Esta página se ha traducido con Cloud Translation API.

Acerca del cifrado de disco

De forma predeterminada, Compute Engine cifra el contenido del cliente en reposo. Compute Engine usa automáticamente Google-owned and Google-managed encryption keys para encriptar tus datos.

Sin embargo, puedes personalizar el cifrado que usa Compute Engine para tus recursos proporcionando claves de cifrado de claves (KEKs). Las claves de cifrado de claves no cifran directamente tus datos, sino que cifran lasGoogle-owned and managed keys que usa Compute Engine para cifrar tus datos.

Tienes dos opciones para proporcionar claves de cifrado de claves:

Recomendado. Usa claves de encriptado gestionadas por el cliente (CMEK) en Cloud KMS con Compute Engine. Si usas claves de Cloud KMS, puedes controlar su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Además, Cloud KMS te permite monitorizar el uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y gestione las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Puedes crear CMEKs manualmente o usar Cloud KMS Autokey para que se creen automáticamente en tu nombre.

En la mayoría de los casos, después de crear un disco cifrado con CMEK, no es necesario especificar la clave al trabajar con el disco.
Puedes gestionar tus propias claves de cifrado de claves fuera de Compute Engine y proporcionar la clave cada vez que crees o gestiones un disco. Esta opción se conoce como claves de cifrado proporcionadas por el cliente (CSEKs). Cuando gestionas recursos encriptados con CSEK, siempre debes especificar la clave que usaste al encriptar el recurso.

Para obtener más información sobre cada tipo de cifrado, consulta los artículos Claves de cifrado gestionadas por el cliente y Claves de cifrado proporcionadas por el cliente.

Para añadir una capa adicional de seguridad a tus discos Hyperdisk Balanced, habilita el modo Confidencial. El modo Confidencial añade cifrado basado en hardware a tus discos Hyperdisk Balanced.

Tipos de discos admitidos

En esta sección se enumeran los tipos de cifrado admitidos para los discos y otras opciones de almacenamiento que ofrece Compute Engine.

Compatibilidad con volúmenes de Persistent Disk Google-owned and managed keys, CMEKs y CSEKs.
Hyperdisk de Google Cloud admite CMEKs yGoogle-owned and managed keys. No puedes usar CSEKs para cifrar hiperdiscos.
Los discos SSD locales solo admitenGoogle-owned and managed keys. No puedes usar CSEKs ni CMEKs para cifrar discos SSD locales.
Las clones de disco y las imágenes de máquina admitenGoogle-owned and managed keys, CMEKs y CSEKs.
Las capturas estándar y las capturas instantáneas admitenGoogle-owned and managed keys, CMEKs y CSEKs.

Rotación de Google-owned and managed keys y CMEKs

Compute Engine rota las Google-owned and managed keys que se usan para proteger tus datos una vez al año. La rotación de claves es una práctica recomendada del sector para la seguridad de los datos que limita el posible impacto de una clave vulnerada.

Si usas CMEKs, Google te recomienda que habilites la rotación automática de tus discos. Para obtener más información, consulta Rotar la clave de cifrado de Cloud KMS de un disco.

CMEK con Autokey de Cloud KMS

Si decides usar claves de Cloud KMS para proteger tus recursos de Compute Engine, puedes crear CMEKs manualmente o usar Autokey de Cloud KMS para crear las claves. Con Autokey, los conjuntos de claves y las claves se generan a petición como parte de la creación de recursos en Compute Engine. Los agentes de servicio que usan las claves para las operaciones de cifrado y descifrado se crean si aún no existen y se les conceden los roles de gestión de identidades y accesos (IAM) necesarios. Para obtener más información, consulta la descripción general de Autokey.

Para saber cómo usar las CMEKs creadas por Autokey de Cloud KMS para proteger tus recursos de Compute Engine, consulta el artículo Usar Autokey con recursos de Compute Engine.

Capturas

Cuando se usa Autokey para crear claves que protejan tus recursos de Compute Engine, Autokey no crea claves nuevas para las copias de seguridad. Debes encriptar una instantánea con la misma clave que se usó para encriptar el disco de origen. Si creas una captura con la consola de Google Cloud , la clave de cifrado que usa el disco se aplica automáticamente a la captura. Si creas una instantánea con la CLI de gcloud, Terraform o la API Compute Engine, debes obtener el identificador de recurso de la clave usada para encriptar el disco y, a continuación, usar esa clave para encriptar la instantánea.

Encriptar discos con claves de encriptado gestionadas por el cliente

Para obtener más información sobre cómo usar claves de encriptado gestionadas por el cliente (CMEK) creadas manualmente para encriptar discos y otros recursos de Compute Engine, consulta Proteger recursos con claves de Cloud KMS.

Encriptar discos con claves de encriptado proporcionadas por el cliente

Para saber cómo usar claves de cifrado proporcionadas por el cliente (CSEK) para cifrar discos y otros recursos de Compute Engine, consulta Cifrar discos con claves de cifrado proporcionadas por el cliente.

Ver información sobre el cifrado de un disco

Los discos de Compute Engine se cifran con uno de los siguientes tipos de claves de cifrado:

Google-owned and managed keys
Claves de encriptado gestionadas por el cliente (CMEKs)
Claves de cifrado proporcionadas por el cliente (CSEKs)

De forma predeterminada, Compute Engine usa Google-owned and managed keys.

Para ver el tipo de cifrado de un disco, puedes usar la CLI de gcloud, la consola o la API Compute Engine. Google Cloud

Consola

En la Google Cloud consola, ve a la página Discos.

Ir a Discos
En la columna Nombre, haz clic en el nombre del disco.
En la tabla Propiedades, la fila Cifrado indica el tipo de cifrado: Gestionado por Google, Gestionado por el cliente o Proporcionado por el cliente.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Usa el comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Haz los cambios siguientes:
- PROJECT_ID: tu ID de proyecto.
- ZONE: la zona en la que se encuentra tu disco.
- DISK_NAME: el nombre del disco.
  
  Resultado del comando
  
  Si el resultado es null, el disco usa un Google-owned and managed key.
  
  De lo contrario, la salida es un objeto JSON.
  
  Si el objeto JSON contiene un campo llamado diskEncryptionKey, el disco está cifrado. El objeto diskEncryptionKey contiene información sobre si el disco está cifrado con CMEK o CSEK:
  - Si la propiedad diskEncryptionKey.kmsKeyName está presente, el disco se cifra con CMEK. La propiedad kmsKeyName indica el nombre de la clave específica que se ha usado para cifrar el disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Si la propiedad diskEncryptionKey.sha256 está presente, el disco está cifrado con CSEK. La propiedad sha256 es el hash SHA-256 de la clave de cifrado proporcionada por el cliente que protege el disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

REST

Realiza una solicitud POST al método compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Haz los cambios siguientes:

PROJECT_ID: tu ID de proyecto.
ZONE: la zona en la que se encuentra tu disco.
DISK_NAME: el nombre del disco

Solicitar respuesta

Si la respuesta es null, el disco usa un Google-owned and managed key.

De lo contrario, la respuesta es un objeto JSON.

Si el objeto JSON contiene un campo llamado diskEncryptionKey, el disco está cifrado. El objeto diskEncryptionKey contiene información sobre si el disco está cifrado con CMEK o CSEK:

Si la propiedad diskEncryptionKey.kmsKeyName está presente, el disco se cifra con CMEK. La propiedad kmsKeyName indica el nombre de la clave específica que se ha usado para cifrar el disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Si la propiedad diskEncryptionKey.sha256 está presente, el disco está cifrado con CSEK. La propiedad sha256 es el hash SHA-256 de la clave de cifrado proporcionada por el cliente que protege el disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Si el disco usa CMEKs, puedes consultar información detallada sobre la clave, su conjunto de claves y su ubicación siguiendo los pasos que se indican en Ver claves por proyecto.

Si el disco usa CSEKs, ponte en contacto con el administrador de tu organización para obtener información sobre la clave. Con CMEK, también puedes ver qué recursos protege la clave con el seguimiento del uso de claves. Para obtener más información, consulta Ver el uso de las claves.

Modo Confidencial para Hyperdisk Balanced

Si usas Confidential Computing, puedes ampliar el cifrado basado en hardware a tus volúmenes de Hyperdisk Balanced habilitando el modo Confidencial.

El modo Confidencial de tus volúmenes Hyperdisk Balanced te permite habilitar seguridad adicional sin tener que refactorizar la aplicación. El modo Confidencial es una propiedad que puede especificar al crear un volumen de Hyperdisk Balanced.

Los volúmenes Hyperdisk Balanced en modo Confidencial solo se pueden usar con máquinas virtuales confidenciales.

Para crear un volumen de Hyperdisk Balanced en modo Confidencial, sigue los pasos que se indican en Crear un volumen de Hyperdisk Balanced en modo Confidencial.

Tipos de máquinas admitidos para volúmenes de Hyperdisk Balanced en modo Confidencial

Los volúmenes Hyperdisk Balanced en modo Confidencial solo se pueden usar con máquinas virtuales confidenciales que usen el tipo de máquina N2D.

Regiones admitidas para los volúmenes de Hyperdisk Balanced en modo Confidencial

El modo Confidencial para volúmenes de Hyperdisk Balanced está disponible en las siguientes regiones:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitaciones de los volúmenes de Hyperdisk Balanced en el modo Confidencial

Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML y Hyperdisk Balanced High Availability no admiten el modo Confidencial.
No puedes suspender ni reanudar una VM que use volúmenes de Hyperdisk Balanced en modo Confidencial.
No puedes usar grupos de almacenamiento de Hyperdisk con volúmenes de Hyperdisk Balanced en modo Confidencial.
No puedes crear una imagen de máquina ni una imagen personalizada a partir de un volumen de Hyperdisk Balanced en modo Confidencial.

Siguientes pasos

Para saber cómo automatizar la creación de CMEKs, consulta Cloud KMS con Autokey (vista previa).
Para saber cómo crear claves CMEK, consulta Crear claves de cifrado con Cloud KMS.
Encripta un disco con claves de cifrado gestionadas por el cliente (CMEKs).
Para crear un volumen de Hyperdisk Balanced en modo Confidencial, consulta Crear un volumen de Hyperdisk Balanced en modo Confidencial.
Más información sobre el formato y la especificación de las CSEKs

Acerca del cifrado de disco Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.