Halaman ini menjelaskan penggunaan CMEK dengan Apigee.
Ringkasan
Secara default, Google Cloud akan otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dimiliki dan dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus yang terkait dengan kunci yang melindungi data Anda, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Anda dapat membaca lebih lanjut cara menggunakan CMEK untuk Apigee di Menggunakan CMEK dengan Apigee. Untuk informasi lebih lanjut tentang CMEK secara umum, termasuk kapan dan mengapa mengaktifkannya, lihat Dokumentasi Cloud Key Management Service.
Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) tidak selalu memberikan keamanan yang lebih baik daripada enkripsi default Google mekanisme; namun, hal tersebut memberi Anda kendali atas lebih banyak aspek siklus proses dan pengelolaan kunci Anda untuk memenuhi persyaratan keamanan dan kepatuhan lainnya.
Manfaat CMEK
Jika Anda membutuhkan lebih banyak kontrol atas operasi utama dari apa yang Kunci yang dimiliki Google dan dikelola Google memungkinkan Anda menggunakan menggunakan kunci enkripsi yang dikelola pelanggan. Kunci ini dibuat dan dikelola menggunakan Cloud Key Management Service (Cloud KMS), dan Anda menyimpan kunci sebagai kunci software, Cluster HSM, atau secara eksternal.
Fitur pengelolaan kunci disediakan oleh layanan Cloud KMS. Penggunaan umum kasus tersebut meliputi:
- Putar kunci. Putar kunci secara otomatis atau manual. Perlu diketahui bahwa saat kunci dirotasi, data yang sebelumnya disimpan di Apigee tidak dienkripsi ulang secara otomatis dengan versi kunci baru, namun dapat diakses asalkan versi kunci sebelumnya digunakan untuk mengenkripsi data tidak dinonaktifkan atau dihancurkan.
- Mengaktifkan atau menonaktifkan versi kunci. Saat versi kunci dinonaktifkan, Data Apigee yang dienkripsi dengan versi kunci tersebut tidak akan dapat diakses. Kepada memulihkan akses ke data, kuncinya dapat diaktifkan kembali.
- Menghancurkan versi kunci. Ketika versi kunci dihancurkan, semua Data Apigee yang dienkripsi dengan versi kunci tersebut akan menjadi tidak dapat dibaca dan tidak dapat dipulihkan. Tindakan ini bersifat permanen dan tidak dapat dibatalkan.
-
Mencabut akses agen layanan Apigee ke kunci menggunakan IAM. Jika langkah ini dilakukan, Apigee tidak akan dapat mengakses data bidang kontrol apa pun yang dienkripsi oleh semua versi kunci. Operasi API Apigee yang bergantung pada membongkar enkripsi data akan gagal. Akses ke data dapat dipulihkan oleh memberikan kembali akses ke kunci dan operasi API Apigee yang mendekripsi data akan dipulihkan.
Kuota
Penggunaan kunci CMEK dapat menghasilkan penggunaan terhadap beberapa kuota Cloud KMS. Untuk informasi terbaru tentang kuota Cloud KMS, lihat Kuota.
Cabut kunci enkripsi
Jika yakin bahwa data Anda di Apigee di Google Cloud disusupi, Anda dapat mencabut kunci enkripsi Anda. Cabut CMEK runtime untuk membuat instance runtime gagal berfungsi dan tidak dapat mengakses data gateway Anda. Dicabut bidang kontrol CMEK yang membuat Apigee tidak dapat melakukan analisis bekerja atau menempatkan {i>proxy<i} baru.
Menggunakan CMEK dengan Apigee
Kunci enkripsi Apigee digunakan untuk runtime dan data bidang kontrol, serta dibuat selama proses penyediaan.
Data bidang kontrol Apigee dienkripsi menggunakan kunci enkripsi yang berbeda dengan data runtime, dan mungkin disimpan di region yang berbeda. Sesuai dengan CMEK, enkripsi ini berlaku hanya untuk data dalam penyimpanan, yaitu data yang pada akhirnya disimpan di {i>disk<i}.
Data bidang kontrol Apigee mencakup konfigurasi proxy (paket), beberapa data konfigurasi lingkungan, dan data analisis. Data runtime Apigee mencakup data aplikasi seperti KVM, cache, dan klien secret, yang kemudian disimpan dalam database runtime.
Lihat Tentang kunci enkripsi Apigee untuk deskripsi jenis kunci enkripsi.
Anda dapat menambahkan kunci enkripsi hanya pada saat organisasi Apigee pembuatan; begitu CMEK ditetapkan, Anda tidak dapat mengubahnya ke CMEK lain setelah pembuatan org.
Wilayah CMEK bidang kontrol residensi data
Di bidang kontrol Apigee yang diregionalkan, pilih dua kunci enkripsi untuk bidang kontrol. Hal ini karena beberapa komponen yang mendasari bidang kontrol Apigee selalu di satu region di lokasi bidang kontrol. Lihat Region residensi data untuk mengetahui informasi selengkapnya.
Detail | Kunci yang diperlukan |
---|---|
Wilayah bidang kontrol adalah tempat bidang kontrol berjalan. {i>Control<i} (Mengendalikan) di Apigee adalah konsep abstrak di mana banyak komponen yang mendasarinya bersama-sama membentuk kontrol Apigee pesawat terbang. Data bidang kontrol adalah analisis dan konfigurasi proxy Storage. Data bidang kontrol lainnya (misalnya, pemrosesan analisis, portal) di sub-region pada bidang kontrol. Semua komponen sub-wilayah akan berada di region yang sama satu sama lain. |
Satu tombol untuk data bidang kontrol. Satu kunci untuk data sub-wilayah bidang kontrol. |
Cara membuat kunci enkripsi
Secara default, Google mengelola pembuatan kunci enkripsi selama proses penyediaan; Namun, Anda dapat membuatnya sendiri. Untuk selengkapnya informasi, lihat Tentang kunci enkripsi Apigee.
Risiko dan Mitigasi
Bagian ini menjelaskan potensi ancaman dan tindakan yang dapat Anda lakukan.
- Risiko:
- Penyusupan kunci: Terjadi saat penyerang mendapatkan akses ke kunci enkripsi, kemungkinan melalui kerentanan di KMS atau serangan terhadap administrator kunci.
- Denial of service: Penyerang dapat mengganggu akses ke enkripsi kunci atau data dengan cara menyerang {i> KMS<i} atau sistem penyimpanan.
- Hilangnya kunci: Penghapusan atau kehilangan kunci yang tidak disengaja dapat menyebabkan data kehilangan atau aksesibilitas.
- Mitigasi:
- Terapkan kebijakan akses dan pengelolaan kunci yang kuat.
- Pantau log dan aktivitas KMS untuk mendeteksi perilaku yang mencurigakan.
Pemecahan masalah
Tabel berikut menjelaskan beberapa kondisi {i>error <i}umum yang mungkin timbul pada data configstore yang dienkripsi dengan CMEK, perkiraan pesan {i>error<i} yang ditampilkan oleh Apigee API, dan langkah pemecahan masalah yang direkomendasikan.
Pesan error/gejala | Penyebab | Langkah-langkah yang harus dilakukan |
---|---|---|
Apigee does not have permission to access key "..."
|
Pengguna telah mencabut akses Apigee ke kunci KMS yang diberikan, yaitu
dengan menghilangkan
Peran roles/cloudkms.cryptoKeyEncrypterDecrypter .
|
Pengguna harus memeriksa peran yang dikonfigurasi pada kunci KMS dan memastikan bahwa agen layanan Apigee memiliki izin yang diperlukan. |
Unable to encrypt/decrypt data. Cloud KMS Error: "..." is not
enabled, current state is: DESTROYED.
|
Pengguna telah menonaktifkan atau menghapus versi kunci yang digunakan untuk mengenkripsi/mendekripsi bagian data yang diminta. | Pengguna harus mengaktifkan kembali versi kunci jika memungkinkan. Jika kunci atau versi kunci telah dihancurkan, data tidak dapat dipulihkan (berdasarkan desain). |
No new Analytics data for US/EU users
|
Salah satu kemungkinan penyebab masalah ini adalah pengguna kunci wilayah tunggal dicabut/dinonaktifkan/dihapus. | Pengguna harus mengaktifkan kembali/memulihkan akses kunci region tunggal. |
Control plane key "..." in region "..." is not valid for this
control plane instance. Supported region(s) are "…".
|
Pengguna telah menyediakan satu kunci bidang kontrol wilayah di sebuah wilayah yang tidak valid atau tidak didukung untuk wilayah atau multi-region yang dilayani oleh instance bidang kontrol. | Pengguna harus memasukkan kunci di salah satu wilayah yang didukung atau memilih untuk menggunakan instance bidang kontrol yang berbeda. |
Multi-region control plane key is not valid for this control
plane instance. Specify only the "apiConsumerDataEncryptionKeyName"
field.
|
Pengguna telah memberikan kunci bidang kontrol multi-region di kontrol bidang yang hanya ada di satu wilayah (yaitu bukan bidang kontrol multi-regional). | Pengguna harus menghilangkan kolom kunci multi-regional atau memilih untuk menggunakan instance bidang kontrol multi-regional. |
Multi-region control plane key is not valid for this control
plane instance. Specify a multi-region key with region "..."
|
Pengguna telah memberikan kunci bidang kontrol multi-region ke kolom instance bidang kontrol multi-regional (mis., kunci "us" ke "eu" instance bidang kontrol) | Pengguna harus menggunakan kunci multi-regional di multi-region atau memilih untuk menggunakan bidang kontrol multi-regional yang berbeda di instance Compute Engine. |