Informazioni sulla crittografia del disco


Per impostazione predefinita, Compute Engine cripta i contenuti dei clienti riposo. Google Compute Engine gestisce la crittografia per te senza alcuna azione aggiuntiva sui tuoi parte. Questa opzione è denominata Crittografia predefinita di Google.

Tuttavia, puoi personalizzare la crittografia utilizzi per le tue risorse fornendo chiavi di crittografia delle chiavi (KEK). Le chiavi di crittografia delle chiavi non criptano direttamente i dati, ma criptano le chiavi generate da Google che Compute Engine utilizza per criptare i dati.

Hai due opzioni per fornire chiavi di crittografia della chiave:

  • Consigliato. Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con Compute Engine. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini crittografici. L'utilizzo di Cloud KMS consente inoltre puoi monitorare l'utilizzo delle chiavi, visualizzare i log di controllo e e controllare i cicli di vita chiave. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.

    Puoi creare CMEK manualmente o utilizzare Cloud KMS Autokey di crearle automaticamente per tuo conto.

    Nella maggior parte dei casi, dopo aver creato un disco con crittografia CMEK, non è necessario specificare la chiave quando si lavora con il disco.

  • Puoi gestire le tue chiavi di crittografia delle chiavi al di fuori di Compute Engine e fornirle ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci risorse con crittografia CSEK, devi sempre specificare la chiave utilizzata per criptare la risorsa.

Per saperne di più, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.

Tipi di disco supportati

Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerti da Compute Engine.

CMEK con Cloud KMS Autokey

Se scegli di utilizzare le chiavi Cloud KMS per proteggere di Compute Engine, puoi creare manualmente CMEK oppure usa Cloud KMS Autokey per creare le chiavi. Con Autokey, i keyring e le chiavi vengono generati on demand nell'ambito della creazione delle risorse in Compute Engine. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono creati se non esistono già e vengono concessi i ruoli IAM (Identity and Access Management) richiesti. Per ulteriori informazioni, consulta la panoramica di AutoKey.

Per scoprire come utilizzare le CMEK create da Cloud KMS Autokey per proteggere Per le risorse Compute Engine, consulta Utilizzo di Autokey con Compute Engine Google Cloud.

Snapshot

Quando utilizzi Autokey per creare chiavi per proteggere le risorse Compute Engine, Autokey non crea nuove chiavi per gli snapshot. Devi criptare uno snapshot con la stessa chiave utilizzata per criptare il disco di origine. Se crei un utilizzando la console Google Cloud, ovvero la chiave di crittografia utilizzata dal disco viene automaticamente applicato allo snapshot. Se crei uno snapshot utilizzando con gcloud CLI, Terraform o l'API Compute Engine, devi ottenere l'identificatore di risorsa della chiave utilizzata per criptare il disco e quindi usare chiave per criptare lo snapshot.

Cripta i dischi con chiavi di crittografia gestite dal cliente

Per ulteriori informazioni su come utilizzare le campagne gestite dal cliente create manualmente chiavi di crittografia (CMEK) per criptare dischi e altre risorse Compute Engine, consulta Proteggere le risorse utilizzando Cloud KMS chiave.

Cripta i dischi con chiavi di crittografia fornite dal cliente

Per scoprire come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare i dischi e altre risorse Compute Engine, consulta Crittografia dei dischi con chiavi di crittografia fornite dal cliente.

Visualizzare le informazioni sulla crittografia di un disco

I dischi in Compute Engine vengono criptati con chiavi di crittografia gestite da Google, gestite dal cliente o fornite dal cliente. La crittografia gestita da Google è l'impostazione predefinita.

Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.

Console

  1. Nella console Google Cloud, vai alla pagina Dischi.

    Vai a Dischi

  2. Nella colonna Nome, fai clic sul nome del disco.

  3. Nella tabella Proprietà, la riga etichettata Crittografia indica il tipo di crittografia: gestita da Google, gestita dal cliente o fornita dal cliente.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Utilizza il comando gcloud compute disks describe:

        gcloud compute disks describe DISK_NAME \
          --zone=ZONE \
          --format="json(diskEncryptionKey)"
      

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto.
    • ZONE: la zona in cui si trova il disco.
    • DISK_NAME: il nome del disco.

      Output comando

      Se l'output è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.

      In caso contrario, l'output è un oggetto JSON.

      Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni sull'eventuale crittografia del disco con CMEK o CSEK:

      • Se è presente la proprietà diskEncryptionKey.kmsKeyName, il disco viene Criptata con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
        {
          "diskEncryptionKey": {
            "kmsKeyName": "projects/my-proj/.."
          }
        }
        
      • Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della crittografia fornita dal cliente chiave che protegge il disco.
          {
            "diskEncryptionKey": {
              "sha256": "abcdefghijk134560459345dssfd"
            }
          }
            

API

Invia una richiesta POST al metodo compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto.
  • ZONE: la zona in cui si trova il disco.
  • DISK_NAME: il nome del disco

Richiedi risposta

Se la risposta è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.

In caso contrario, la risposta è un oggetto JSON.

Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni sull'eventuale crittografia del disco con CMEK o CSEK:

  • Se è presente la proprietà diskEncryptionKey.kmsKeyName, il disco viene Criptata con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
    {
      "diskEncryptionKey": {
        "kmsKeyName": "projects/my-proj/.."
      }
    }
    
  • Se è presente la proprietà diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della crittografia fornita dal cliente chiave che protegge il disco.
      {
        "diskEncryptionKey": {
          "sha256": "abcdefghijk134560459345dssfd"
        }
      }
        

Se il disco utilizza la crittografia CMEK, puoi trovare informazioni dettagliate sulla chiave, sul suo mazzo di chiavi e sulla sua posizione seguendo i passaggi descritti in Visualizzare le chiavi per progetto.

Se il disco utilizza la crittografia CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. Con le chiavi CMEK puoi anche vedere quali risorse vengono protette dalla chiave con il monitoraggio dell'utilizzo delle chiavi. Per ulteriori informazioni, vedi Visualizza l'utilizzo delle chiavi.

Passaggi successivi