Per impostazione predefinita, Compute Engine cripta i contenuti inattivi dei clienti. Compute Engine utilizza automaticamente Google-owned and Google-managed encryption keys per criptare i tuoi dati.
Tuttavia, puoi personalizzare la crittografia utilizzata da Compute Engine per le tue risorse fornendo chiavi di crittografia della chiave (KEK). Le chiavi di crittografia della chiave non criptano direttamente i dati, ma criptano leGoogle-owned and managed keys utilizzate da Compute Engine per criptare i tuoi dati.
Hai due opzioni per fornire le chiavi di crittografia della chiave:
Opzione consigliata. Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con Compute Engine. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Puoi creare le CMEK manualmente oppure utilizzare Autokey di Cloud KMS per farle creare automaticamente per tuo conto.
Nella maggior parte dei casi, dopo aver creato un disco criptato con CMEK, non è necessario specificare la chiave quando si lavora con il disco.
Puoi gestire le tue chiavi di crittografia della chiave al di fuori di Compute Engine e fornirle ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci risorse criptate con CSEK, devi sempre specificare la chiave utilizzata per criptare la risorsa.
Per saperne di più su ciascun tipo di crittografia, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.
Per aggiungere un ulteriore livello di sicurezza ai dischi Hyperdisk Balanced, attiva la modalità Confidential. La modalità Confidential aggiunge la crittografia basata su hardware ai dischi Hyperdisk Balanced.
Tipi di dischi supportati
Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di spazio di archiviazione offerte da Compute Engine.
I volumi Disco permanente supportanoGoogle-owned and managed keys, CMEK e CSEK.
Google Cloud Hyperdisk supporta CMEK eGoogle-owned and managed keys. Non puoi utilizzare CSEK per criptare dischi Hyperdisk.
I dischi SSD locali supportano soloGoogle-owned and managed keys. Non puoi utilizzare CSEK o CMEK per criptare i dischi SSD locali.
I cloni di dischi e le immagini macchina supportanoGoogle-owned and managed keys, CMEK e CSEK.
Gli snapshot standard e gli snapshot istantanei supportanoGoogle-owned and managed keys, CMEK e CSEK.
CMEK con Autokey di Cloud KMS
Se scegli di utilizzare le chiavi Cloud KMS per proteggere le tue risorse Compute Engine, puoi creare le chiavi CMEK manualmente o utilizzando Autokey di Cloud KMS. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand durante la creazione delle risorse in Compute Engine. Vengono creati gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia, se non esistono già, e ricevono i ruoli IAM (Identity and Access Management) richiesti. Per saperne di più, consulta la panoramica di Autokey.
Per scoprire come utilizzare le chiavi CMEK create da Autokey di Cloud KMS per proteggere le risorse Compute Engine, consulta Utilizzo di Autokey con le risorse Compute Engine.
Snapshot
Quando utilizzi Autokey per creare chiavi per proteggere le risorse Compute Engine, Autokey non crea nuove chiavi per gli snapshot. Devi criptare uno snapshot con la stessa chiave utilizzata per criptare il disco di origine. Se crei uno snapshot utilizzando la console Google Cloud , la chiave di crittografia utilizzata dal disco viene applicata automaticamente allo snapshot. Se crei uno snapshot utilizzando gcloud CLI, Terraform o l'API Compute Engine, devi recuperare l'identificatore della risorsa della chiave utilizzata per criptare il disco e poi utilizzare questa chiave per criptare lo snapshot.
Cripta i dischi con chiavi di crittografia gestite dal cliente
Per saperne di più su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) create manualmente per criptare dischi e altre risorse Compute Engine, consulta Proteggi le risorse utilizzando le chiavi Cloud KMS.
Cripta i dischi con chiavi di crittografia fornite dal cliente
Per scoprire come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare dischi e altre risorse Compute Engine, consulta Crittografia dei dischi con chiavi di crittografia fornite dal cliente.
Visualizza le informazioni sulla crittografia di un disco
I dischi in Compute Engine sono criptati con uno dei seguenti tipi di chiavi di crittografia:
- Google-owned and managed keys
- Chiavi di crittografia gestite dal cliente (CMEK)
- Chiavi di crittografia fornite dal cliente (CSEK)
Per impostazione predefinita, Compute Engine utilizza Google-owned and managed keys.
Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.
Console
Nella console Google Cloud , vai alla pagina Dischi.
Nella colonna Nome, fai clic sul nome del disco.
Nella tabella Proprietà, la riga etichettata Crittografia indica il tipo di crittografia: Gestita da Google, Gestita dal cliente o Fornita dal cliente.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Utilizza il comando
gcloud compute disks describe:gcloud compute disks describe DISK_NAME \ --zone=ZONE \ --format="json(diskEncryptionKey)"Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto.ZONE: la zona in cui si trova il disco.DISK_NAME: il nome del disco.Output comando
Se l'output è
null, il disco utilizza una Google-owned and managed key.In caso contrario, l'output è un oggetto JSON.
Se l'oggetto JSON contiene un campo denominato
diskEncryptionKey, il disco è criptato. L'oggettodiskEncryptionKeycontiene informazioni sulla crittografia del disco con CMEK o CSEK:- Se è presente la proprietà
diskEncryptionKey.kmsKeyName, il disco è criptato con CMEK. La proprietàkmsKeyNameindica il nome della chiave specifica utilizzata per criptare il disco:{ "diskEncryptionKey": { "kmsKeyName": "projects/my-proj/.." } } - Se è presente la proprietà
diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietàsha256è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.{ "diskEncryptionKey": { "sha256": "abcdefghijk134560459345dssfd" } }
- Se è presente la proprietà
API
Invia una richiesta POST al metodo compute.disks.get.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto.ZONE: la zona in cui si trova il disco.DISK_NAME: il nome del disco.
Risposta alla richiesta
Se la risposta è null, il disco utilizza una Google-owned and managed key.
In caso contrario, la risposta è un oggetto JSON.
Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato.
L'oggetto diskEncryptionKey contiene informazioni sulla crittografia del disco con CMEK o CSEK:
- Se è presente la proprietà
diskEncryptionKey.kmsKeyName, il disco è criptato con CMEK. La proprietàkmsKeyNameindica il nome della chiave specifica utilizzata per criptare il disco:{ "diskEncryptionKey": { "kmsKeyName": "projects/my-proj/.." } } - Se è presente la proprietà
diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietàsha256è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.{ "diskEncryptionKey": { "sha256": "abcdefghijk134560459345dssfd" } }
Se il disco utilizza CMEK, puoi trovare informazioni dettagliate sulla chiave, sulle relative chiavi automatizzate e sulla località seguendo i passaggi descritti in Visualizza le chiavi per progetto.
Se il disco utilizza CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. CMEK ti consente anche di vedere quali risorse sono protette dalla chiave con il monitoraggio dell'utilizzo delle chiavi. Per saperne di più, consulta Visualizza l'utilizzo delle chiavi.
Modalità Confidential per Hyperdisk Balanced
Se utilizzi Confidential Computing, puoi estendere la crittografia basata sull'hardware ai volumi Hyperdisk Balanced attivando la modalità Confidential.
La modalità Confidential per i volumi Hyperdisk Balanced ti consente di attivare una sicurezza aggiuntiva senza dover eseguire il refactoring dell'applicazione. La modalità Confidential è una proprietà che puoi specificare quando crei un nuovo volume Hyperdisk Balanced.
I volumi Hyperdisk Balanced in modalità Confidential possono essere utilizzati solo con le Confidential VM.
Per creare un volume Hyperdisk Balanced in modalità Confidential, segui i passaggi descritti in Crea un volume Hyperdisk Balanced in modalità Confidential.
Tipi di macchine supportati per i volumi Hyperdisk Balanced in modalità Confidential
I volumi Hyperdisk Balanced in modalità Confidential possono essere utilizzati solo con Confidential VM che utilizzano il tipo di macchina N2D.
Regioni supportate per i volumi Hyperdisk Balanced in modalità Confidential
La modalità Confidential per i volumi Hyperdisk Balanced è disponibile nelle seguenti regioni:
europe-west4us-central1us-east4us-east5us-south1us-west4
Limitazioni per i volumi Hyperdisk Balanced in modalità Confidential
- Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML e Hyperdisk Balanced High Availability non supportano la modalità Confidential.
- Non puoi sospendere o riprendere una VM che utilizza volumi Hyperdisk Balanced in modalità Confidential.
- Non puoi utilizzare i pool di archiviazione Hyperdisk con volumi Hyperdisk Balanced in modalità Confidential.
- Non puoi creare un'immagine macchina o un'immagine personalizzata da un volume Hyperdisk Balanced in modalità Confidential.
Passaggi successivi
- Per scoprire come automatizzare la creazione delle CMEK, consulta Cloud KMS con Autokey (anteprima).
- Per scoprire come creare le CMEK, consulta Crea chiavi di crittografia con Cloud KMS.
- Cripta un disco con chiavi di crittografia gestite dal cliente (CMEK).
- Per creare un volume Hyperdisk Balanced in modalità Confidential, consulta Crea un volume Hyperdisk Balanced in modalità Confidential.
- Scopri di più su formato e specifiche delle CSEK.