安全和加密

本页面介绍 Transfer Appliance 如何保护和加密数据。

Google 基础架构数据安全

您退回设备后，我们会将其寄送到某个 Google 数据中心。 保护客户数据是我们的首要任务，也是我们负责的责任。如需详细了解我们的基础架构安全性，请参阅 Google 基础架构安全设计概览；如需详细了解我们的数据中心安全性做法，请参阅数据安全。

保护设备在传输过程中的安全

收到设备后，您需要运行 Transfer Appliance 认证应用。此应用会验证设备身份及其状态，以确保设备与我们寄给您时的状态相同。该应用会生成您与我们分享的认证密码。如果认证密码符合我们的预期，我们会提供设备的登录凭据。

在您用完设备并且我们收到您寄送的设备后，我们会再次验证设备，以确保其在运输过程中不会遭到篡改。验证设备后，我们会将您的数据上传到 Cloud Storage。

如果 Search Appliance 验证表明设备在任何时间点被篡改，我们将使整个传输会话失效，并与您一起努力，将替代设备运送给您。

数据加密

数据会在上传过程中、在传输到数据中心期间以及上传到 Cloud Storage 的过程中予以加密。以下详细说明了我们如何对您的数据进行加密：

• 在传输到 Cloud Storage 期间：您的数据在 Transfer Appliance 中采用 dm-encrypt 和分区级加密，并使用 AES-256 加密算法进行加密。

• 在上传到 Cloud Storage 期间：您的数据会使用安全 TLS 连接进行加密。我们将您设备上的加密数据传输到 Cloud Storage。对于使用 VPC Service Controls 的客户，此过程在您的 VPC Service Controls 边界内执行。

• 在 Cloud Storage 上：默认情况下，您的数据在 Cloud Storage 上加密。如需了解详情，请参阅数据加密选项。

对传输到设备上的数据进行加密

我们不会在存储设备或网络设备和您的设备之间实施加密。您要负责保护设备的网络和物理访问权限。我们不会访问或监控连接在您网络上的设备。

对设备上的数据进行加密

我们使用两个密钥对设备上的数据进行加密：

• 密钥加密密钥，在您将设备交还给我们之前应用于数据加密密钥。
• 数据加密密钥，在将数据写入设备磁盘之前应用于数据。

密钥加密密钥 (KEK)

您可以选择以下两种 KEK 方法：

• 您可以创建客户管理的密钥，从而自行生成和管理密钥。

• 您可以选择 Google 管理的密钥，我们将在其中生成和管理密钥。

  Google 管理的密钥在每个会话中是唯一的，并且不与其他 Google Cloud 服务共享。会话完成或取消，或设备丢失后，我们会销毁相应密钥以确保您的数据安全。

  以下是用于创建 Google 管理的密钥的设置：

  • 区域：全球
  • 保护级别：软件
  • 用途：非对称解密
  • 算法：4096 位 RSA - OAEP 填充 - SHA256 摘要

如果在会话完成之前销毁 KEK，则会导致设备上的数据完全丢失。

KEK 是在 Google Cloud 中作为 Cloud Key Management Service (Cloud KMS) 非对称密钥生成的，我们会先将 KEK 公钥下载到设备上，然后再将其寄送给您。

数据加密密钥 (DEK)

DEK 在设备上生成。DEK 保存在内存中，也存储在设备的可信平台模块中，以便在重新启动后保留密钥。DEK 绝不会存储在未加密的本地磁盘上。

将数据写入磁盘之前，设备会将生成的 DEK 应用于数据。在设备上最终完成数据后，KEK 公钥将应用于 DEK，然后从设备中移除 DEK。

数据永不会以未加密的方式存储在设备上。

限制对设备上的数据进行访问

如需限制对存储在设备 NFS 共享中的数据的访问权限，您可以应用 IP 过滤条件，以允许网络上的特定主机访问设备。请联系您的网络管理员获取帮助。

如需详细了解 Transfer Appliance 使用的 IP 网络端口，请参阅配置 IP 网络端口。

将数据上传到 Cloud Storage

当我们在其中一个安全数据中心收到您的设备时，会先将加密数据上传到您的 VPC Service Controls 边界，然后再应用 KEK 以进行 DEK 和数据解密。在传输生命周期中的任何时间点，DEK 都永不会保留。然后，我们会在私有数据中心网络中使用安全 TLS 连接，将您的数据安全地传输到 Cloud Storage。默认情况下，数据会在 Cloud Storage 中加密，并且只有您才能访问。

设备介质清理

上传数据后，我们会应用 NIST 800-88 信息清除标准，清理您退回的设备中的驱动器介质。具体来说，我们使用加密清除功能来清理先前存储在设备驱动器上的所有加密数据。如果驱动器在使用过程中发生故障，造成无法运行、无法清空，我们会以物理方式销毁受影响的物理介质。如需详细了解介质清理过程，请参阅确保安全和保障介质清理。

您可以索要擦除证书，此证书证明您在 Cloud Storage 中存放数据后的 4 周内已经由我们安全地清理设备介质。

Transfer Appliance 翻新

我们在您退回的设备上销毁数据后，会准备好将设备运送给下一位客户。以下汇总了我们在清理介质后对每个设备进行翻新的方法：

1. 我们对设备上的驱动器进行分区。介质清理也会破坏数据分区，因此我们每次都会重新开始。

2. 然后，我们会重新格式化驱动器，使其准备好存储数据和设备的软件。

3. 接下来，我们安装设备软件，并应用所有必要的更新。

4. 最后，我们会将设备打包，并准备好将设备运送给下一位客户。