por padrão. Para mais detalhes, consulte Opções de criptografia de dados.
Como criptografar dados em trânsito no seu dispositivo
Não aplicamos criptografia entre seu dispositivo de armazenamento ou de rede e seu dispositivo. Proteger a rede e o acesso físico ao dispositivo é sua responsabilidade. Não acessamos nem monitoramos o dispositivo enquanto ele está conectado à sua rede.
Como criptografar dados no seu dispositivo
Usamos duas chaves para criptografar dados no seu dispositivo:
- Uma chave de criptografia de chaves, que é aplicada à chave de criptografia de dados antes de você devolver o dispositivo.
- Uma chave de criptografia de dados, que é aplicada aos dados antes de serem gravados nos discos do dispositivo.
Chave de criptografia de chaves (KEK)
Você tem duas opções para a KEK:
É possível criar uma chave gerenciada pelo cliente, em que você mesmo gera e gerencia a chave.
É possível selecionar uma chave gerenciada pelo Google, em que geramos e gerenciamos a chave.
As chaves gerenciadas pelo Google são exclusivas por sessão e não são compartilhadas com outros serviços do Google Cloud. Quando uma sessão é concluída ou cancelada, ou se um dispositivo for perdido, a chave será destruída para garantir a segurança dos dados.
Veja a seguir as configurações usadas para criar chaves gerenciadas pelo Google:
- Região: /kms/docs/locations#global
- Nível de proteção: software
- Finalidade: descriptografia assimétrica
- Algoritmo: RSA de 4.096 bits - Padding OAEP - Resumo SHA256
A eliminação da KEK antes da conclusão da sessão resulta na perda completa de dados no dispositivo.
A KEK é gerada como uma chave assimétrica do Cloud Key Management Service (Cloud KMS) no Google Cloud. Além disso, fazemos o download da chave pública da KEK para o dispositivo antes de enviá-la para você.
Chave de criptografia de dados (DEK)
A DEK é gerada no dispositivo. A DEK é mantida na memória e é armazenada no módulo de plataforma confiável do dispositivo para manter a chave nas reinicializações. A DEK nunca é armazenada em um disco local não criptografado.
O dispositivo aplica a DEK gerada aos seus dados antes de gravar os dados no disco. Quando você finaliza os dados no dispositivo, a chave pública KEK é aplicada à DEK, e a DEK é removida do dispositivo.
Os dados nunca são armazenados sem criptografia no dispositivo.
Como restringir o acesso aos dados no seu dispositivo
Para restringir o acesso aos dados armazenados nos compartilhamentos NFS do seu dispositivo, aplique um filtro IP que permita que hosts específicos na sua rede acessem o dispositivo. Entre em contato com o administrador da rede para receber assistência.
Para mais informações sobre as portas de rede IP que o Transfer Appliance usa, consulte Como configurar portas de rede IP.
Como fazer upload de dados para o Cloud Storage
Quando recebemos seu dispositivo em um de nossos data centers protegidos, fazemos upload dos seus dados criptografados para seu perímetro do VPC Service Controls antes de aplicar a KEK para descriptografar a DEK e seus dados. A DEK nunca é mantida em nenhum momento durante o ciclo de vida da transferência. Em seguida, os dados são movidos com segurança para o Cloud Storage na nossa rede de data center particular, usando conexões TLS seguras. Seus dados são criptografados no Cloud Storage por padrão e só podem ser acessados por você.
Limpeza de mídia do dispositivo
Depois de fazer o upload dos seus dados, limpamos a mídia da unidade no dispositivo que você retornou aplicando os padrões NIST 800-88 para buscar informações. Especificamente, usamos a limpeza criptográfica para limpar todos os dados criptografados anteriormente armazenados nas unidades do dispositivo. Se uma unidade causa uma falha durante o uso que a torna inoperante e não pode ser apagada, destruímos fisicamente a mídia afetada. Para mais informações sobre nossos processos de limpeza de mídia, consulte Como garantir a sanitização de segurança e segurança de mídia.
Você pode solicitar um certificado de limpeza para provar que limpamos com segurança a mídia do dispositivo dentro de quatro semanas após os dados serem disponibilizados no Cloud Storage.
Recondicionamento do Transfer Appliance
Depois de destruirmos os dados no dispositivo retornado, preparamos para enviá-lo ao próximo cliente. Veja a seguir um resumo de como recondicionamos cada dispositivo após a sanitização da mídia:
Particionamos as unidades no dispositivo. A limpeza de mídia também destrói nossas partições de dados. Portanto, começamos outra vez.
Em seguida, reformatamos as unidades, preparando-as para armazenar dados e o software do dispositivo.
Em seguida, instalamos o software do dispositivo e aplicamos as atualizações necessárias.
Por fim, finalizamos os pacotes e preparamos para enviar o dispositivo ao próximo cliente.