Questa pagina è stata tradotta dall'API Cloud Translation.

Introduzione a CMEK

Questa pagina descrive l'utilizzo di CMEK con Apigee.

Panoramica

Per impostazione predefinita, Google Cloud cripta automaticamente i dati inattivi utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Per saperne di più sull'utilizzo di CMEK per Apigee, consulta Utilizzo di CMEK con Apigee. Per saperne di più su CMEK in generale, inclusi quando e perché abilitarla, consulta la documentazione di Cloud Key Management Service.

L'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) non fornisce necessariamente più sicurezza dei meccanismi di crittografia predefiniti di Google, ma ti offre il controllo su più aspetti del ciclo di vita e della gestione delle tue chiavi per soddisfare i requisiti di sicurezza e conformità.

Vantaggi di CMEK

Se hai bisogno di un maggiore controllo sulle operazioni delle chiavi rispetto a quanto consentito dalle chiavi di crittografia gestite da Google, puoi utilizzare le chiavi di crittografia gestite dal cliente. Queste chiavi vengono create e gestite utilizzando Cloud Key Management Service (Cloud KMS) e sono archiviate come chiavi software, in un cluster HSM o all'esterno.

Le funzionalità di gestione delle chiavi sono fornite dal servizio Cloud KMS. I casi d'uso comuni includono:

Rotazione della chiave. Ruota la chiave in modo automatico o manuale. Tieni presente che, quando la chiave viene ruotata, i dati precedentemente archiviati in Apigee non vengono criptati automaticamente di nuovo con la nuova versione della chiave, ma continueranno a essere accessibili finché la versione precedente della chiave utilizzata per criptare i dati non sarà disabilitata o eliminata.
Abilitazione o disabilitazione di una versione della chiave. Quando la versione di una chiave è disabilitata, i dati Apigee criptati con quella versione della chiave non saranno accessibili. Per ripristinare l'accesso ai dati, è possibile riattivare la chiave.
Eliminazione della versione di una chiave. Quando la versione di una chiave viene eliminata, tutti i dati di Apigee criptati con quella versione della chiave diventeranno illeggibili e non recuperabili. Si tratta di un'operazione permanente e irreversibile.
Revoca dell'accesso dell'agente di servizio Apigee alla chiave utilizzando IAM. Se ciò avviene, Apigee non potrà accedere ai dati del piano di controllo criptati da qualsiasi versione della chiave. Le operazioni dell'API Apigee basate sulla decrittografia dei dati non andranno a buon fine. L'accesso ai dati può essere ripristinato concedendo di nuovo l'accesso alle chiavi e le operazioni dell'API Apigee che decriptano i dati verranno ripristinate.

Nota: il piano di controllo e il runtime Apigee sono criptati con chiavi separate. Devi revocare entrambi i set di chiavi per rimuovere completamente l'accesso ai dati.

Quote

L'utilizzo di chiavi CMEK può generare l'utilizzo rispetto ad alcune quote di Cloud KMS. Per le informazioni più recenti sulle quote di Cloud KMS, consulta Quote.

Revoca chiave di crittografia

Se ritieni che i tuoi dati su Apigee in Google Cloud siano compromessi, puoi revocare le chiavi di crittografia. Revoca la CMEK di runtime per evitare il malfunzionamento dell'istanza di runtime e l'impossibilità di accedere ai dati del gateway. Revoca la CMEK del piano di controllo per impedire ad Apigee di eseguire operazioni di analisi o di eseguire il deployment di nuovi proxy.

Utilizzo di CMEK con Apigee

Le chiavi di crittografia Apigee vengono utilizzate per i dati di runtime e del piano di controllo e vengono create durante il processo di provisioning.

I dati del piano di controllo Apigee vengono criptati utilizzando una chiave di crittografia diversa rispetto ai dati di runtime e potrebbero essere archiviati in diverse regioni. Secondo la documentazione di CMEK, questa crittografia si applica solo ai dati at-rest, ovvero ai dati archiviati su disco.

I dati del piano di controllo Apigee includono configurazioni proxy (bundle), alcuni dati di configurazione dell'ambiente e dati di analisi. I dati di runtime di Apigee includono dati delle applicazioni come KVM, cache e client secret, che vengono quindi archiviati nel database di runtime.

Consulta le informazioni sulle chiavi di crittografia Apigee per le descrizioni dei tipi di chiavi di crittografia.

Puoi aggiungere chiavi di crittografia solo al momento della creazione dell'organizzazione Apigee. Dopo l'assegnazione di una CMEK, non puoi passare a una CMEK diversa dopo la creazione dell'organizzazione.

Regioni CMEK del piano di controllo della residenza dei dati

Nel piano di controllo Apigee regionalizzato, devi selezionare due chiavi di crittografia per il tuo piano di controllo. Questo perché alcuni dei componenti alla base del piano di controllo Apigee si trovano sempre in una singola regione all'interno della località del piano di controllo. Per saperne di più, consulta Regioni di residenza dei dati.

Dettagli	Chiavi obbligatorie
La regione del piano di controllo è quella in cui viene eseguito il piano di controllo. Il piano di controllo in Apigee è un concetto astratto in cui più componenti sottostanti costituiscono insieme il piano di controllo Apigee. I dati del piano di controllo sono la configurazione del proxy e l'archiviazione per l'analisi. Altri dati del piano di controllo (ad es. elaborazione di analisi, portali) si trovano in una sottoregione del piano di controllo. Tutti i componenti di una regione secondaria si troveranno nella stessa regione.	Una chiave per i dati del piano di controllo. Una chiave per i dati delle sottoregioni del piano di controllo.

Dettagli

Chiavi obbligatorie

La regione del piano di controllo è quella in cui viene eseguito il piano di controllo. Il piano di controllo in Apigee è un concetto astratto in cui più componenti sottostanti costituiscono insieme il piano di controllo Apigee. I dati del piano di controllo sono la configurazione del proxy e l'archiviazione per l'analisi.

Altri dati del piano di controllo (ad es. elaborazione di analisi, portali) si trovano in una sottoregione del piano di controllo.

Tutti i componenti di una regione secondaria si troveranno nella stessa regione.

Una chiave per i dati del piano di controllo.

Una chiave per i dati delle sottoregioni del piano di controllo.

Come creare chiavi di crittografia

Per impostazione predefinita, Google gestisce la creazione delle chiavi di crittografia durante il processo di provisioning, che puoi però creare autonomamente. Per maggiori informazioni, consulta Informazioni sulle chiavi di crittografia Apigee.

Rischi e mitigazioni

Questa sezione descrive le potenziali minacce e le azioni che puoi intraprendere.

Rischi:
- Compromissione della chiave:si verifica quando un utente malintenzionato ottiene l'accesso alla chiave di crittografia, potenzialmente tramite vulnerabilità nel KMS o attacchi contro gli amministratori delle chiavi.
- denial of service:un utente malintenzionato potrebbe interrompere l'accesso alle chiavi o ai dati di crittografia attaccando il KMS o il sistema di archiviazione.
- Perdita della chiave: l'eliminazione o la perdita accidentale di chiavi potrebbe comportare la perdita o l'inaccessibilità dei dati.
Mitigazioni:
- Implementa efficaci criteri di controllo dell'accesso e di gestione delle chiavi.
- Monitora i log e le attività di KMS per rilevare eventuali comportamenti sospetti.

Risoluzione dei problemi

La tabella seguente descrive alcune condizioni di errore comuni che possono verificarsi con i dati configstore criptati tramite CMEK, il messaggio di errore approssimativo restituito dall'API Apigee e i passaggi per la risoluzione dei problemi consigliati.

Messaggio di errore/sintomo	Causa	Procedura
`Apigee does not have permission to access key "..."`	Un utente ha revocato l'accesso di Apigee alla chiave KMS fornita, ad esempio rimuovendo il ruolo `roles/cloudkms.cryptoKeyEncrypterDecrypter`.	Un utente deve controllare i ruoli configurati nella chiave KMS e assicurarsi che l'agente di servizio Apigee disponga delle autorizzazioni necessarie.
`Unable to encrypt/decrypt data. Cloud KMS Error: "..." is not enabled, current state is: DESTROYED.`	Un utente ha disabilitato o eliminato la versione della chiave utilizzata per criptare/decriptare i dati richiesti.	Se possibile, l'utente deve riattivare la versione della chiave. Se la chiave o la versione della chiave è stata eliminata, i dati non saranno recuperabili (per progettazione).
`No new Analytics data for US/EU users`	Una delle possibili cause di questo problema può essere una chiave di regione singola revocata/disabilitata/eliminata dall'utente.	Un utente deve riattivare/ripristinare l'accesso alle chiavi a livello di regione singola.
`Control plane key "..." in region "..." is not valid for this control plane instance. Supported region(s) are "…".`	Un utente ha fornito una chiave del piano di controllo a regione singola in una regione non valida o supportata per quella o più regioni servite dall'istanza del piano di controllo.	Un utente deve fornire una chiave in una delle regioni supportate o scegliere di utilizzare un'istanza del piano di controllo diversa.
`Multi-region control plane key is not valid for this control plane instance. Specify only the "apiConsumerDataEncryptionKeyName" field.`	Un utente ha fornito una chiave del piano di controllo a più regioni in un piano di controllo che esiste solo in una singola regione (ovvero non è un piano di controllo multiregionale).	Un utente deve omettere il campo della chiave a livello di più regioni o scegliere di utilizzare un'istanza del piano di controllo multiregionale.
`Multi-region control plane key is not valid for this control plane instance. Specify a multi-region key with region "..."`	Un utente ha fornito una chiave del piano di controllo a più regioni all'istanza del piano di controllo multiregionale errata, ad esempio una chiave "us" per l'istanza del piano di controllo "eu"	Un utente deve utilizzare una chiave multiregionale nella località multiregionale corretta o scegliere di utilizzare un'istanza del piano di controllo multiregionale diversa.