Einführung in CMEK

Auf dieser Seite wird die Verwendung von CMEK mit Apigee beschrieben. Best Practices finden Sie unter Best Practices für Apigee CMEK.

Übersicht

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit Verschlüsselungsschlüsseln, die Google gehören und von Google verwaltet werden. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Weitere Informationen zur Verwendung von CMEK für Apigee finden Sie unter CMEK mit Apigee verwenden. Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie in der Dokumentation zum Cloud Key Management Service.

Die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) bietet nicht unbedingt mehr Sicherheit als die standardmäßigen Verschlüsselungsmechanismen von Google. Sie haben jedoch mehr Kontrolle über den Lebenszyklus und die Verwaltung Ihrer Schlüssel, um Sicherheits- und Compliance-Anforderungen zu erfüllen.

Wenn Sie mehr Kontrolle über Schlüsselvorgänge benötigen, als von Google verwaltete Schlüssel zulassen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. Diese Schlüssel werden mit Cloud Key Management Service (Cloud KMS) erstellt und verwaltet und Sie speichern die Schlüssel als Softwareschlüssel in einem HSM-Cluster oder extern.

Die Schlüsselverwaltungsfunktionen werden vom Cloud KMS-Dienst bereitgestellt.

Anwendungsfälle für CMEK

In diesem Abschnitt werden typische Anwendungsfälle für die Verwendung von CMEK mit Apigee beschrieben.

Schlüsselrotation

Schlüssel automatisch oder manuell rotieren Beachten Sie, dass bei einer Rotation des Schlüssels zuvor in Apigee gespeicherte Daten nicht automatisch mit der neuen Schlüsselversion verschlüsselt werden, sondern weiterhin zugänglich sind, solange die vorher zum Verschlüsseln der Daten verwendete Schlüsselversion nicht deaktiviert oder gelöscht wird.

Der Hauptzweck der Schlüsselrotation besteht darin, die Datenpräsenz auf einen einzelnen Schlüssel zu beschränken, nicht die alte Schlüsselversion vollständig zu ersetzen. Apigee unterstützt derzeit keine erneute Verschlüsselung nach der Schlüsselrotation. Bei Apigee werden beim Rotieren eines Schlüssels nur eine begrenzte Anzahl neuer Daten (z. B. neue Proxy-Version) mit der neuen Primärschlüsselversion verschlüsselt. Für die meisten Daten wie Analysedaten, Laufwerk der Laufzeitumgebung und alte Proxy-Version wird weiterhin die alte Schlüsselversion verwendet. Wenn Sie die vorherige Schlüsselversion vollständig entfernen möchten, müssen Sie die apigee-Organisation neu erstellen. Wenn Sie die vorherige Schlüsselversion für Laufzeitverschlüsselungsschlüssel vollständig entfernen möchten, müssen Sie die Laufzeitinstanzen neu erstellen. Weitere Informationen finden Sie unter Best Practices für Apigee CMEK.

Siehe auch: Schlüssel rotieren

Schlüssel löschen und deaktivieren

Wenn eine Schlüsselversion deaktiviert ist, kann nicht mehr auf Apigee-Daten zugegriffen werden, die mit dieser Schlüsselversion verschlüsselt sind. Wenn Sie den Zugriff auf die Daten wiederherstellen möchten, können Sie den Schlüssel wieder aktivieren.

Wenn Sie Ihren CMEK-Schlüssel löschen oder deaktivieren, auch nur für vorherige Versionen, funktioniert Ihre apigee-Organisation je nach Schlüsselversion, die für die Verschlüsselung verwendet wird, nicht mehr richtig. Bestimmte APIs funktionieren nicht mehr, da sie zum Entschlüsseln von Daten einen CMEK-Schlüssel benötigen. Bestimmte Funktionen funktionieren jedoch erst dann nicht mehr, wenn eine Systemaktion ausgelöst wird, z. B. wenn nichtflüchtige Compute Engine-Speicher neu bereitgestellt werden müssen. Weitere Informationen finden Sie unter Deaktivierung von Schlüsseln.

Wenn eine Schlüsselversion gelöscht wird, können alle mit dieser Schlüsselversion verschlüsselten Apigee-Daten nicht mehr gelesen und nicht wiederhergestellt werden. Dieser Vorgang ist endgültig und kann nicht rückgängig gemacht werden.

Weitere Informationen

Schlüsselwiederherstellung

Wenn Sie einen Schlüssel oder eine vorherige Schlüsselversion versehentlich löschen oder deaktivieren, sollten Sie sie so schnell wie möglich wiederherstellen. CMEK ist eine Funktion, die für den Fall vorgesehen ist, dass der Schlüssel nicht verfügbar ist. Nachdem Sie den Schlüssel wiederhergestellt haben, kann Ihre apigee-Organisation nicht garantiert wiederhergestellt werden und es kann zu Datenverlusten kommen. Weitere Informationen finden Sie unter Schlüssel wieder aktivieren. Wenden Sie sich an den Google Cloud Customer Care, um den nächsten Schritt zu erfahren.

Weitere Informationen finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Schlüsselzugriff widerrufen

Wenn Sie den Zugriff des Apigee-Dienstmitarbeiters auf den Schlüssel über IAM widerrufen, kann Apigee nicht auf Daten der Steuerungsebene zugreifen, die mit einer Schlüsselversion verschlüsselt sind. Apigee API-Vorgänge, die von der Entschlüsselung der Daten abhängen, schlagen fehl. Der Zugriff auf die Daten kann wiederhergestellt werden, indem der Zugriff auf den Schlüssel und die Apigee API-Vorgänge, die die Daten entschlüsseln, wiederhergestellt wird.

Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

EKM

Apigee unterstützt derzeit keinen Cloud External Key Manager (Cloud EKM). Wenn Sie Cloud EKM verwenden, gibt es einen bekannten Fehler, bei dem Cloud EKM-Fehler nicht richtig weitergegeben und angezeigt werden.

Schlüssel-Tracking

Apigee unterstützt keine Schlüsselverfolgung. Wenn Sie die Schlüsselnutzung ansehen und feststellen, dass eine bestimmte Schlüsselversion nicht verwendet wird, ist das nicht korrekt, da Apigee keine Schlüsselverfolgungsfunktionen integriert hat.

Kontingente

Die Verwendung von CMEK kann zur Nutzung des Cloud KMS-Kontingents führen. Aktuelle Informationen zu Cloud KMS-Kontingenten finden Sie unter Kontingente.

Verschlüsselungsschlüssel widerrufen

Wenn Sie der Meinung sind, dass Ihre Daten in Apigee in Google Cloud gehackt wurden, können Sie Ihre Verschlüsselungsschlüssel widerrufen. Widerrufen Sie den Laufzeit-CMEK, damit die Laufzeitinstanz fehlschlägt und nicht auf Ihre Gateway-Daten zugreifen kann. Widerrufen Sie den CMEK der Steuerungsebene, damit Apigee keine Analysen ausführen oder neue Proxys bereitstellen kann.

CMEK mit Apigee verwenden

Apigee-Verschlüsselungsschlüssel werden für Laufzeitdaten und Daten der Steuerungsebene verwendet und während des Bereitstellungsvorgangs erstellt.

Daten der Apigee-Steuerungsebene werden mit einem anderen Verschlüsselungsschlüssel als Laufzeitdaten verschlüsselt und können in verschiedenen Regionen gespeichert werden. Gemäß der CMEK gilt diese Verschlüsselung nur für inaktive Daten, d. h. Daten, die letztendlich auf dem Laufwerk gespeichert werden.

Daten der Apigee-Steuerungsebene umfassen Proxykonfigurationen (Bundles), einige Umgebungskonfigurationsdaten und Analysedaten. Apigee-Laufzeitdaten enthalten Anwendungsdaten wie KVMs, Cache und Clientschlüssel, die dann in der Laufzeitdatenbank gespeichert werden.

Eine Beschreibung der Arten von Verschlüsselungsschlüsseln finden Sie unter Informationen zu den Apigee-Verschlüsselungsschlüsseln.

Sie können Verschlüsselungsschlüssel nur zum Zeitpunkt der Erstellung der Apigee-Organisation hinzufügen. Sobald ein CMEK zugewiesen wurde, können Sie nach dem Erstellen der Organisation nicht mehr zu einem anderen CMEK wechseln.

CMEK-Regionen für die Datenstandortsteuerungsebene

In der regionalisierten Apigee-Steuerungsebene wählen Sie zwei Verschlüsselungsschlüssel für Ihre Steuerungsebene aus. Das liegt daran, dass sich einige der Komponenten, die der Apigee-Steuerungsebene zugrunde liegen, immer in einer einzigen Region innerhalb des Standorts der Steuerungsebene befinden. Weitere Informationen finden Sie unter Datenstandortregionen.

Details	Erforderliche Schlüssel
Die Region der Steuerungsebene ist die Region, in der die Steuerungsebene ausgeführt wird. Die Steuerungsebene in Apigee ist ein abstraktes Konzept, bei dem mehrere zugrunde liegende Komponenten zusammen die Apigee-Steuerungsebene bilden. Daten der Steuerungsebene sind Proxy-Konfiguration und Analysespeicher. Andere Daten der Steuerungsebene (z.B. Analyseverarbeitung, Portale) befinden sich in einer Unterregion der Steuerungsebene. Alle Komponenten der Unterregionen befinden sich in derselben Region.	Ein Schlüssel für Daten der Steuerungsebene. Ein Schlüssel für Daten der Steuerungsebene in einer Unterregion.

Details

Erforderliche Schlüssel

Die Region der Steuerungsebene ist die Region, in der die Steuerungsebene ausgeführt wird. Die Steuerungsebene in Apigee ist ein abstraktes Konzept, bei dem mehrere zugrunde liegende Komponenten zusammen die Apigee-Steuerungsebene bilden. Daten der Steuerungsebene sind Proxy-Konfiguration und Analysespeicher.

Andere Daten der Steuerungsebene (z.B. Analyseverarbeitung, Portale) befinden sich in einer Unterregion der Steuerungsebene.

Alle Komponenten der Unterregionen befinden sich in derselben Region.

Ein Schlüssel für Daten der Steuerungsebene.

Ein Schlüssel für Daten der Steuerungsebene in einer Unterregion.

Einschränkungen für Organisationsrichtlinien

Wenn für Ihr Google Cloud-Projekt CMEK-Einschränkungen für Organisationsrichtlinien gelten, erzwingt Apigee die Einhaltung dieser Einschränkungen. Wenn Sie Apigee über die Google Cloud-Benutzeroberfläche, die Befehlszeile oder direkt über Apigee APIs verwenden, wird die Durchsetzung von CMEK-Richtlinien garantiert. Wenn Sie die Google Cloud Apigee-Benutzeroberfläche verwenden, werden die Einschränkungen der CMEK-Organisationsrichtlinie vorab validiert, damit Sie auf der Benutzeroberfläche eine gültige Compliance-Konfiguration auswählen können.

Mit CMEK-Organisationsrichtlinieneinschränkungen können Sie Folgendes festlegen:

Nicht alle Funktionen in Apigee sind derzeit CMEK-konform. Damit in Projekten, für die CMEK erforderlich ist, nicht unbeabsichtigt Funktionen verwendet werden, die nicht CMEK-geschützt sind, werden diese Funktionen für CMEK-beschränkte Projekte deaktiviert, bis sie konform sind. Es werden nur neue Verwendungen der Funktionen deaktiviert, z. B. das Erstellen neuer Ressourcen oder das Aktivieren eines Add-ons. Bereits verwendete Funktionen und Ressourcen sind weiterhin verfügbar und bearbeitbar, aber nicht CMEK-konform. Die folgenden Features werden deaktiviert:

Die klassische Apigee-Benutzeroberfläche ist für neu erstellte Organisationen, für die CMEK erforderlich ist, nicht verfügbar. CMEK-Organisationen sind regionale Organisationen, die in der klassischen Benutzeroberfläche nicht unterstützt werden. Bestehende Organisationen können die klassische Benutzeroberfläche weiterhin verwenden. Hinweis: Die Vorabvalidierung von CMEK wird nicht in der klassischen Benutzeroberfläche implementiert und basiert auf dem API-Fehler. Das bedeutet, dass für bestehende Organisationen, für die CMEK erforderlich ist, keine interaktive Benutzeroberfläche zum Konfigurieren der CMEK-Konfiguration oder zum Deaktivieren nicht CMEK-konformer Funktionen verfügbar ist.
Apigee Shadow API Discovery unterliegt nicht den CMEK-Organisationsrichtlinien und ist nicht CMEK-kompatibel.
Das Erstellen von Evaluierungsorganisationen wird sowohl von der CreateOrganization API für Evaluierungsorganisationen als auch vom Evaluierungs-Bereitstellungsassistenten blockiert.
Gemini Code Assist ist nicht verfügbar.
Das Erstellen globaler Organisationen wird durch die CreateOrganization API für Evaluierungsorganisationen und den Evaluierungsbereitstellungsassistenten blockiert.
Das Erstellen von Hybrid-Instanzen ist für die Erzwingung nicht verfügbar.
Die Schaltfläche Looker Studio zum Öffnen von Looker Studio mit Daten aus Apigee wird deaktiviert, wenn CMEK erforderlich ist.
Das Erstellen von Portalen wird durch die CreateSite API blockiert. Da die Benutzeroberfläche für Portale nur in Apigee Classic (nicht in der Google Cloud Console) verfügbar ist und die Vorabprüfung in der Apigee Classic-Benutzeroberfläche nicht implementiert wird, wird dieser Block auf den API-Fehler zurückgreifen. Die Schaltfläche Portal erstellen in der Apigee Classic-Benutzeroberfläche wird nicht deaktiviert.
Eine rückwirkende Durchsetzung der Compliance für vorhandene Ressourcen ist nicht möglich. Sie müssen Ressourcen löschen und neu erstellen, wenn eine vorhandene Ressource konform sein soll.

Weitere Informationen zur Verwendung von Einschränkungen für Organisationsrichtlinien in Apigee finden Sie unter Einschränkungen für Organisationsrichtlinien in Apigee verwenden.

Verschlüsselungsschlüssel erstellen

Standardmäßig verwaltet Google die Erstellung von Verschlüsselungsschlüsseln während des Bereitstellungsprozesses. Sie können sie jedoch selbst erstellen. Weitere Informationen finden Sie unter Apigee-Verschlüsselungsschlüssel.

Risiken und Risikominderungen

In diesem Abschnitt werden mögliche Bedrohungen beschrieben sowie Maßnahmen, die Sie vornehmen können.

Risiken:
- Schlüssel-Hacking: Tritt auf, wenn ein Angreifer Zugriff auf den Verschlüsselungsschlüssel erhält, möglicherweise durch Sicherheitslücken im KMS oder durch Angriffe auf Schlüsseladministratoren.
- Denial of Service: Ein Angreifer könnte den Zugriff auf Verschlüsselungsschlüssel oder Daten durch Angriffe auf das KMS- oder Speichersystem stören.
- Verlust des Schlüssels: Versehentliches Löschen oder Verlieren von Schlüsseln kann zu Daten- oder Zugangsverlust führen.
Risikominderungen:
- Implementieren Sie strenge Richtlinien für die Zugriffssteuerung und Schlüsselverwaltung.
- KMS-Logs und -Aktivitäten auf verdächtiges Verhalten überwachen

Fehlerbehebung

In der folgenden Tabelle werden einige gängige Fehlerbedingungen, die bei CMEK-verschlüsselten Configstore-Daten auftreten können, die von der Apigee API zurückgegebene ungefähre Fehlermeldung und die empfohlenen Schritte zur Fehlerbehebung beschrieben.

Fehlermeldung/Symptom	Ursache	Erforderliche Schritte
`Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project.`	Sie haben versucht, eine Testorganisation bereitzustellen, für die eine Einschränkung der Organisationsrichtlinie für das Projekt gilt.	CMEK wird für Organisationen mit Test- oder Evaluationszugriff nicht unterstützt. Sie müssen die Einschränkung der Organisationsrichtlinie `constraints/gcp.restrictNonCmekServices` aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen, damit Sie eine Testorganisation bereitstellen können.
`Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint.`	Sie haben versucht, eine Organisation zu provisionieren, für die eine Organisationsrichtlinieneinschränkung für das Projekt gilt, und einen KMS-CryptoKey angegeben, der nicht auf der Zulassungsliste steht.	Sie haben `constraints/gcp.restrictCmekCryptoKeyProjects` in den Organisationsrichtlinien festgelegt, die vorschreiben, dass Sie einen CMEK-Schlüssel aus den von Ihnen aufgeführten zulässigen Projekten angeben müssen. Sie müssen den CMEK aus einem zulässigen Projekt angeben, um eine Organisation oder Instanzen erstellen zu können. Alternativ können Sie die Einschränkung der Organisationsrichtlinie `constraints/gcp.restrictCmekCryptoKeyProjects` aktualisieren, um Schlüssel aus dem gewünschten Google Cloud-Projekt zuzulassen.
`Apigee does not have permission to access key "..."`	Ein Nutzer hat den Zugriff von Apigee auf den bereitgestellten KMS-Schlüssel widerrufen, z. B. durch Entfernen der `roles/cloudkms.cryptoKeyEncrypterDecrypter`-Rolle.	Ein Nutzer sollte die konfigurierten Rollen für den KMS-Schlüssel prüfen und dafür sorgen, dass der Apigee-Dienst-Agent die erforderlichen Berechtigungen hat.
`Unable to encrypt/decrypt data. Cloud KMS Error: "..." is not enabled, current state is: DESTROYED.`	Ein Nutzer hat die Schlüsselversion, die zum Verschlüsseln/Entschlüsseln der angeforderten Daten verwendet wird, deaktiviert oder gelöscht.	Ein Nutzer sollte die Schlüsselversion nach Möglichkeit wieder aktivieren. Wenn der Schlüssel oder die Schlüsselversion gelöscht wurde, können die Daten nicht wiederhergestellt werden.
`No new Analytics data for US/EU users`	Eine der möglichen Ursachen für dieses Problem kann ein vom Nutzer widerrufener/deaktivierter/gelöschter Schlüssel für eine einzelne Region sein.	Ein Nutzer sollte den Zugriff für den Schlüssel für eine einzelne Region wieder aktivieren/wiederherstellen.
`Control plane key "..." in region "..." is not valid for this control plane instance. Supported region(s) are "…".`	Ein Nutzer hat einen Schlüssel der Steuerungsebene einer einzigen Region in einer Region angegeben, die für die Region oder Multiregion, die von der Instanz der Steuerungsebene bereitgestellt wird, nicht gültig ist oder nicht unterstützt wird.	Ein Nutzer muss entweder einen Schlüssel in einer der unterstützten Regionen angeben oder eine andere Instanz der Steuerungsebene verwenden.
`Multi-region control plane key is not valid for this control plane instance. Specify only the "apiConsumerDataEncryptionKeyName" field.`	Ein Nutzer hat einen Schlüssel für eine multiregionale Steuerungsebene in einer Steuerungsebene angegeben, die nur in einer einzelnen Region vorhanden ist (d.h. keine multiregionale Steuerungsebene ist).	Ein Nutzer muss entweder das Feld für den multiregionalen Schlüssel weglassen oder eine multiregionale Steuerungsebeneninstanz verwenden.
`Multi-region control plane key is not valid for this control plane instance. Specify a multi-region key with region "..."`	Ein Nutzer hat einen Schlüssel für eine multiregionale Steuerungsebene auf der falschen multiregionalen Steuerungsebeneninstanz angegeben (z. B. einen "us"-Schlüssel für die "eu"-Steuerungsebeneninstanz).	Ein Nutzer muss entweder einen multiregionalen Schlüssel am richtigen multiregionalen Standort verwenden oder eine andere multiregionale Steuerungsebeneninstanz nutzen.