Informazioni sulla crittografia del disco


Per impostazione predefinita, Compute Engine cripta i contenuti dei clienti at-rest. Compute Engine gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Tuttavia, puoi personalizzare la crittografia utilizzata da Compute Engine per le tue risorse fornendo chiavi di crittografia della chiave (KEK). Le chiavi di crittografia delle chiavi non criptano direttamente i dati, ma criptano le chiavi generate da Google che Compute Engine utilizza per criptare i dati.

Hai due opzioni per fornire le chiavi di crittografia delle chiavi:

  • Consigliato. Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con Compute Engine. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini crittografici. L'utilizzo di Cloud KMS ti consente inoltre di monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che Google, sei tu a controllare e gestire le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati in Cloud KMS.

    Puoi creare le chiavi CMEK manualmente oppure utilizzare Autokey di Cloud KMS per farle creare automaticamente per tuo conto.

    Nella maggior parte dei casi, dopo aver creato un disco con crittografia CMEK, non è necessario specificare la chiave quando si lavora con il disco.

  • Puoi gestire le tue chiavi di crittografia delle chiavi al di fuori di Compute Engine e fornirle ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci risorse con crittografia CSEK, devi sempre specificare la chiave utilizzata per criptare la risorsa.

Per ulteriori informazioni su ciascun tipo di crittografia, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.

Per aggiungere un ulteriore livello di sicurezza ai dischi Hyperdisk bilanciati, attiva la modalità riservata. La modalità riservata aggiunge la crittografia basata su hardware ai dischi Hyperdisk bilanciati.

Tipi di dischi supportati

Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerte da Compute Engine.

CMEK con Autokey di Cloud KMS

Se scegli di utilizzare le chiavi Cloud KMS per proteggere le tue risorse Compute Engine, puoi creare le CMEK manualmente o utilizzare Autokey di Cloud KMS per creare le chiavi. Con Autokey, le chiavi e i keyring vengono generati on demand nell'ambito della creazione delle risorse in Compute Engine. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono creati se non esistono già e vengono concessi i ruoli IAM (Identity and Access Management) richiesti. Per ulteriori informazioni, consulta la panoramica di Autokey.

Per scoprire come utilizzare le chiavi CMEK create da Cloud KMS Autokey per proteggere le risorse Compute Engine, consulta Utilizzare Autokey con le risorse Compute Engine.

Snapshot

Quando utilizzi Autokey per creare chiavi per proteggere le risorse Compute Engine, Autokey non crea nuove chiavi per gli snapshot. Devi criptare uno snapshot con la stessa chiave utilizzata per criptare il disco di origine. Se crei un spostamento utilizzando la console Google Cloud, la chiave di crittografia utilizzata dal disco viene applicata automaticamente allo snapshot. Se crei uno snapshot utilizzando gcloud CLI, Terraform o l'API Compute Engine, devi recuperare l'identificatore della risorsa della chiave utilizzata per criptare il disco e poi utilizzare questa chiave per criptare lo snapshot.

Criptare i dischi con chiavi di crittografia gestite dal cliente

Per ulteriori informazioni su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) create manualmente per criptare i dischi e altre risorse Compute Engine, consulta Proteggere le risorse utilizzando le chiavi Cloud KMS.

Crittografa i dischi con chiavi di crittografia fornite dal cliente

Per scoprire come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare i dischi e altre risorse Compute Engine, consulta Crittografia dei dischi con chiavi di crittografia fornite dal cliente.

Visualizzare le informazioni sulla crittografia di un disco

I dischi in Compute Engine vengono criptati con chiavi di crittografia gestite da Google, gestite dal cliente o fornite dal cliente. La crittografia gestita da Google è l'impostazione predefinita.

Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.

Console

  1. Nella console Google Cloud, vai alla pagina Dischi.

    Vai a Dischi

  2. Nella colonna Nome, fai clic sul nome del disco.

  3. Nella tabella Proprietà, la riga etichettata Crittografia indica il tipo di crittografia: gestita da Google, gestita dal cliente o fornita dal cliente.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Utilizza il comando gcloud compute disks describe:

        gcloud compute disks describe DISK_NAME \
          --zone=ZONE \
          --format="json(diskEncryptionKey)"
      

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto.
    • ZONE: la zona in cui si trova il disco.
    • DISK_NAME: il nome del disco.

      Output comando

      Se l'output è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.

      In caso contrario, l'output è un oggetto JSON.

      Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni sull'eventuale crittografia del disco con CMEK o CSEK:

      • Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è criptato con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
        {
          "diskEncryptionKey": {
            "kmsKeyName": "projects/my-proj/.."
          }
        }
        
      • Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
          {
            "diskEncryptionKey": {
              "sha256": "abcdefghijk134560459345dssfd"
            }
          }
            

API

Invia una richiesta POST al metodo compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto.
  • ZONE: la zona in cui si trova il disco.
  • DISK_NAME: il nome del disco

Risposta alla richiesta

Se la risposta è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.

In caso contrario, la risposta è un oggetto JSON.

Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni sull'eventuale crittografia del disco con CMEK o CSEK:

  • Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è criptato con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
    {
      "diskEncryptionKey": {
        "kmsKeyName": "projects/my-proj/.."
      }
    }
    
  • Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
      {
        "diskEncryptionKey": {
          "sha256": "abcdefghijk134560459345dssfd"
        }
      }
        

Se il disco utilizza la crittografia CMEK, puoi trovare informazioni dettagliate sulla chiave, sul relativo mazzo di chiavi e sulla posizione seguendo i passaggi descritti in Visualizzare le chiavi per progetto.

Se il disco utilizza la crittografia CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. Con le chiavi CMEK puoi anche vedere quali risorse vengono protette dalla chiave con il monitoraggio dell'utilizzo delle chiavi. Per ulteriori informazioni, consulta Visualizzare l'utilizzo delle chiavi.

Modalità riservata per Hyperdisk bilanciato

Se utilizzi Confidential Computing, puoi estendere la crittografia basata su hardware ai volumi Hyperdisk bilanciati attivando la modalità riservata.

La modalità riservata per i volumi Hyperdisk bilanciati ti consente di attivare una maggiore sicurezza senza dover eseguire il refactoring dell'applicazione. La modalità riservata è una proprietà che puoi specificare quando crei un nuovo volume Hyperdisk bilanciato.

I volumi Hyperdisk bilanciati in modalità riservata possono essere utilizzati solo con le Confidential VM.

Per creare un volume Hyperdisk bilanciato in modalità riservata, consulta Attivare la modalità riservata per i volumi Hyperdisk bilanciati.

Tipi di macchine supportati per i volumi Hyperdisk bilanciati in modalità riservata

I volumi Hyperdisk bilanciati in modalità riservata possono essere utilizzati solo con le Confidential VM che utilizzano il tipo di macchina N2D.

Regioni supportate per i volumi Hyperdisk Balanced in modalità riservata

La modalità riservata per i volumi bilanciati Hyperdisk è disponibile nelle seguenti regioni:

  • europe-west4
  • us-central1
  • us-east4
  • us-east5
  • us-south1
  • us-west4

Limitazioni per i volumi Hyperdisk bilanciati in modalità riservata

  • Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML e Hyperdisk Balanced High Availability non supportano la modalità riservata.
  • Non puoi sospendere o riprendere una VM che utilizza volumi Hyperdisk bilanciati in modalità riservata.
  • Non puoi utilizzare i pool di archiviazione Hyperdisk con volumi Hyperdisk bilanciati in modalità riservata.
  • Non puoi creare un'immagine della macchina o un'immagine personalizzata da un volume Hyperdisk bilanciato in modalità riservata.

Passaggi successivi