Questa pagina è stata tradotta dall'API Cloud Translation.

Introduzione a CMEK

In questa pagina viene descritto l'utilizzo di CMEK con Apigee.

Panoramica

Per impostazione predefinita, Google Cloud cripta i dati quando sono at-rest utilizzando chiavi di crittografia di proprietà di e gestite da Google. Se hai requisiti normativi o di conformità specifici relativi per proteggere i dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Puoi scoprire di più sull'utilizzo di CMEK per Apigee in Usare CMEK con Apigee. Per ulteriori informazioni su CMEK in generale, incluso quando e perché abilitarla, consulta le documentazione di Cloud Key Management Service.

Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) non fornisce necessariamente maggiore sicurezza della crittografia predefinita di Google mechanisms; ma offre il controllo su più aspetti del ciclo di vita e la gestione delle chiavi per garantire sicurezza e conformità i tuoi requisiti.

Vantaggi di CMEK

Se hai bisogno di un controllo maggiore sulle operazioni con le chiavi rispetto a Le chiavi di proprietà di Google e gestite da Google consentono, puoi utilizzare gestite dal cliente. Queste chiavi vengono create e gestite Cloud Key Management Service (Cloud KMS) e archivi le chiavi come chiavi software, in un cluster HSM, oppure esterne.

Le funzionalità di gestione delle chiavi sono fornite dal servizio Cloud KMS. Uso comune includono:

Rotazione la chiave. Ruota la chiave automaticamente o manualmente. Tieni presente che Quando la chiave viene ruotata, i dati precedentemente archiviati in Apigee non vengono verrà ricriptata automaticamente con la nuova versione della chiave, ma continuerà siano accessibili purché la versione della chiave precedente utilizzata per criptare non vengano disabilitati né eliminati.
Attivazione in corso... o la disattivazione della versione di una chiave. Quando una versione della chiave è disabilitata, I dati Apigee criptati con quella versione della chiave non saranno accessibili. A ripristinare l'accesso ai dati, la chiave può essere riattivata.
Eliminazione della versione di una chiave. Quando una versione della chiave viene eliminata, qualsiasi I dati Apigee criptati con quella versione della chiave diventeranno illeggibili e non recuperabile. Questa operazione è definitiva e irreversibile.
Revoca dell'accesso alla chiave da parte dell'agente di servizio Apigee mediante IAM. In questo caso, Apigee non sarà in grado di accedere ai dati del piano di controllo possono essere criptati da qualsiasi versione della chiave. Le operazioni dell'API Apigee che dipendono la decriptazione dei dati non riuscirà. L'accesso ai dati può essere ripristinato riautorizzando l'accesso alla chiave e alle operazioni dell'API Apigee che decriptano verranno ripristinati.

Nota: il piano di controllo e il runtime Apigee sono criptati con chiavi separate. Per rimuovere completamente, devi revocare entrambi i set di chiavi l'accesso ai dati.

Quote

L'uso delle chiavi CMEK può generare utilizzo rispetto ad alcune quote di Cloud KMS. Per per informazioni più recenti sulle quote di Cloud KMS, consulta Quote.

Revoca chiave di crittografia

Se ritieni che i tuoi dati su Apigee in Google Cloud siano compromessi, puoi revocare le tue chiavi di crittografia. Revoca la CMEK di runtime per rendere il tuo l'istanza di runtime non funziona correttamente e non è in grado di accedere ai dati del gateway. Revoca la CMEK del piano di controllo per impedire ad Apigee di eseguire l'analisi lavorare o eseguire il deployment di nuovi proxy.

Utilizzo di CMEK con Apigee

Le chiavi di crittografia Apigee vengono utilizzate per i dati di runtime e del piano di controllo vengono creati durante di provisioning.

I dati del piano di controllo Apigee sono criptati utilizzando una chiave di crittografia diversa rispetto di runtime e potrebbero essere archiviati in diverse regioni. In base alle CMEK, questa crittografia si applica solo ai dati at-rest, ovvero ai dati che sono infine archiviati disco.

I dati del piano di controllo Apigee includono configurazioni proxy (bundle), alcune di configurazione dell'ambiente e dati di analisi. I dati di runtime Apigee includono dati delle applicazioni come KVM, cache e client e i secret, che vengono poi archiviati nel database del runtime.

Vedi Informazioni sulle chiavi di crittografia Apigee per le descrizioni dei tipi di chiavi di crittografia.

Puoi aggiungere chiavi di crittografia solo al momento dell'organizzazione di Apigee creazione; una volta assegnata una CMEK, non potrai passare a un'altra CMEK dopo organizzazione.

Regioni CMEK del piano di controllo della residenza dei dati

Nel piano di controllo Apigee regionalizzato, selezioni due le chiavi di crittografia per il piano di controllo. perché alcuni dei componenti alla base del piano di controllo Apigee sono sempre in una singola regione all'interno della località del piano di controllo. Consulta Regioni di residenza dei dati per ulteriori informazioni.

Dettagli	Chiavi richieste
La regione del piano di controllo è il luogo in cui viene eseguito il piano di controllo. Controllo in Apigee è un concetto astratto in cui insieme costituiscono il controllo Apigee aereo. I dati del piano di controllo sono configurazione e analisi del proxy archiviazione. Altri dati del piano di controllo (ad esempio, elaborazione di analisi, portali) in una sottoregione del piano di controllo. Tutti i componenti delle sottoregioni saranno nella stessa regione l'uno dell'altro.	Una chiave per i dati del piano di controllo. Una chiave per i dati delle sottoregioni del piano di controllo.

Dettagli

Chiavi richieste

La regione del piano di controllo è il luogo in cui viene eseguito il piano di controllo. Controllo in Apigee è un concetto astratto in cui insieme costituiscono il controllo Apigee aereo. I dati del piano di controllo sono configurazione e analisi del proxy archiviazione.

Altri dati del piano di controllo (ad esempio, elaborazione di analisi, portali) in una sottoregione del piano di controllo.

Tutti i componenti delle sottoregioni saranno nella stessa regione l'uno dell'altro.

Una chiave per i dati del piano di controllo.

Una chiave per i dati delle sottoregioni del piano di controllo.

Come creare chiavi di crittografia

Per impostazione predefinita, Google gestisce la creazione delle chiavi di crittografia durante processo di provisioning; ma puoi crearli autonomamente. Per ulteriori informazioni le informazioni, vedi Informazioni sulle chiavi di crittografia Apigee.

Rischi e mitigazioni

Questa sezione descrive le potenziali minacce e le azioni che puoi intraprendere.

Rischi:
- Compromissione chiave:si verifica quando un utente malintenzionato ottiene l'accesso alla di crittografia, potenzialmente attraverso vulnerabilità nel KMS di attacchi informatici contro gli amministratori delle chiavi.
- Denial of Service:un utente malintenzionato potrebbe interrompere l'accesso alla crittografia. di chiavi o dati attaccando il KMS o il sistema di archiviazione.
- Perdita della chiave:l'eliminazione o la perdita accidentale della chiave potrebbe tradursi in dati. o inaccessibilità.
Mitigazioni:
- Implementa criteri rigorosi per controllo dell'accesso e la gestione delle chiavi.
- Monitora i log e le attività di KMS per rilevare eventuali comportamenti sospetti.

Risoluzione dei problemi

La tabella seguente descrive alcune condizioni di errore comuni che possono verificarsi con i dati del configstore criptato con CMEK, è stato restituito il messaggio di errore approssimativo dall'API Apigee e i passaggi consigliati per la risoluzione dei problemi.

Messaggio di errore/sintomo	Causa	Procedura
`Apigee does not have permission to access key "..."`	Un utente ha revocato l'accesso di Apigee alla chiave KMS fornita, ovvero rimuovendo il parametro Ruolo `roles/cloudkms.cryptoKeyEncrypterDecrypter`.	Un utente deve controllare i ruoli configurati sulla chiave KMS e assicurarsi che l'agente di servizio Apigee disponga delle autorizzazioni necessarie.
`Unable to encrypt/decrypt data. Cloud KMS Error: "..." is not enabled, current state is: DESTROYED.`	Un utente ha disabilitato o eliminato la versione della chiave utilizzata per criptare/decriptare i dati richiesti.	Se possibile, un utente deve riattivare la versione della chiave. Se la chiave se la versione della chiave è stata eliminata, i dati non sono recuperabili (in base alla progettazione).
`No new Analytics data for US/EU users`	Una delle possibili cause di questo problema può essere la presenza di chiave di singola regione revocata/disabilitata/eliminata.	Un utente deve riattivare/ripristinare l'accesso alla chiave di una singola regione.
`Control plane key "..." in region "..." is not valid for this control plane instance. Supported region(s) are "…".`	Un utente ha fornito una chiave del piano di controllo a regione singola in una regione non valido o non supportato per la regione o più regioni gestite dall'istanza del piano di controllo.	Un utente deve fornire una chiave in una delle regioni supportate o scegliere di utilizzare un'altra istanza del piano di controllo.
`Multi-region control plane key is not valid for this control plane instance. Specify only the "apiConsumerDataEncryptionKeyName" field.`	Un utente ha fornito una chiave del piano di controllo multiregionale in un controllo che esiste solo in una singola regione (ovvero non è un piano di controllo multiregionale).	Un utente deve omettere il campo chiave multiregionale oppure scegliere di un'istanza del piano di controllo multiregionale.
`Multi-region control plane key is not valid for this control plane instance. Specify a multi-region key with region "..."`	Un utente ha fornito una chiave del piano di controllo multiregionale all'istanza in questione istanza del piano di controllo multiregionale (ad es. una chiave "us" in "eu" dell'istanza del piano di controllo)	Un utente deve utilizzare una chiave multiregionale nel campo multiregionale o scegliere di utilizzare un altro piano di controllo multiregionale in esecuzione in un'istanza Compute Engine.