Esta página foi traduzida pela API Cloud Translation.

Acerca da encriptação do disco

Por predefinição, o Compute Engine encripta o conteúdo do cliente em repouso. O Compute Engine usa automaticamente Google-owned and Google-managed encryption keys para encriptar os seus dados.

No entanto, pode personalizar a encriptação que o Compute Engine usa para os seus recursos fornecendo chaves de encriptação de chaves (KEKs). As chaves de encriptação de chaves não encriptam diretamente os seus dados, mas encriptam a Google-owned and managed keys que o Compute Engine usa para encriptar os seus dados.

Tem duas opções para fornecer chaves de encriptação de chaves:

Recomendado. Use chaves de encriptação geridas pelo cliente (CMEKs) no Cloud KMS com o Compute Engine. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, autorizações de utilização e acesso, bem como limites criptográficos. A utilização do Cloud KMS também permite monitorizar a utilização das chaves, ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Pode criar CMEKs manualmente ou usar o Cloud KMS Autokey para que sejam criadas automaticamente em seu nome.

Na maioria dos casos, depois de criar um disco encriptado com CMEK, não precisa de especificar a chave quando trabalha com o disco.
Pode gerir as suas próprias chaves de encriptação de chaves fora do Compute Engine e fornecer a chave sempre que criar ou gerir um disco. Esta opção é conhecida como chaves de encriptação fornecidas pelo cliente (CSEKs). Quando gere recursos encriptados com CSEK, tem sempre de especificar a chave que usou quando encriptou o recurso.

Para mais informações acerca de cada tipo de encriptação, consulte os artigos Chaves de encriptação geridas pelo cliente e Chaves de encriptação fornecidas pelo cliente.

Para adicionar uma camada de segurança adicional aos seus discos Hyperdisk Balanced, ative o modo confidencial. O modo confidencial adiciona encriptação baseada em hardware aos seus discos Hyperdisk Balanced.

Tipos de discos suportados

Esta secção apresenta os tipos de encriptação suportados para discos e outras opções de armazenamento oferecidas pelo Compute Engine.

Os volumes de discos persistentes suportam Google-owned and managed keys, CMEKs e CSEKs.
O Google Cloud Hyperdisk suporta CMEKs e Google-owned and managed keys. Não pode usar CSEKs para encriptar Hyperdisks.
Os discos SSD locais só suportam Google-owned and managed keys. Não pode usar CSEKs nem CMEKs para encriptar discos SSD locais.
Os clones de disco e as imagens de máquinas suportamGoogle-owned and managed keys,CMEKs e CSEKs.
Os instantâneos padrão e os instantâneos instantâneos suportamGoogle-owned and managed keys, CMEKs e CSEKs.

Rotação para Google-owned and managed keys e CMEKs

O Compute Engine roda as chaves de encriptação usadas para proteger os seus dados anualmente. Google-owned and managed keysA rotação de chaves é uma prática recomendada da indústria para a segurança de dados que limita o potencial impacto de uma chave comprometida.

Se usar CMEKs, a Google recomenda que ative a rotação automática para os seus discos. Para mais informações, consulte o artigo Alterne a chave de encriptação do Cloud KMS para um disco.

CMEK com chave automática do Cloud KMS

Se optar por usar chaves do Cloud KMS para proteger os seus recursos do Compute Engine, pode criar CMEKs manualmente ou usar a chave automática do Cloud KMS para criar as chaves. Com o Autokey, os conjuntos de chaves e as chaves são gerados a pedido como parte da criação de recursos no Compute Engine. Os agentes de serviço que usam as chaves para operações de encriptação e desencriptação são criados se ainda não existirem e recebem as funções de gestão de identidade e de acesso (IAM) necessárias. Para mais informações, consulte o artigo Vista geral do Autokey.

Para saber como usar as CMEKs criadas pela chave automática do Cloud KMS para proteger os seus recursos do Compute Engine, consulte o artigo Usar a chave automática com recursos do Compute Engine.

Instantâneos

Quando usa o Autokey para criar chaves para proteger os seus recursos do Compute Engine, o Autokey não cria novas chaves para instantâneos. Tem de encriptar um instantâneo com a mesma chave usada para encriptar o disco de origem. Se criar uma imagem instantânea através da consola Google Cloud , a chave de encriptação usada pelo disco é aplicada automaticamente à imagem instantânea. Se criar uma captura de ecrã através da CLI gcloud, do Terraform ou da API Compute Engine, tem de obter o identificador do recurso da chave usada para encriptar o disco e, em seguida, usar essa chave para encriptar a captura de ecrã.

Encripte discos com chaves de encriptação geridas pelo cliente

Para mais informações sobre como usar chaves de encriptação geridas pelo cliente (CMEK) criadas manualmente para encriptar discos e outros recursos do Compute Engine, consulte o artigo Proteja os recursos através de chaves do Cloud KMS.

Encripte discos com chaves de encriptação fornecidas pelos clientes

Para saber como usar chaves de encriptação fornecidas pelo cliente (CSEK) para encriptar discos e outros recursos do Compute Engine, consulte o artigo Encriptar discos com chaves de encriptação fornecidas pelo cliente.

Veja informações sobre a encriptação de um disco

Os discos no Compute Engine são encriptados com um dos seguintes tipos de chaves de encriptação:

Google-owned and managed keys
Chaves de encriptação geridas pelo cliente (CMEKs)
Chaves de encriptação fornecidas pelos clientes (CSEKs)

Por predefinição, o Compute Engine usa Google-owned and managed keys.

Para ver o tipo de encriptação de um disco, pode usar a CLI gcloud, Google Cloud a consola ou a API Compute Engine.

Consola

Na Google Cloud consola, aceda à página Discos.

Aceda a Discos
Na coluna Nome, clique no nome do disco.
Na tabela Propriedades, a linha com a etiqueta Encriptação indica o tipo de encriptação: gerida pela Google, gerida pelo cliente ou fornecida pelo cliente.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Use o comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Substitua o seguinte:
- PROJECT_ID: o ID do seu projeto.
- ZONE: a zona onde o disco está localizado.
- DISK_NAME: o nome do disco.
  
  Resultado do comando
  
  Se a saída for null, o disco usa um Google-owned and managed key.
  
  Caso contrário, a saída é um objeto JSON.
  
  Se o objeto JSON contiver um campo denominado diskEncryptionKey, o disco está encriptado. O objeto diskEncryptionKey contém informações sobre se o disco está encriptado com CMEK ou CSEK:
  - Se a propriedade diskEncryptionKey.kmsKeyName estiver presente, o disco está encriptado com CMEK. A propriedade kmsKeyName indica o nome da chave específica usada para encriptar o disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se a propriedade diskEncryptionKey.sha256 estiver presente, o disco está encriptado com CSEK. A propriedade sha256 é o hash SHA-256 da chave de encriptação fornecida pelo cliente que protege o disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

REST

Faça um pedido POST ao método compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Substitua o seguinte:

PROJECT_ID: o ID do seu projeto.
ZONE: a zona onde o disco está localizado.
DISK_NAME: o nome do disco

Pedir resposta

Se a resposta for null, o disco usa um Google-owned and managed key.

Caso contrário, a resposta é um objeto JSON.

Se o objeto JSON contiver um campo denominado diskEncryptionKey, o disco está encriptado. O objeto diskEncryptionKey contém informações sobre se o disco está encriptado com CMEK ou CSEK:

Se a propriedade diskEncryptionKey.kmsKeyName estiver presente, o disco está encriptado com CMEK. A propriedade kmsKeyName indica o nome da chave específica usada para encriptar o disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se a propriedade diskEncryptionKey.sha256 estiver presente, o disco está encriptado com CSEK. A propriedade sha256 é o hash SHA-256 da chave de encriptação fornecida pelo cliente que protege o disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Se o disco usar CMEKs, pode encontrar informações detalhadas sobre a chave, o respetivo conjunto de chaves e a localização seguindo os passos em Ver chaves por projeto.

Se o disco usar CSEKs, contacte o administrador da sua organização para obter detalhes sobre a chave. Com a CMEK, também pode ver que recursos a chave protege com a monitorização da utilização da chave. Para mais informações, consulte o artigo Veja a utilização de chaves.

Modo confidencial para o Hyperdisk Balanced

Se usar a computação confidencial, pode estender a encriptação baseada em hardware aos seus volumes Hyperdisk Balanced ativando o modo confidencial.

O modo confidencial para os seus volumes Hyperdisk Balanced permite-lhe ativar segurança adicional sem ter de refatorar a aplicação. O modo confidencial é uma propriedade que pode especificar quando cria um novo volume equilibrado do Hyperdisk.

Os volumes equilibrados do Hyperdisk no modo confidencial só podem ser usados com VMs confidenciais.

Para criar um volume Hyperdisk Balanced no modo confidencial, siga os passos em Crie um volume Hyperdisk Balanced no modo confidencial.

Tipos de máquinas suportados para volumes Hyperdisk Balanced no modo confidencial

Os volumes equilibrados do Hyperdisk no modo confidencial só podem ser usados com VMs confidenciais que usam o tipo de máquina N2D.

Regiões suportadas para volumes Hyperdisk Balanced no modo confidencial

O modo confidencial para volumes Hyperdisk Balanced está disponível nas seguintes regiões:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitações para volumes Hyperdisk Balanced no modo confidencial

O Hyperdisk Extreme, o Hyperdisk Throughput, o Hyperdisk ML e o Hyperdisk Balanced de alta disponibilidade não suportam o modo confidencial.
Não é possível suspender nem retomar uma VM que use volumes Hyperdisk Balanced no modo confidencial.
Não pode usar pools de armazenamento Hyperdisk com volumes Hyperdisk Balanced no modo confidencial.
Não pode criar uma imagem de máquina nem uma imagem personalizada a partir de um volume Hyperdisk Balanced no modo confidencial.

O que se segue?

Para saber como automatizar a criação de CMEKs, consulte o artigo Cloud KMS com Autokey (pré-visualização).
Para saber como criar CMEKs, consulte o artigo Crie chaves de encriptação com o Cloud KMS.
Encriptar um disco com chaves de encriptação geridas pelo cliente (CMEKs).
Para criar um volume Hyperdisk Balanced no modo confidencial, consulte o artigo Crie um volume Hyperdisk Balanced no modo confidencial.
Saiba mais acerca do formato e da especificação das CSEKs.

Acerca da encriptação do disco Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.