Enkripsi saat dalam pengiriman untuk Google Cloud

Konten ini terakhir diperbarui pada April 2025, dan menampilkan kondisi pada saat pembaruan tersebut dibuat. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.

Di Google, kontrol keamanan kami membantu melindungi data Anda, baik saat berpindah melalui internet, berpindah di dalam infrastruktur Google, atau disimpan di server kami. Inti strategi keamanan Google adalah autentikasi, integritas, dan enkripsi, baik untuk data dalam penyimpanan maupun data dalam pengiriman. Laporan ini menjelaskan cara kami merancang Google Cloud untuk mengenkripsi data dalam pengiriman dari internet dan data dalam pengiriman dalam jaringan Google. Dokumen ini tidak berlaku untuk data dalam pengiriman melalui interkoneksi antara jaringan pusat data pelanggan dan jaringan pusat data Google.

Enkripsi dalam pengiriman menggunakan berbagai teknologi untuk membantu melindungi data, termasuk Transport Layer Security (TLS), BoringSSL, application layer transport security (ALTS), dan protokol keamanan PSP. Selain perlindungan default yang disediakan Google, Anda dapat melindungi data lebih lanjut dengan menambahkan opsi enkripsi seperti IPsec, sertifikat TLS terkelola, dan Cloud Service Mesh.

Dokumen ini ditujukan untuk CISO dan tim operasi keamanan yang menggunakan atau mempertimbangkan Google Cloud. Dokumen ini mengasumsikan pemahaman dasar tentang enkripsi dan primitif kriptografi.

Autentikasi, integritas, dan enkripsi

Google menerapkan langkah-langkah keamanan berikut untuk membantu memastikan keaslian, integritas, dan privasi data dalam pengiriman:

  • Authentication memverifikasi identitas peer (baik manusia atau proses) dalam koneksi.
  • Integritas mencegah data yang Anda kirim diubah saat dalam pengiriman antara sumber dan tujuan.
  • Enkripsi menggunakan kriptografi untuk membuat data Anda tidak dapat dibaca saat dalam pengiriman dan menjaga kerahasiaannya.

Enkripsi dalam pengiriman membantu melindungi data Anda jika komunikasi disadap saat data berpindah antara pengguna akhir dan Google Cloud atau antara dua layanan. Enkripsi dalam pengiriman mengautentikasi endpoint dan mengenkripsi data sebelum transmisi. Saat tiba, penerima mendekripsi data dan memverifikasi bahwa data tidak diubah selama pengiriman.

Enkripsi adalah satu komponen dari strategi keamanan yang lebih luas. Enkripsi selama pengiriman melindungi data Anda dari calon penyerang dan menghilangkan keharusan pelanggan Google, Google Cloud pelanggan, atau pengguna akhir untuk memercayai lapisan jaringan yang lebih rendah.

Cara perutean lalu lintas

Bagian ini menjelaskan cara permintaan dikirim dari pengguna akhir ke layananGoogle Cloud atau aplikasi pelanggan yang sesuai, dan cara traffic dirutekan antarlayanan.

Google Cloud Layanan adalah layanan cloud modular yang kami tawarkan kepada pelanggan. Layanan ini mencakup komputasi, penyimpanan data, analisis data, dan machine learning. Misalnya, Cloud Storage adalah Google Cloud layanan.

Aplikasi pelanggan adalah aplikasi yang dihosting di Google Cloud dan Anda, sebagai pelanggan Google, dapat membangun dan men-deploy-nya menggunakan layanan Google Cloud. Aplikasi pelanggan atau solusi partner yang dihosting di Google Cloud tidak dianggap sebagai Google Cloud layanan. Misalnya, aplikasi yang Anda bangun menggunakan Cloud Run, Google Kubernetes Engine, atau VM di Compute Engine merupakan aplikasi pelanggan.

Diagram berikut menunjukkan jalur traffic dari pengguna akhir ke Google, jalur dalam jaringan Google, dan keamanan untuk setiap koneksi. Jalur traffic berikut ditampilkan:

  • Pengguna akhir di internet ke layanan Google Cloud (berlabel A di diagram)
  • Pengguna akhir di internet ke aplikasi pelanggan yang dihosting di Google Cloud (berlabel B dalam diagram)
  • Virtual machine ke virtual machine (berlabel C dalam diagram)
  • Virtual machine ke Google Front End (GFE) (berlabel D dalam diagram)
  • GFE ke Google API dan layanan (berlabel E dalam diagram)
  • Google Cloud layanan ke Google Cloud layanan (berlabel F di diagram)

Jalur traffic untuk Google.

Enkripsi dalam pengiriman antara pengguna akhir dan Google

Bagian berikut memberikan detail selengkapnya tentang permintaan pemilihan rute pengguna akhir yang ditampilkan dalam diagram sebelumnya.

Pengguna akhir ke Google Cloud layanan

Google Cloud Layanan seperti Cloud Storage atau Compute Engine adalah layanan cloud yang kami tawarkan kepada pelanggan dan dijalankan di lingkungan produksi kami.Google Cloud layanan menerima permintaan dari seluruh dunia menggunakan sistem yang terdistribusi secara global yang disebut Google Front End (GFE). GFE menghentikan traffic untuk koneksi HTTP(S), TCP, dan TLS yang masuk; menyediakan tindakan penanggulangan serangan DDoS; dan merutekan serta menyeimbangkan traffic ke layananGoogle Cloud itu sendiri. Titik kehadiran GFE ada di seluruh dunia dengan jalur yang diiklankan menggunakan unicast atau Anycast.

GFE mengarahkan traffic dari pengguna akhir melalui jaringan Google ke layananGoogle Cloud , dan dari pengguna akhir ke aplikasi pelanggan yang dihosting Google Cloud dan menggunakan Cloud Load Balancing.

Permintaan yang dikirim klien ke layanan Google Cloud melalui HTTPS, HTTP/2, atau HTTP/3 diamankan dengan TLS. TLS di GFE diterapkan dengan BoringSSL, yaitu implementasi protokol TLS yang dikelola Google. BoringCrypto, inti dari BoringSSL, divalidasi ke FIPS 140-3 level 1.

GFE menegosiasikan parameter kriptografis standar industri dengan klien, termasuk negosiasi kunci yang aman dan canggih. Untuk klien yang lebih lama dan kurang mampu, GFE memilih primitif kriptografis lama terkuat yang ditawarkan klien.

Pengguna akhir ke aplikasi pelanggan yang dihosting di Google Cloud

Anda dapat merutekan traffic pengguna akhir dari internet ke aplikasi pelanggan yang dihosting di Google Cloud menggunakan koneksi langsung atau melalui load balancer. Saat traffic dirutekan secara langsung, traffic akan dirutekan ke alamat IP eksternal server VM yang menghosting aplikasi.

Anda dapat menggunakan TLS dengan Load Balancer Aplikasi eksternal atau Load Balancer Jaringan proxy eksternal untuk terhubung ke aplikasi Anda yang berjalan di Google Cloud. Saat Anda menggunakan load balancer Lapisan 7, koneksi antara pengguna akhir dan load balancer dienkripsi menggunakan TLS secara default (asalkan aplikasi klien pengguna akhir mendukung TLS). GFE menghentikan koneksi TLS dari pengguna akhir Anda menggunakan sertifikat TLS yang dikelola sendiri atau dikelola Google. Untuk mengetahui informasi selengkapnya tentang cara menyesuaikan sertifikat, lihat Ringkasan sertifikat SSL. Untuk mengaktifkan enkripsi antara load balancer dan VM yang menghosting aplikasi pelanggan, lihat Enkripsi dari load balancer ke backend.

Untuk mengonfigurasi TLS bersama (mTLS), lihat Ringkasan TLS Mutual. Untuk workload di GKE dan Compute Engine, pertimbangkan Cloud Service Mesh agar Anda dapat menggunakan mTLS untuk autentikasi bersama (klien dan server) serta mengenkripsi komunikasi dalam pengiriman menggunakan sertifikat yang Anda kelola.

Untuk Firebase Hosting dan domain kustom Cloud Run, pertimbangkan sertifikat TLS gratis dan otomatis kami. Dengan domain kustom Cloud Run, Anda juga dapat memberikan sertifikat SSL Anda sendiri dan menggunakan header HTTP strict transport security (Interaksi ) HTTP.

Enkripsi saat transit dalam jaringan Google

Google Cloud mengenkripsi data pelanggan saat transit di dalam jaringan Google, kecuali jika dijelaskan lain dalam bagian ini.

Interkoneksi khusus berperforma ultra-tinggi yang menghubungkan TPU atau GPU dalam superkomputer AI Google terpisah dari jaringan yang dijelaskan dalam dokumen ini. Di Google Cloud, interkoneksi berperforma tinggi ini adalah ICI untuk TPU dan NVLink untuk GPU. Untuk informasi selengkapnya, lihat arsitektur TPU dan jenis mesin GPU.

Traffic melalui koneksi ke VM yang menggunakan alamat IP eksternal akan keluar dari jaringan Google. Anda bertanggung jawab untuk mengonfigurasi enkripsi Anda sendiri untuk koneksi tersebut.

Google Cloud enkripsi dan autentikasi jaringan virtual

Jaringan virtualGoogle Cloudmengenkripsi, melindungi integritas, dan mengautentikasi traffic antarVM.

Enkripsi traffic IP pribadi dalam VPC yang sama atau di seluruh jaringan VPC yang di-peering dalam jaringan virtual Google Clouddilakukan pada lapisan jaringan.

Setiap pasangan host yang berkomunikasi akan membuat kunci sesi menggunakan saluran kontrol yang dilindungi oleh ALTS untuk komunikasi yang diautentikasi, dilindungi integritas, dan dienkripsi. Kunci sesi digunakan untuk mengenkripsi komunikasi VM-ke-VM antara host tersebut, dan kunci sesi dirotasi secara berkala.

Koneksi VM-ke-VM dalam jaringan VPC dan jaringan VPC yang di-peering di dalam jaringan produksi Google dilindungi dan dienkripsi. Koneksi ini mencakup koneksi antara VM pelanggan dan antara VM pelanggan dan VM yang dikelola Google seperti Cloud SQL. Diagram di Cara traffic dirutekan menunjukkan interaksi ini (koneksi berlabel C). Perlu diperhatikan bahwa karena Google mengaktifkan enkripsi otomatis berdasarkan penggunaan alamat IP internal, koneksi antara VM yang menggunakan alamat IP eksternal tidak dienkripsi secara otomatis.

Jaringan virtualGoogle Cloudmengautentikasi semua traffic di antara VM. Autentikasi ini, yang dilakukan menggunakan token keamanan, mencegah host yang disusupi melakukan spoofing paket di jaringan.

Token keamanan dienkapsulasi dalam header tunnel yang berisi informasi autentikasi tentang pengirim dan penerima. Bidang kontrol pada host pengirim menetapkan token, dan host penerima memvalidasi token tersebut. Token keamanan sudah dibuat sebelumnya untuk setiap alur, dan terdiri dari token (berisi informasi pengirim) dan rahasia host.

Konektivitas ke Google API dan layanan Google

Penanganan traffic berbeda-beda bergantung pada lokasi Google Cloud layanan dihosting.

Sebagian besar Google API dan layanan Google dihosting di GFE. Traffic VM ke GFE menggunakan alamat IP eksternal untuk menjangkau layanan Google Cloud , tetapi Anda dapat mengonfigurasi akses pribadi untuk menghindari penggunaan alamat IP eksternal. Koneksi dari GFE ke layanan diautentikasi dan dienkripsi.

Beberapa layanan, seperti Cloud SQL, dihosting di instance VM yang dikelola Google. Jika VM pelanggan mengakses layanan yang dihosting di instance VM yang dikelola Google menggunakan alamat IP eksternal, traffic akan tetap berada di jaringan produksi Google, tetapi tidak otomatis dienkripsi karena penggunaan alamat IP eksternal. Untuk informasi selengkapnya, lihat Google Cloud enkripsi dan autentikasi jaringan virtual.

Saat pengguna mengirim permintaan ke layanan Google Cloud , kami mengamankan data dalam pengiriman (memberikan autentikasi, integritas, dan enkripsi) menggunakan HTTPS dengan sertifikat dari certificate authority web (publik). Setiap data yang dikirim pengguna ke GFE dienkripsi saat dalam pengiriman dengan TLS atau QUIC. GFE menegosiasikan protokol enkripsi tertentu dengan klien, bergantung pada apa yang dapat didukung oleh klien. GFE menegosiasikan protokol enkripsi yang lebih modern jika memungkinkan.

Enkripsi, integritas, dan autentikasi layanan-ke-layanan

Infrastruktur Google menggunakan ALTS untuk autentikasi, integritas, dan enkripsi koneksi dari GFE ke suatu Google Cloud layanan, dan dari satu Google Cloud layanan ke layanan Google Cloud lainnya.

ALTS menggunakan identitas berbasis layanan untuk autentikasi. Layanan yang berjalan di lingkungan produksi Google merupakan kredensial yang menyatakan identitas berbasis layanannya. Saat membuat atau menerima RPC dari layanan lain, layanan menggunakan kredensialnya untuk melakukan autentikasi. ALTS memverifikasi bahwa kredensial ini diterbitkan oleh CA internal Google. CA internal Google tidak terkait dan tidak bergantung pada Certificate Authority Service.

ALTS menggunakan enkripsi dan perlindungan integritas kriptografis untuk traffic yang membawa Google Cloud data dari GFE ke layanan dan di antara layanan yang berjalan di lingkungan produksi Google.

ALTS juga digunakan untuk mengenkapsulasi protokol Lapisan 7 lainnya, seperti HTTP, dalam mekanisme RPC untuk traffic antara GFE dan layanan Google Cloud. Perlindungan ini membantu mengisolasi lapisan aplikasi dan menghapus semua dependensi pada keamanan jalur jaringan.

Enkripsi dalam metode transit

Bagian berikut menjelaskan beberapa teknologi yang digunakan Google untuk mengenkripsi data dalam pengiriman.

Enkripsi jaringan menggunakan PSP

PSP adalah protokol transport independen yang memungkinkan keamanan per koneksi dan mendukung pemindahan enkripsi ke hardware smart network-interface card (SmartNIC). Setiap kali SmartNIC tersedia, ALTS menggunakan PSP untuk mengenkripsi data dalam pengiriman di seluruh jaringan kami.

PSP dirancang untuk memenuhi persyaratan traffic pusat data berskala besar. Infrastruktur Google menggunakan PSP untuk mengenkripsi traffic di dalam dan di antara pusat data kami. PSP juga mendukung protokol non-TCP seperti UDP dan menggunakan kunci enkripsi unik untuk setiap koneksi.

Application layer transport security

ALTS adalah sistem autentikasi dan enkripsi bersama yang dikembangkan oleh Google. ALTS menyediakan autentikasi, kerahasiaan, dan integritas untuk data dalam pengiriman antarlayanan yang berjalan di lingkungan produksi Google. ALTS terdiri dari protokol berikut:

  • Protokol Handshake: Klien memulai gabungan kurva eliptis dan pertukaran kunci yang aman kuantum. Pada akhir handshake, layanan yang terlibat mengautentikasi identitas satu sama lain dengan bertukar dan memverifikasi sertifikat yang ditandatangani dan mengomputasi kunci traffic bersama. Di antara algoritma yang didukung untuk mendapatkan kunci traffic bersama adalah algoritma pasca-kuantum NIST ML-KEM (FIPS 203). Untuk mengetahui informasi selengkapnya, lihat Kriptografi pasca-kuantum.

  • Record Protocol: Data layanan ke layanan dienkripsi saat dalam pengiriman menggunakan kunci traffic bersama. Secara default, ALTS menggunakan enkripsi AES-128-GCM untuk semua traffic. Data dalam pengiriman di dalam sistem penyimpanan tingkat terendah Google menggunakan enkripsi AES-256, dan ALTS menyediakan autentikasi pesan AES. Enkripsi dalam ALTS disediakan oleh BoringSSL atau PSP. Enkripsi ini divalidasi pada FIPS 140-2 level 1 atau FIPS 140-3 level 1.

Kunci penandatanganan root untuk sertifikat ALTS disimpan di CA internal Google.

Langkah berikutnya