本页面概述了在 Google Distributed Cloud (GDC) 网闸隔离配置中维护安全性的核心概念、层和运营角色。GDC 专为高度安全、断开连接的环境而设计,并符合严格的数据主权要求。
本页面适用于基础设施运维人员组中的 IT 管理员或应用运维人员组中的安全工程师等受众群体,他们希望管理组织的安全。如需了解详情,请参阅 GDC 气隙环境文档的受众群体。
本页可帮助您了解以下类别的关键安全属性:
安全策略
GDC 采用安全优先的方法,通过多层安全措施来提供最大程度的控制、遵守法定法规并保护机密数据。它旨在本地数据中心内的专用安全硬件上运行,以提供严格的租户隔离。
GDC 提供的安全层包括硬件安全、主机和节点安全、应用安全、网络安全、加密、Identity and Access Management (IAM)、安全性和可靠性运营、合规性和安全产品。
GDC 采用共享安全模式,可保护整个应用栈。GDC 提供基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。在所有 GDC 配置中,Google 和运营商都负责保护基础架构的各个层。客户负责保护项目设置和应用层,包括应用容器、基础映像和依赖项。
从安全角度来看,以下受众群体负责 GDC 的运维:
基础架构运维者群组:管理系统基础设施的日常运维,无权访问客户数据。此角色是最高级别的系统管理员,可以是 Google、签约的第三方或客户本身,取决于主权限制的性质。
平台管理员群组:管理项目资源和权限的客户方角色。这是授予客户的最高级别管理权限,也是唯一一个可以授予客户数据访问权限的管理级别。
应用运维人员组:开发要部署和执行的应用,并在 GDC 上配置精细的资源和权限。 此角色在平台管理员 (PA) 制定的政策范围内工作,确保其系统符合客户的安全及合规性要求。
如需了解详情,请参阅文档受众群体。
设施安全
您可以在客户指定的、与外界隔绝的数据中心部署 GDC。具体位置的实体安全措施会因客户的个人要求而异。为了遵守当地法规,数据中心可能需要获得认证,例如 ISO 27001。数据中心必须采取多项安全措施,例如:安全外围防御系统,以防止未经授权访问数据中心;全面的摄像头覆盖,以监控数据中心内的所有活动;物理身份验证,以确保只有授权人员才能访问数据中心;安保人员,以全天候巡逻数据中心并应对任何安全事件;严格的访问和安全政策,以规范人员访问和使用数据中心的方式。这些安全措施是重要的初始保护层,可保护数据中心内存储的数据免遭未经授权的访问、使用、披露、扰乱、修改或销毁。
硬件安全
Google 采用严格的流程来确保硬件的安全性。所有 GDC 硬件均从经过审核和认证的合作伙伴处购买和组装,以满足客户特定的主权和供应链要求。该硬件经过测试和批准,符合 Google 严格的内部标准,并能满足大多数注重安全性的客户的需求。GDC 硬件中的所有子组件均来自经过审查且已知可靠的可信供应商。硬件集成到 GDC 机架中是在区域认证中心完成的,这些中心是 Google 批准的可以处理敏感硬件的设施。所有处理 GDC 硬件的人员都经过背景调查,这可确保只有获得授权的人员才能访问硬件。此外,专门的团队会对部分高风险硬件和固件组件的实际实现进行安全审核。这些审核会考虑以下威胁:供应链攻击、物理攻击,以及对硬件和固件组件(包括持久性威胁)的本地执行攻击。这些审核可帮助我们积累知识,直接为我们的硬件安全要求提供信息,包括安全固件和固件更新、固件完整性、安全启动、安全管理和维护。Google 与使用该硬件的所有供应商和团队保持密切关系,以确保提供顶级安全功能。这意味着 Google 会不断与合作伙伴合作,确保硬件尽可能安全。Google 通过以下方式不断提高标准:改进硬件和安全要求、执行互动式安全审核,以及与产品团队合作实现专为 GDC 打造的新安全功能,这些功能不仅与实际硬件和固件深度集成,还与其他产品功能深度集成。
主机和节点安全性
GDC 可确保默认情况下只有我们自定义封装的安全 Node 操作系统 (OS) 才能加载到系统上。安全强化型映像和配置可大幅减少攻击面。用于保护静态数据和传输中数据的加密模块已通过 FIPS 140-2/3 验证,这意味着这些模块已通过独立认可的实验室的严格安全测试和审查。GDC 为在裸金属节点上运行的操作系统提供反恶意软件,并提供扫描存储系统的解决方案。Google 会针对这些扫描器更新软件包,这些更新包含在 IO 使用 GDC 升级流程应用的常规系统更新中。检测提醒会发送到 IO。GDC 还提供完整性监控和违规检测工具,以保护系统免受意外更改。总而言之,这些安全措施有助于保护系统免受各种攻击。这些安全措施使攻击者难以访问系统、利用漏洞和安装恶意软件。
租用
GDC 是一种多租户托管式云平台,类似于Google Cloud 平台。该架构旨在实现租户之间的强大隔离,在云用户之间提供强大的保护层,并允许用户满足严格的工作负载认证标准。GDC 提供两个层级的租户隔离。第一个层级称为“组织”,可提供强大的物理计算隔离;第二个层级称为“项目”,可通过逻辑分离提供更精细的资源分配选项。
组织之间不共享任何物理计算服务器,并且运营商层也维护租户。IO 不允许访问 PA 层。同样,AO 也无法访问 PA 层。
应用安全
为了防范软件供应链攻击,所有 GDC 软件均根据“软件制品的供应链等级”(SLSA) 进行开发。SLSA 是 Google 与 CNCF 和 Linux 基金会等组织合作开发的供应链安全框架。
SLSA 是一份标准和控制措施清单,旨在防止篡改、提高完整性并保护软件供应链中的软件包。此清单旨在防止攻击源代码库、构建系统和第三方依赖项软件包的漏洞利用。
所有 GDC 源代码和依赖项都存储在 Google 版本控制系统中,该系统在安全的 Google 数据中心内处于隔离状态并经过加密。所有代码都经过验证,并且需要第二个人员在代码更改被接受到版本控制系统之前审核这些更改。
build 是使用 Google 发布编排系统交付的,该系统利用Google Cloud Build 和 Google 自动化测试工具来完全自动化地构建、测试和发布容器映像和二进制文件。所有 build 都是隔离的、密封的,并且使用“将 build 作为代码”的原则进行定义,在软件交付过程中,没有任何个人拥有单方面访问权限。
所有映像都会使用多个应用安全扫描程序扫描漏洞,并在多个点使用加密签名和 SHA256 校验和的组合进行验证。每个版本都包含软件物料清单 (SBOM),其中包含有关软件组件、依赖项和库以及交付的数据的详细信息。
网络安全
本部分简要介绍了 GDC 网络安全。
物理网络
虽然 GDC 旨在用于断开连接的环境,但在实际应用中,GDC 系统很可能会连接到客户内部专用网络中连接的更广泛的受保护环境,同时仍与公共互联网断开连接。
客户专用网络与 GDC 系统之间的所有网络流量都会经过防火墙和入侵检测与防御 (IDS/IPS) 系统。防火墙提供第一道防线,用于控制对系统的访问。防火墙和 IDS/IPS 根据可配置的安全政策控制入站和出站流量,并使用机器学习自动分析流量和阻止未经授权的访问。 默认情况下,IDS/IPS 系统会检查基础设施的所有入站和出站通信。PA 还可以使用 IDS/IPS 系统来检查自己的工作负载流量。防火墙和 IDS/IPS 还与组织的观测堆栈(用于客户工作负载)和 IO 的 SIEM 堆栈(用于基础架构)集成,以实现额外的安全分析和取证。
防火墙会强制执行默认拒绝规则,作为初始安全态势,以防止意外访问和数据泄露。IO 和 PA 具有根据需要定义更多访问规则的方法。在 GDC 中,有两个物理上分离的网络,用于将管理和控制功能与客户工作负载数据隔离开来。
带外管理 (OOB) 网络仅用于管理功能,例如网络设备、存储设备和其他硬件组件的配置更改。只有 IO 有权访问 OOB 网络,并且只有在特殊情况下才能获得此访问权限。网络 ACL 的配置方式是,只有根管理员集群中受 IO 控制的服务器才能访问此网络。数据平面网络将工作负载服务器连接在一起,并且可供 PA 和 AO 访问。
软件定义网络
数据平面网络是基于虚拟路由和转发 (VRF) 的叠加网络,用于隔离租户流量。每个租户组织都有一个外部和内部 VRF 网络。面向外部的服务(例如外部负载均衡器和出站 NAT)将位于外部网域中。客户工作负载位于内部 VRF 中。
内部网络用于租户内的通信,例如节点之间以及与组织内部的文件和块存储之间的工作负载流量。外部网络用于在组织外部进行通信。租户管理流量(用于访问权限控制功能)或客户流量(用于访问项目)需要通过外部网络。每个客户工作负载都有负载平衡器和 NAT 网关,需要配置这些资源以处理入站和出站流量。
虚拟网络
GDC 虚拟网络是基于叠加网络构建的组织级网络层。它由 GDC 管理的容器网络接口 (CNI) 驱动程序(即 Anthos 网络数据平面)提供支持。
GDC 中的虚拟网络层可在组织内提供软隔离,称为“项目”。此层提供以下网络安全功能:
- 项目网络政策:用于保护项目边界。
- 组织网络政策:用于保护组织边界。
项目网络和组织网络政策采用默认拒绝配置作为起点,以防范意外访问和数据泄露。
拒绝服务攻击防护
所有进入 GDC 的流量都会经过 IDS/IPS 和一组负载平衡器。IDS/IPS 会检测并丢弃未经授权的流量,并保护资源免受会话泛洪攻击。负载平衡器可以适当限制流量,以避免服务中断。由于所有外部连接都通过客户的专用网络处理,因此客户可以为分布式攻击提供额外的拒绝服务保护层。
加密
本部分简要介绍了 GDC 加密。
PKI
GDC 提供公钥基础架构 (PKI),用于对基础设施服务进行集中式 X.509 CA 管理。默认情况下,GDC 具有每个安装的私有根 CA,以及从这些 CA 分发的中间 CA 和叶 CA。此外,GDC 还支持在面向客户的端点上安装客户颁发的证书,从而提高证书使用的灵活性。 GDC 可集中协调信任库的分发,从而使工作负载和系统服务能够更轻松地对应用流量进行身份验证和加密。总而言之,GDC 提供强大的 PKI 解决方案,可保护各种基础架构服务,实现便捷但严格受控的信任管理。
密钥管理服务
GDC 提供由硬件安全模块 (HSM) 支持的密钥管理服务 (KMS)。KMS 是一项第一方服务。密钥材料始终保留在 KMS 中,而 KMS 又由 HSM 提供支持。自定义资源定义 (CRD) 用于保存加密的密钥材料。只有 KMS 可以访问内存中的原始密钥材料。每个组织都有一个 KMS。默认情况下,所有静态数据均使用 HSM 支持的密钥进行加密。客户还可以选择自行管理加密密钥。KMS 支持 FIPS 批准的算法和 FIPS 验证的模块。KMS 支持以安全方式导入和导出密钥,以用于密钥托管、删除或灾难恢复用例。这些功能使 KMS 成为一种安全可靠的加密密钥管理方式。
GDC 还提供客户管理的加密密钥 (CMEK)。借助 CMEK,客户可以控制用于保护 GDC 中静态数据的密钥。采用 CMEK 的主要动机之一是加密擦除,这是一种高保证的数据销毁方法,用于补救数据泄露和用户离职。密钥可以独立于其保护的数据进行删除。您组织中的所有数据都受到一组 CMEK 的保护,平台运维人员可以根据需要监控、审核和删除这些 CMEK。CMEK 密钥是您可以使用 HSM API 管理的加密密钥。CMEK 可用于加密块存储、虚拟机磁盘、数据库服务和用户容器工作负载的数据。
加密
本部分简要介绍了 GDC 加密。
静态数据
存储在文件、块和对象存储中的所有 GDC 数据均采用多级加密技术进行静态加密。在多租户环境中,每个租户的数据在写入文件、块存储和对象存储之前,都会使用特定于租户的密钥进行加密:
- 块存储(应用卷、虚拟机磁盘、数据库存储)在三个级别进行加密:
- 软件层:在租户专用计算硬件中执行 Linux Unified Key Setup (LUKS) 加密,每个卷都有由客户管理的 HSM 支持的密钥。
- 设备层:在存储设备内执行的卷聚合级加密 (NVE/NAE),使用由客户管理的、基于 HSM 的租户级密钥。
- 磁盘层:具有由 IO 管理的每个磁盘的 HSM 支持的密钥的自加密驱动器 (SED)。
- 对象存储在两个层级进行加密
- 存储桶层:在租户专用计算硬件中协调对象数据加密,使用由客户管理的、基于 HSM 的存储桶级密钥。
- 磁盘层:具有由 IO 管理的每个驱动器、受 HSM 支持的密钥的 SED。
- 服务器磁盘存储空间(单租户的系统配置数据)在一层加密:
- 磁盘层:SED,具有由客户管理的、由 HSM 支持的单驱动器密钥。
传输中的数据
所有 GDC 流量默认使用经过 FIPS 140-2 认证的加密模块和业界标准协议(例如 TLS 1.2+、HTTPS 和 IPSec 隧道)进行加密。根据责任共担模型,客户还应在应用层使用加密算法,以确保部署在 GDC 之上的所有应用都满足加密要求。
Identity and Access Management (IAM)
对系统的访问权限基于最小权限原则。用户只能访问他们需要的资源。此流程可保护系统免遭未经授权的访问和滥用。此外,系统还会强制执行职责分离,例如禁止单方面访问。没有人对任何一个系统或流程拥有完全控制权。此流程有助于防范欺诈和错误。GDC 可以与客户现有的身份提供方集成。该系统支持 SAML 2.0 和 OIDC,可实现 IDP 联合。 借助此支持,用户可以使用其现有的身份提供商对系统中的用户进行身份验证,从而在一个位置管理用户。所有用户和工作负载在访问系统之前都经过身份验证。RBAC 和 ABAC 用于为所有控制平面和数据访问授权。只有在用户通过身份验证并获得授权后,才能访问资源和执行操作。 所有访问都会记录在审核日志中,以便管理员跟踪谁在何时访问了资源。此流程有助于识别未经授权的访问和滥用行为。
安全运维
GDC Security Operations (SecOps) 可为具有严格安全、合规性和主权要求的实体提供信息保证,以最大限度地提高受监管客户经过网闸隔离的工作负载的运营机密性、完整性和可用性。此安全架构旨在实现以下目标:
- 关联 GDC 平台日志记录,以进行安全分析和响应。
- 及时发现、报告和跟踪安全漏洞。
- 通过端点检测和响应 (EDR) 保护所有 OIC 和 GDC 资产。
- 提供工具、流程和 runbook,使 SecOps 运营中心能够持续监控,以便识别、遏制、根除和恢复网络安全突发事件。
| 功能 | 说明 |
|---|---|
| 安全信息和事件管理 | Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台,可从各种来源收集、编入索引和分析安全数据,帮助组织检测和应对威胁。 |
| 漏洞管理 | Tenable Security Center 是一款漏洞管理平台,可帮助组织识别和修复安全漏洞。 |
| 端点检测和响应 | Trellix HX、Windows Defender 和 ClamAV。统一的安全平台,可为组织提供全面的安全状况视图,以便更有效地检测和应对威胁。 |
| 安全支持请求管理 | 一种软件解决方案,可让组织管理安全事件生命周期。 |
GDC SecOps 使 IO 能够提供安全运营功能。GDC SecOps 团队提供以人为本的流程,包括突发事件响应、漏洞管理、安全工程和供应链风险管理。借助 GDC SecOps,安全运维中心 (SOC) 可以实现以下目标:
| 能力 | 说明 |
|---|---|
| 检测 | 我们的安全基础架构会不断监控潜在的威胁和漏洞。检测到威胁或漏洞时,安全运营团队会立即收到报告。 |
| 分类 | 安全运维团队会对每起突发事件进行分诊,以确定威胁的严重程度和适当的响应措施。 |
| 包含关系 | 安全运营团队会采取措施来遏制威胁并防止其蔓延。 |
| 调查 | 安全运营团队会调查突发事件,以确定根本原因并找出安全状况中的任何薄弱环节。 |
| 响应 | 安全运维团队采取措施来应对突发事件,并尽可能减少造成的损害。 |
| 恢复 | 安全运营团队会采取措施从突发事件中恢复,并将我们的系统和网络恢复到正常状态。 |
漏洞管理
GDC 在每次发布之前都会在预生产环境中运行多个漏洞识别流程,以便及时发现任何潜在的常见漏洞和暴露 (CVE)。GDC 还会在生产环境中提供漏洞扫描,以用于日常监控和报告。生产环境中的所有发现结果都已集成到安全运营流程中,以跟踪和缓解威胁搜寻目的。
安全事件响应
当部署到 GDC 的代码中发现漏洞或系统内发生突发事件时,IO 和 GDC 安全团队会执行一套突发事件响应流程,以缓解问题、创建和应用安全补丁,并与受影响方沟通。此突发事件管理流程与 Google 的标准突发事件管理流程类似,但针对 GDC 的断网特性进行了修改。
对于每个 CVE 或发现的突发事件,系统都会指派一名突发事件指挥官 (IC) 来运行响应流程。IC 负责管理整个流程,包括验证和确认突发事件、为漏洞分配通用漏洞评分系统 (CVSS) 分数、管理创建补丁并准备交付的流程,以及创建适当的沟通内容。
可靠性运维
本部分概述了 GDC 可靠性运营。
记录和监控
GDC 随附一个可观测性平台,可为 GDC 平台、服务和工作负载提供监控、日志记录、跟踪和报告功能。
日志记录子系统可将所有核心 GDC 平台和服务以及客户工作负载的日志提取并汇总到时序数据库中,并通过交互式用户界面 (UI) 和 API 提供这些数据。
关键审核日志事件包括以下方面:
- 用户身份验证和授权请求。
- 生成和撤消身份验证令牌。
- 所有管理权限和更改。
- 所有控制平面 API 操作。
- 所有安全事件,包括 IDS、IPS、防火墙、杀毒软件。
紧急访问权限
相应 IO 缺少对客户数据的访问权限。不过,在紧急情况下,IO 可能需要访问客户数据。在这种情况下,GDC 具有一套紧急访问程序,PA 可使用这些程序明确授予对 IO 的访问权限以进行问题排查。
所有紧急情况凭据都存储在保险箱中(离线存储),或者使用以 HSM 为根的密钥进行加密。对这些凭据的访问是一项可审核的事件,可以触发提醒。
例如,在 IAM 配置损坏并阻止用户访问的情况下,IO 会通过安全工作站使用基于 SSH 证书的身份验证,并需要多方批准才能建立访问权限。系统会跟踪并记录所有操作,以便进行审核。在紧急访问事件发生后,SSH 密钥会发生变化。
灾难恢复
GDC 随附一个备份系统,可让 PA 为集群、命名空间或虚拟机创建和管理备份政策。备份系统包含用于安排、运行备份、恢复数据和生成报告的典型系统。
升级和更新系统
由于 GDC 是一个气隙环境,因此基础架构运营商会处理客户系统的所有更新。Google 会在安全位置对二进制更新进行签名并发布,以便 IO 下载。IO 会验证二进制文件,并将二进制文件移至 GDC 以进行分发和部署。
此系统包括所有软件和固件更新,包括 GDC 软件、节点级操作系统、防病毒和恶意软件定义及签名、存储和网络设备、设备更新以及任何其他二进制更新。
变更管理 - 基础设施即代码
GDC 使用基础架构即代码 (IAC) 来自动预配和部署 GDC 配置。IAC 可在基础架构运维团队之间分离职责。例如,提出配置更改建议与授权更改,以使整个流程更加安全。借助 GDC IAC,所有配置更改都会通过多方审核和审批流程进行验证,以确保仅部署授权的配置。这些审核可创建透明且可审核的流程,提高变更的一致性,并减少配置漂移。
合规流程
GDC 可随时满足 NIST 800-53、SOC 2 等常见监管要求,并有助于获得 FIPS 140-2 和 3 等认证。 GDC 还通过了各种认证流程,并符合 Google 级别的安全标准。合规性是一个持续不断的过程。 为了让客户和运营商顺利完成此流程,GDC 提供持续监控和测试。作为持续监控流程的安全实践的一部分,GDC 会跟踪库存变化,例如未知软件和硬件,或添加新软件或硬件。GDC 通过模拟恶意行为者的攻击来定期执行渗透测试。GDC 会定期扫描系统以查找恶意软件,并向 GDC 提醒任何感染情况。灾难恢复测试流程用于测试 GDC 从灾难情况中恢复的能力。这些流程可确保 GDC 数据和系统安全无虞。