Questa pagina è stata tradotta dall'API Cloud Translation.

Introduzione a CMEK

Questa pagina descrive l'utilizzo di CMEK con Apigee. Per le best practice, vedi Best practice per Apigee CMEK.

Panoramica

Per impostazione predefinita, Google Cloud cripta automaticamente i dati inattivi utilizzando chiavi di crittografia di proprietà e gestite da Google. Se hai requisiti normativi o di conformità specifici relativi per proteggere i dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Puoi scoprire di più sull'utilizzo di CMEK per Apigee in Utilizzare CMEK con Apigee. Per ulteriori informazioni su CMEK in generale, incluso quando e perché attivarlo, consulta la documentazione di Cloud Key Management Service.

L'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) non offre necessariamente una maggiore sicurezza rispetto ai meccanismi di crittografia predefiniti di Google; tuttavia, ti consente di controllare più aspetti del ciclo di vita e della gestione delle chiavi per soddisfare i requisiti di sicurezza e conformità.

Se hai bisogno di un maggiore controllo sulle operazioni con le chiavi rispetto a quanto consentito dalle chiavi di proprietà di Google e gestite da Google, puoi utilizzare le chiavi di crittografia gestite dal cliente. Queste chiavi vengono create e gestite Cloud Key Management Service (Cloud KMS) e archivi le chiavi come chiavi software, in un cluster HSM, oppure esterne.

Le funzionalità di gestione delle chiavi sono fornite dal servizio Cloud KMS.

Casi d'uso di CMEK

Questa sezione descrive i casi d'uso tipici per l'utilizzo di CMEK con Apigee.

Rotazione chiave

Ruota la chiave automaticamente o manualmente. Tieni presente che quando la chiave viene ruotata, i dati precedentemente memorizzati in Apigee non vengono sottoposti nuovamente a crittografia automatica con la nuova versione della chiave, ma continueranno a essere accessibili finché la versione precedente della chiave utilizzata per criptare i dati non viene disattivata o eliminata.

Lo scopo principale della rotazione della chiave è limitare l'esposizione dei dati a una chiave unica, non per sostituire completamente la versione precedente della chiave. Al momento Apigee non supporta la crittografia di nuovo dopo la rotazione della chiave. Nello specifico per Apigee, quando ruoti una chiave, viene di nuovi dati (ad esempio la nuova revisione del proxy) verranno criptati la nuova versione della chiave primaria. La maggior parte dei dati, come i dati di analisi, il disco di runtime e la revisione del proxy precedente, utilizza ancora la vecchia versione della chiave. Se vuoi eliminare completamente la versione precedente della chiave, devi creare di nuovo l'organizzazione apigee. Per le chiavi di crittografia di runtime, se per eliminare completamente la versione precedente della chiave, devi ricreare delle istanze di runtime. Per ulteriori dettagli, consulta Best practice per Apigee CMEK.

Vedi anche Ruotare una chiave

Eliminazione e disattivazione delle chiavi

Quando una versione della chiave viene disabilitata, i dati Apigee sono criptati con quella chiave non sarà accessibile. Per ripristinare l'accesso ai dati, la chiave può essere riattivata.

Quando elimini o disattivi la chiave CMEK, anche solo per le versioni precedenti, la tua organizzazione apigee inizierà a non funzionare correttamente a seconda della versione della chiave utilizzata per la crittografia. Alcune API smetteranno di funzionare immediatamente poiché richiedono una chiave CMEK per decriptare i dati, mentre alcune funzioni inizieranno a non funzionare correttamente solo quando viene attivata un'azione di sistema, ad esempio il ricoinvolgimento dei dischi permanenti di Compute Engine. Consulta: Disattivazione della chiave per ulteriori informazioni.

Quando una versione della chiave viene eliminata, tutti i dati di Apigee criptati con quella versione della chiave non saranno più leggibili e non potranno essere recuperati. Si tratta di un funzionamento permanente e irreversibile.

Vedi anche:

Ripristino delle chiavi

Se elimini o disabiliti accidentalmente una chiave o una versione precedente della chiave, dovresti provare a ripristinarli il prima possibile. Tieni presente che la chiave CMEK è una funzionalità pensata per la perdita di dati se la chiave non è disponibile. Dopo aver ripristinato il ripristino dell'organizzazione apigee non è garantito e potresti perdere i dati. Consulta: Riattivazione di una chiave per ulteriori dettagli. Contatta l'assistenza clienti Google Cloud e scopri qual è il passaggio successivo migliore.

Vedi anche: Elimina e ripristina le versioni delle chiavi

Revoca l'accesso alla chiave

Se revochi l'accesso dell'agente di servizio Apigee alla chiave utilizzando IAM, Apigee non potrà accedere ai dati del piano di controllo criptati da qualsiasi versione della chiave. Le operazioni dell'API Apigee che dipendono dalla decrittografia dei dati non andranno a buon fine. L'accesso ai dati può essere ripristinato riautorizzando l'accesso alle operazioni della chiave e dell'API Apigee che decriptare i dati verrà ripristinato.

Vedi anche: Gestire l'accesso a progetti, cartelle e organizzazioni

EKM

Apigee al momento non supporta Gestore chiavi esterno di Cloud (Cloud EKM). Se utilizzi Cloud EKM, è noto un difetto per cui gli errori di Cloud EKM non vengono propagati e visualizzati correttamente.

Monitoraggio delle chiavi

Apigee non supporta il tracciamento delle chiavi se utilizzi la visualizzazione l'utilizzo della chiave e realizzare un della chiave non viene usata, tieni presente che non è precisa poiché Apigee ha non integrati con le principali funzionalità di monitoraggio.

Quote

L'utilizzo di chiavi CMEK può generare un utilizzo in base ad alcune quote Cloud KMS. Per le informazioni più aggiornate sulle quote di Cloud KMS, consulta Quote.

Revoca chiave di crittografia

Se ritieni che i tuoi dati su Apigee in Google Cloud siano compromessi, puoi revocare le tue chiavi di crittografia. Revoca la CMEK di runtime per rendere il tuo l'istanza di runtime non funziona correttamente e non è in grado di accedere ai dati del gateway. Revoca la CMEK del piano di controllo per impedire ad Apigee di eseguire l'analisi lavorare o eseguire il deployment di nuovi proxy.

Utilizzo di CMEK con Apigee

Le chiavi di crittografia Apigee vengono utilizzate per i dati di runtime e del piano di controllo vengono creati durante di provisioning.

I dati del piano di controllo Apigee sono criptati utilizzando una chiave di crittografia diversa rispetto di runtime e potrebbero essere archiviati in diverse regioni. In base alla documentazione relativa alle chiavi CMEK, questa crittografia si applica solo ai dati at-rest, ovvero a quelli archiviati su disco.

I dati del piano di controllo Apigee includono configurazioni proxy (bundle), alcune di configurazione dell'ambiente e dati di analisi. I dati di runtime di Apigee includono dati di applicazioni come KVM, cache e secret client, che vengono poi archiviati nel database di runtime.

Per una descrizione dei tipi di chiavi di crittografia, consulta Informazioni sulle chiavi di crittografia di Apigee.

Puoi aggiungere chiavi di crittografia solo al momento dell'organizzazione di Apigee creation; una volta assegnata una CMEK, non potrai passare a un'altra CMEK dopo creazione dell'organizzazione.

Regioni CMEK del piano di controllo della residenza dei dati

Nel piano di controllo Apigee regionalizzato, selezioni due le chiavi di crittografia per il piano di controllo. perché alcuni dei componenti alla base del piano di controllo Apigee sono sempre in una singola regione all'interno della località del piano di controllo. Per ulteriori informazioni, consulta Regioni di residenza dei dati.

Dettagli	Chiavi richieste
La regione del piano di controllo è il luogo in cui viene eseguito il piano di controllo. Il piano di controllo in Apigee è un concetto astratto in cui più componenti di base costituiscono il piano di controllo di Apigee. I dati del control plane sono la configurazione del proxy e l'archiviazione di dati di analisi. Altri dati del piano di controllo (ad es. elaborazione di analisi, portali) si trovano in una sottoregione del piano di controllo. Tutti i componenti delle sottoregioni si trovano nella stessa regione.	Una chiave per i dati del piano di controllo. Una chiave per i dati delle sottoregioni del piano di controllo.

Dettagli

Chiavi richieste

La regione del piano di controllo è il luogo in cui viene eseguito il piano di controllo. Il piano di controllo in Apigee è un concetto astratto in cui più componenti di base costituiscono il piano di controllo di Apigee. I dati del control plane sono la configurazione del proxy e l'archiviazione di dati di analisi.

Altri dati del piano di controllo (ad es. elaborazione di analisi, portali) si trovano in una sottoregione del piano di controllo.

Tutti i componenti delle sottoregioni si trovano nella stessa regione.

Una chiave per i dati del piano di controllo.

Una chiave per i dati delle sottoregioni del piano di controllo.

Vincoli dei criteri dell'organizzazione

Se nel tuo progetto Google Cloud sono presenti vincoli delle norme dell'organizzazione CMEK, Apigee applicherà la conformità a questi vincoli. Se utilizzi Apigee tramite l'interfaccia utente o la CLI di Google Cloud o direttamente tramite le API Apigee, l'applicazione delle norme CMEK è garantita. quando utilizzi l'interfaccia utente di Apigee di Google Cloud, i vincoli dei criteri dell'organizzazione CMEK vengono pre-convalidati in modo che l'interfaccia utente possa guidarti nella scelta di una configurazione valida e conforme.

I vincoli dei criteri dell'organizzazione CMEK possono essere creati per richiedere che:

Al momento non tutte le funzionalità di Apigee sono conformi a CMEK. Per garantire i progetti che richiedono una CMEK non utilizzano inconsapevolmente funzionalità Protette da CMEK, queste funzionalità verranno disattivate per i limiti di CMEK progetti finché non saranno conformi. Solo i nuovi utilizzi delle funzionalità saranno disattivato (creazione di nuove risorse o abilitazione di un componente aggiuntivo). Funzionalità e le risorse già in uso rimarranno disponibili e modificabili, non conforme a CMEK. Le seguenti funzionalità verranno disabilitate:

L'UI classica di Apigee non sarà disponibile per i nuovi utenti che richiedono CMEK perché sono organizzazioni a livello di regione supportate nella UI classica. Le organizzazioni esistenti potranno comunque utilizzare la UI classica. Tieni presente che la prevalidazione CMEK non verrà implementata nell'interfaccia utente classica e si baserà sull'errore dell'API. Ciò significa che le organizzazioni esistenti non avranno una UX guidata per configurare la configurazione CMEK o per la disattivazione delle funzionalità non conformi a CMEK.
Apigee Shadow API Discovery non è soggetta ai criteri dell'organizzazione CMEK e non è conforme a CMEK.
La creazione delle organizzazioni di valutazione verrà bloccata sia dalla l'API CreateOrganization e la procedura guidata di valutazione del provisioning.
Gemini Code Assist non è disponibile.
La creazione di organizzazioni globali verrà bloccata dall'amministratore l'API CreateOrganization e la procedura guidata di valutazione del provisioning.
La creazione di istanze ibride non è disponibile per l'applicazione.
Pulsante Looker Studio per aprire Looker Studio con i dati di Apigee verrà disabilitato quando sarà richiesta una CMEK.
La creazione di portali verrà bloccata dall'API CreateSite. Poiché la UI dei portali è disponibile solo in Apigee Classic (non console Google Cloud) e la pre-convalida non sarà implementata in UI classica di Apigee, questo blocco si baserà sull'errore API (il Il pulsante Crea portale nella UI classica di Apigee non verrà disattivata).
Applicazione retroattiva della conformità per gli le risorse non sono disponibili, dovrai eliminare e ricreare le risorse se hai bisogno che una risorsa esistente sia conforme.

Vedi Utilizzo dei vincoli dei criteri dell'organizzazione in Apigee per informazioni sull'uso dei vincoli dei criteri dell'organizzazione con Apigee.

Come creare le chiavi di crittografia

Per impostazione predefinita, Google gestisce la creazione delle chiavi di crittografia durante processo di provisioning; ma puoi crearli autonomamente. Per maggiori informazioni le informazioni, vedi Informazioni sulle chiavi di crittografia Apigee.

Rischi e mitigazioni

Questa sezione descrive le potenziali minacce e le azioni che puoi intraprendere.

Rischi:
- Compromissione della chiave: si verifica quando un malintenzionato ottiene l'accesso alla chiave di crittografia, potenzialmente tramite vulnerabilità nel KMS o attacchi contro gli amministratori delle chiavi.
- Denial of Service:un utente malintenzionato potrebbe interrompere l'accesso alla crittografia. di chiavi o dati attaccando il KMS o il sistema di archiviazione.
- Perdita della chiave:l'eliminazione o la perdita accidentale della chiave potrebbe tradursi in dati. o inaccessibilità.
Mitigazioni:
- Implementa criteri di controllo dell'accesso e gestione delle chiavi efficaci.
- Monitora i log e le attività di KMS per rilevare eventuali comportamenti sospetti.

Risoluzione dei problemi

La tabella seguente descrive alcune condizioni di errore comuni che possono verificarsi con i dati del configstore criptato con CMEK, è stato restituito il messaggio di errore approssimativo dall'API Apigee e i passaggi consigliati per la risoluzione dei problemi.

Messaggio di errore/sintomo	Causa	Procedura
`Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project.`	Hai tentato di eseguire il provisioning di un'organizzazione di prova in cui esiste un vincolo dei criteri dell'organizzazione per il progetto.	CMEK non è supportato per le organizzazioni di prova/valutazione. Per poter eseguire il provisioning di un'organizzazione di prova, dovrai aggiornare il vincolo dei criteri dell'organizzazione `constraints/gcp.restrictNonCmekServices` per rimuovere Apigee dall'elenco dei servizi negati.
`Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint.`	Hai tentato di eseguire il provisioning di un'organizzazione in cui un criterio dell'organizzazione esiste un vincolo per il progetto e ha specificato una CryptoKey KMS che non è incluso nella lista consentita.	Hai impostato `constraints/gcp.restrictCmekCryptoKeyProjects` nei criteri dell'organizzazione che richiedono di fornire una chiave CMEK ai progetti consentiti elencati da te. Per poter creare un'organizzazione o istanze, dovrai fornire il CMEK da un progetto consentito. In alternativa, puoi aggiornare il vincolo del criterio dell'organizzazione `constraints/gcp.restrictCmekCryptoKeyProjects` per consentire del progetto Google Cloud specifico che ti interessa.
`Apigee does not have permission to access key "..."`	Un utente ha revocato l'accesso di Apigee alla chiave KMS fornita, ovvero rimuovendo il parametro Ruolo `roles/cloudkms.cryptoKeyEncrypterDecrypter`.	Un utente deve controllare i ruoli configurati sulla chiave KMS e assicurarsi che l'agente di servizio Apigee disponga delle autorizzazioni necessarie.
`Unable to encrypt/decrypt data. Cloud KMS Error: "..." is not enabled, current state is: DESTROYED.`	Un utente ha disattivato o eliminato la versione della chiave utilizzata per criptare/decriptare il dato richiesto.	Se possibile, un utente deve riattivare la versione della chiave. Se la chiave o la versione della chiave è stata distrutta, i dati non sono recuperabili (per progettazione).
`No new Analytics data for US/EU users`	Una delle possibili cause di questo problema può essere una chiave per una singola regione revocata/disattivata/eliminata dall'utente.	Un utente deve riattivare/ripristinare l'accesso alla chiave di una singola regione.
`Control plane key "..." in region "..." is not valid for this control plane instance. Supported region(s) are "…".`	Un utente ha fornito una chiave del piano di controllo a regione singola in una regione non valido o non supportato per la regione o più regioni gestite dall'istanza del piano di controllo.	Un utente deve fornire una chiave in una delle regioni supportate o scegliere di utilizzare un'altra istanza del piano di controllo.
`Multi-region control plane key is not valid for this control plane instance. Specify only the "apiConsumerDataEncryptionKeyName" field.`	Un utente ha fornito una chiave del piano di controllo multi-regione in un piano di controllo che esiste solo in un'unica regione (ovvero non è un piano di controllo multi-regionale).	Un utente deve omettere il campo chiave multiregionale oppure scegliere di un'istanza del piano di controllo multiregionale.
`Multi-region control plane key is not valid for this control plane instance. Specify a multi-region key with region "..."`	Un utente ha fornito una chiave del piano di controllo multiregionale all'istanza in questione istanza del piano di controllo multiregionale (ad es. una chiave "us" in "eu" dell'istanza del piano di controllo)	Un utente deve utilizzare una chiave multiregionale nella regione corretta o scegliere di utilizzare un'istanza del piano di controllo multiregionale diversa.