Questa pagina è stata tradotta dall'API Cloud Translation.

Introduzione a CMEK

Questa pagina descrive l'utilizzo di CMEK con Apigee.

Panoramica

Per impostazione predefinita, Google Cloud cripta automaticamente i dati inattivi utilizzando chiavi di crittografia di proprietà e gestite da Google. Se hai requisiti normativi o di conformità specifici relativi per proteggere i dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Puoi scoprire di più sull'utilizzo di CMEK per Apigee in Utilizzare CMEK con Apigee. Per ulteriori informazioni su CMEK in generale, incluso quando e perché attivarlo, consulta la documentazione di Cloud Key Management Service.

L'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) non offre necessariamente una maggiore sicurezza rispetto ai meccanismi di crittografia predefiniti di Google; tuttavia, ti consente di controllare più aspetti del ciclo di vita e della gestione delle chiavi per soddisfare i requisiti di sicurezza e conformità.

Vantaggi di CMEK

Se hai bisogno di un controllo maggiore sulle operazioni con le chiavi rispetto a Le chiavi di proprietà di Google e gestite da Google consentono, puoi utilizzare e chiavi di crittografia gestite dal cliente. Queste chiavi vengono create e gestite utilizzando Cloud Key Management Service (Cloud KMS) e le memorizzi come chiavi software, in un cluster HSM o esternamente.

Le funzionalità di gestione delle chiavi sono fornite dal servizio Cloud KMS. I casi d'uso comuni includono:

Rotazione la chiave. Ruota la chiave automaticamente o manualmente. Tieni presente che quando la chiave viene ruotata, i dati precedentemente archiviati in Apigee non vengono criptati di nuovo automaticamente con la nuova versione della chiave, ma continueranno a essere accessibili finché la versione precedente della chiave utilizzata per criptare i dati non viene disattivata o eliminata.
Attivazione in corso... o la disattivazione della versione di una chiave. Quando una versione della chiave è disabilitata, I dati Apigee criptati con quella versione della chiave non saranno accessibili. A ripristinare l'accesso ai dati, la chiave può essere riattivata.
Distruzioni di una versione della chiave. Quando una versione della chiave viene eliminata, qualsiasi I dati Apigee criptati con quella versione della chiave diventeranno illeggibili e non recuperabile. Questa operazione è definitiva e irreversibile.
Revoca dell'accesso dell'agente di servizio Apigee alla chiave utilizzando IAM. In questo caso, Apigee non potrà accedere ai dati del piano di controllo criptati da qualsiasi versione della chiave. Le operazioni dell'API Apigee che dipendono la decriptazione dei dati non riuscirà. L'accesso ai dati può essere ripristinato concedendo nuovamente l'accesso alla chiave e le operazioni dell'API Apigee che decriptano i dati verranno ripristinate.

Nota: il piano di controllo e il runtime Apigee sono criptati con chiavi separate. Per rimuovere completamente, devi revocare entrambi i set di chiavi l'accesso ai dati.

Quote

L'utilizzo di chiavi CMEK può generare un utilizzo in base ad alcune quote Cloud KMS. Per le informazioni più aggiornate sulle quote di Cloud KMS, consulta Quote.

Revocare la chiave di crittografia

Se ritieni che i tuoi dati su Apigee in Google Cloud siano compromessi, puoi revocare le chiavi di crittografia. Revoca la CMEK di runtime per rendere il tuo l'istanza di runtime non funziona correttamente e non è in grado di accedere ai dati del gateway. Revoca il CMEK del piano di controllo per impedire ad Apigee di eseguire operazioni di analisi o di implementare nuovi proxy.

Utilizzo di CMEK con Apigee

Le chiavi di crittografia Apigee vengono utilizzate per i dati di runtime e del piano di controllo e vengono create durante la procedura di provisioning.

I dati del piano di controllo di Apigee vengono criptati utilizzando una chiave di crittografia diversa da quella dei dati di runtime e possono essere archiviati in regioni diverse. In base alle CMEK, questa crittografia si applica solo ai dati at-rest, ovvero i dati che sono infine archiviati disco.

I dati del piano di controllo Apigee includono configurazioni proxy (bundle), alcune di configurazione dell'ambiente e dati di analisi. I dati di runtime di Apigee includono dati di applicazioni come KVM, cache e secret client, che vengono poi archiviati nel database di runtime.

Vedi Informazioni sulle chiavi di crittografia Apigee per le descrizioni dei tipi di chiavi di crittografia.

Puoi aggiungere chiavi di crittografia solo al momento dell'organizzazione di Apigee creation; una volta assegnata una CMEK, non potrai passare a un'altra CMEK dopo creazione dell'organizzazione.

Regioni CMEK del piano di controllo della residenza dei dati

Nel piano di controllo Apigee regionalizzato, seleziona due chiavi di crittografia per il piano di controllo. perché alcuni dei componenti alla base del piano di controllo Apigee sono sempre in una singola regione all'interno della località del piano di controllo. Consulta: Regioni di residenza dei dati per ulteriori informazioni.

Dettagli	Chiavi obbligatorie
La regione del piano di controllo è la posizione in cui viene eseguito. Controllo in Apigee è un concetto astratto in cui insieme costituiscono il controllo Apigee aereo. I dati del piano di controllo sono configurazione e analisi del proxy archiviazione. Altri dati del piano di controllo (ad esempio, elaborazione di analisi, portali) in una sottoregione del piano di controllo. Tutti i componenti delle sottoregioni si trovano nella stessa regione.	Una chiave per i dati del piano di controllo. Una chiave per i dati delle sottoregioni del piano di controllo.

Dettagli

Chiavi obbligatorie

La regione del piano di controllo è la posizione in cui viene eseguito. Controllo in Apigee è un concetto astratto in cui insieme costituiscono il controllo Apigee aereo. I dati del piano di controllo sono configurazione e analisi del proxy archiviazione.

Altri dati del piano di controllo (ad esempio, elaborazione di analisi, portali) in una sottoregione del piano di controllo.

Tutti i componenti delle sottoregioni si trovano nella stessa regione.

Una chiave per i dati del piano di controllo.

Una chiave per i dati delle sottoregioni del piano di controllo.

Come creare chiavi di crittografia

Per impostazione predefinita, Google gestisce la creazione delle chiavi di crittografia durante la procedura di provisioning. Tuttavia, puoi crearle autonomamente. Per ulteriori informazioni, consulta Informazioni sulle chiavi di crittografia Apigee.

Rischi e mitigazioni

Questa sezione descrive le potenziali minacce e le azioni che puoi intraprendere.

Rischi:
- Compromissione chiave:si verifica quando un utente malintenzionato ottiene l'accesso alla di crittografia, potenzialmente attraverso vulnerabilità nel KMS attacchi informatici contro gli amministratori delle chiavi.
- Denial of Service:un utente malintenzionato potrebbe interrompere l'accesso alla crittografia. di chiavi o dati attaccando il KMS o il sistema di archiviazione.
- Perdita della chiave: l'eliminazione o la perdita accidentale della chiave potrebbe comportare la perdita o l'inaccessibilità dei dati.
Mitigazioni:
- Implementa criteri di controllo dell'accesso e gestione delle chiavi efficaci.
- Monitora i log e le attività di KMS per rilevare eventuali comportamenti sospetti.

Risoluzione dei problemi

La tabella seguente descrive alcune condizioni di errore comuni che possono verificarsi con i dati del configstore criptati con CMEK, il messaggio di errore approssimativo restituito dall'API Apigee e i passaggi per la risoluzione dei problemi consigliati.

Messaggio di errore/sintomo	Causa	Procedura
`Apigee does not have permission to access key "..."`	Un utente ha revocato l'accesso di Apigee alla chiave KMS fornita, ovvero rimuovendo il parametro Ruolo `roles/cloudkms.cryptoKeyEncrypterDecrypter`.	Un utente deve controllare i ruoli configurati sulla chiave KMS e assicurarsi che l'agente di servizio Apigee disponga delle autorizzazioni necessarie.
`Unable to encrypt/decrypt data. Cloud KMS Error: "..." is not enabled, current state is: DESTROYED.`	Un utente ha disabilitato o eliminato la versione della chiave utilizzata per criptare/decriptare i dati richiesti.	Se possibile, un utente deve riattivare la versione della chiave. Se la chiave o la versione della chiave è stata distrutta, i dati non sono recuperabili (per progettazione).
`No new Analytics data for US/EU users`	Una delle possibili cause di questo problema può essere una chiave per una singola regione revocata/disattivata/eliminata dall'utente.	Un utente deve riattivare/ripristinare l'accesso alla chiave di una singola regione.
`Control plane key "..." in region "..." is not valid for this control plane instance. Supported region(s) are "…".`	Un utente ha fornito una chiave del piano di controllo a regione singola in una regione non valido o non supportato per la regione o più regioni gestite dall'istanza del piano di controllo.	Un utente deve fornire una chiave in una delle regioni supportate o scegliere di utilizzare un'altra istanza del piano di controllo.
`Multi-region control plane key is not valid for this control plane instance. Specify only the "apiConsumerDataEncryptionKeyName" field.`	Un utente ha fornito una chiave del piano di controllo multi-regione in un piano di controllo che esiste solo in un'unica regione (ovvero non è un piano di controllo multi-regionale).	Un utente deve omettere il campo della chiave multiregionale o scegliere di utilizzare un'istanza del piano di controllo multiregionale.
`Multi-region control plane key is not valid for this control plane instance. Specify a multi-region key with region "..."`	Un utente ha fornito una chiave del piano di controllo multi-regione all'istanza del piano di controllo multi-regionale sbagliata (ad es. una chiave "us" all'istanza del piano di controllo "eu")	Un utente deve utilizzare una chiave multiregionale nel campo multiregionale o scegliere di utilizzare un altro piano di controllo multiregionale in esecuzione in un'istanza Compute Engine.