Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulla crittografia del disco

Per impostazione predefinita, Compute Engine cripta i contenuti inattivi dei clienti. Compute Engine utilizza automaticamente Google-owned and Google-managed encryption keys per criptare i tuoi dati.

Tuttavia, puoi personalizzare la crittografia utilizzata da Compute Engine per le tue risorse fornendo chiavi di crittografia della chiave (KEK). Le chiavi di crittografia delle chiavi non criptano direttamente i dati, ma criptano il Google-owned and managed keys utilizzato da Compute Engine per criptare i dati.

Hai due opzioni per fornire le chiavi di crittografia delle chiavi:

Consigliato. Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con Compute Engine. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini crittografici. L'utilizzo di Cloud KMS ti consente inoltre di monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che Google, sei tu a possedere e gestire le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Puoi creare le chiavi CMEK manualmente o utilizzare Autokey di Cloud KMS per farle creare automaticamente per tuo conto.

Nella maggior parte dei casi, dopo aver creato un disco con crittografia CMEK, non è necessario specificare la chiave quando si lavora con il disco.
Puoi gestire le tue chiavi di crittografia delle chiavi al di fuori di Compute Engine e fornirle ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci risorse con crittografia CSEK, devi sempre specificare la chiave utilizzata per criptare la risorsa.

Per ulteriori informazioni su ciascun tipo di crittografia, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.

Per aggiungere un ulteriore livello di sicurezza ai dischi Hyperdisk bilanciati, attiva la modalità riservata. La modalità riservata aggiunge la crittografia basata su hardware ai dischi Hyperdisk bilanciati.

Tipi di dischi supportati

Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerte da Compute Engine.

I volumi Disco permanente supportanoGoogle-owned and managed keys, CMEK e CSEK.
Hyperdisk di Google Cloud supporta i CMEK e Google-owned and managed keys. Non puoi utilizzare le CSEK per criptare gli Hyperdisk.
I dischi SSD locali supportano soloGoogle-owned and managed keys. Non puoi utilizzare CSEK o CMEK per criptare i dischi SSD locali.
Le copie dei dischi e le immagini macchina supportano Google-owned and managed keys, i CMEK e i CSEK.
Le istantanee standard e le istantanee istantanee supportano Google-owned and managed keys, CMEK e CSEK.

CMEK con Autokey di Cloud KMS

Se scegli di utilizzare le chiavi Cloud KMS per proteggere le tue risorse Compute Engine, puoi creare le CMEK manualmente o utilizzare Autokey di Cloud KMS per creare le chiavi. Con Autokey, le chiavi normali e automatizzate vengono generate on demand nell'ambito della creazione delle risorse in Compute Engine. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono creati se non esistono già e vengono concessi i ruoli IAM (Identity and Access Management) richiesti. Per ulteriori informazioni, consulta la panoramica di Autokey.

Per scoprire come utilizzare le chiavi CMEK create da Cloud KMS Autokey per proteggere le risorse Compute Engine, consulta Utilizzare Autokey con le risorse Compute Engine.

Snapshot

Quando utilizzi Autokey per creare chiavi per proteggere le risorse Compute Engine, Autokey non crea nuove chiavi per gli snapshot. Devi criptare uno snapshot con la stessa chiave utilizzata per criptare il disco di origine. Se crei un spostamento utilizzando la console Google Cloud, la chiave di crittografia utilizzata dal disco viene applicata automaticamente allo snapshot. Se crei uno snapshot utilizzando gcloud CLI, Terraform o l'API Compute Engine, devi recuperare l'identificatore della risorsa della chiave utilizzata per criptare il disco e poi utilizzare questa chiave per criptare lo snapshot.

Criptare i dischi con chiavi di crittografia gestite dal cliente

Per saperne di più su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) create manualmente per criptare i dischi e altre risorse Compute Engine, consulta Proteggere le risorse utilizzando le chiavi Cloud KMS.

Crittografa i dischi con chiavi di crittografia fornite dal cliente

Per scoprire come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare i dischi e altre risorse Compute Engine, consulta Crittografia dei dischi con chiavi di crittografia fornite dal cliente.

Visualizzare le informazioni sulla crittografia di un disco

I dischi in Compute Engine sono criptati con uno dei seguenti tipi di chiavi di crittografia:

Google-owned and managed keys
Chiavi di crittografia gestite dal cliente (CMEK)
Chiavi di crittografia fornite dal cliente (CSEK)

Per impostazione predefinita, Compute Engine utilizza Google-owned and managed keys.

Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.

Console

Nella console Google Cloud, vai alla pagina Dischi.

Vai a Dischi
Nella colonna Nome, fai clic sul nome del disco.
Nella tabella Proprietà, la riga etichettata Crittografia indica il tipo di crittografia: Gestita da Google, Gestita dal cliente o Fornita dal cliente.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Utilizza il comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- ZONE: la zona in cui si trova il disco.
- DISK_NAME: il nome del disco.
  
  Output comando
  
  Se l'output è null, il disco utilizza un Google-owned and managed key.
  
  In caso contrario, l'output è un oggetto JSON.
  
  Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni sull'eventuale crittografia del disco con CMEK o CSEK:
  - Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è criptato con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

API

Invia una richiesta POST al metodo compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Sostituisci quanto segue:

PROJECT_ID: il tuo ID progetto.
ZONE: la zona in cui si trova il disco.
DISK_NAME: il nome del disco

Risposta alla richiesta

Se la risposta è null, il disco utilizza un Google-owned and managed key.

In caso contrario, la risposta è un oggetto JSON.

Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni sull'eventuale crittografia del disco con CMEK o CSEK:

Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è criptato con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Se il disco utilizza le CMEK, puoi trovare informazioni dettagliate sulla chiave, sul relativo mazzo di chiavi e sulla posizione seguendo i passaggi descritti in Visualizzare le chiavi per progetto.

Se il disco utilizza CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. Con le chiavi CMEK puoi anche vedere quali risorse vengono protette dalla chiave con il monitoraggio dell'utilizzo delle chiavi. Per ulteriori informazioni, consulta Visualizzare l'utilizzo delle chiavi.

Modalità riservata per Hyperdisk bilanciato

Se utilizzi Confidential Computing, puoi estendere la crittografia basata su hardware ai volumi Hyperdisk Equilibrato attivando la modalità Confidenziale.

La modalità riservata per i volumi Hyperdisk bilanciati ti consente di attivare una maggiore sicurezza senza dover eseguire il refactoring dell'applicazione. La modalità riservata è una proprietà che puoi specificare quando crei un nuovo volume Hyperdisk bilanciato.

I volumi Hyperdisk bilanciati in modalità riservata possono essere utilizzati solo con le VM riservate.

Per creare un volume Hyperdisk bilanciato in modalità riservata, consulta Attivare la modalità riservata per i volumi Hyperdisk bilanciati.

Tipi di macchine supportati per i volumi Hyperdisk bilanciati in modalità riservata

I volumi Hyperdisk bilanciati in modalità riservata possono essere utilizzati solo con le VM riservate che utilizzano il tipo di macchina N2D.

Regioni supportate per i volumi Hyperdisk Balanced in modalità riservata

La modalità riservata per i volumi bilanciati Hyperdisk è disponibile nelle seguenti regioni:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitazioni per i volumi Hyperdisk bilanciati in modalità riservata

Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML e Hyperdisk Balanced High Availability non supportano la modalità riservata.
Non puoi sospendere o riprendere una VM che utilizza volumi Hyperdisk Equilibrato in modalità riservata.
Non puoi utilizzare i pool di archiviazione Hyperdisk con volumi Hyperdisk bilanciati in modalità riservata.
Non puoi creare un'immagine della macchina o un'immagine personalizzata da un volume Hyperdisk bilanciato in modalità riservata.

Passaggi successivi

Per scoprire come automatizzare la creazione delle chiavi CMEK, consulta Cloud KMS con Autokey (anteprima).
Per scoprire come creare le CMEK, consulta Creare chiavi di crittografia con Cloud KMS.
Cripta un disco con le chiavi di crittografia gestite dal cliente (CMEK).
Per creare un volume Hyperdisk bilanciato in modalità riservata, consulta Attivare la modalità riservata per i volumi Hyperdisk bilanciati.
Scopri di più sul formato e sulle specifiche dei CSEK.