Criptare i dati con chiavi di crittografia gestite dal cliente

Questa pagina mostra come criptare i dati nelle istanze e nei backup di Filestore utilizzando le tue chiavi di crittografia.

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google Cloud. Se hai bisogno di un maggiore controllo sulle chiavi che proteggono i tuoi dati, puoi utilizzare chiavi di crittografia gestite dal cliente per Filestore.

Opzioni per le chiavi di crittografia gestite dal cliente

Cloud Key Management Service supporta chiavi di crittografia gestite dal cliente (CMEK) che possono essere archiviate come chiavi software, come chiavi hardware in un cluster HSM o esternamente in Cloud External Key Manager (Cloud EKM). Sono disponibili diverse opzioni.

Per ulteriori informazioni, consulta Cloud Key Management Service.

Cloud External Key Manager

Il supporto di Cloud EKM per Filestore è ora in disponibilità generale (GA). Per ulteriori informazioni, consulta Cloud External Key Manager.

Interruzioni del servizio EKM

Per impostazione predefinita, le chiavi esterne sono gestite da una terza parte. In queste circostanze, Google Cloud non è responsabile della disponibilità delle chiavi.

Se Cloud Key Management Service (Cloud KMS) viene avvisato dal gestore di chiavi esterno (EKM) che una chiave esterna non è raggiungibile, gli utenti ricevono una notifica ekm_key_unreachable_detected. Per un massimo di un'ora, gli utenti hanno accesso limitato alle operazioni sull'istanza. Dopo un'ora, se lo stato della chiave non è stato modificato, vengono applicate le seguenti azioni:

  • La chiave è disabilitata.
  • Tutte le operazioni di crittografia e decriptazione non vanno a buon fine.
  • L'istanza Filestore è sospesa.

In alcuni casi, ad esempio un evento non pianificato come il riavvio di una VM, l'accesso all'istanza potrebbe subire interruzioni prima di un'ora.

Le notifiche relative alle chiavi non raggiungibili possono essere visualizzate dalla pagina dei dettagli dell'istanza Filestore:

Vai alla pagina Istanze Filestore

Gli utenti ricevono inoltre notifiche ekm_key_unreachable_detected su una qualsiasi delle seguenti operazioni se eseguita entro un'ora dalla prima notifica:

Livelli supportati

La seguente tabella mostra i livelli di servizio di Filestore che supportano le chiavi di crittografia gestite dal cliente:

Livello Supporto CMEK
HDD base No
SSD base No
A livello di zona con un intervallo di capacità inferiore
A livello di zona con un intervallo di capacità più elevato (precedentemente SSD ad alta scalabilità)
Enterprise

Crea un keyring e una chiave da utilizzare con l'istanza

Il keyring e la chiave possono trovarsi in un progetto diverso dall'istanza Filestore, ma devono trovarsi nella stessa località. Se hai già un keyring e una chiave Cloud KMS che vuoi utilizzare con Filestore, vai alla sezione successiva. In caso contrario, segui le istruzioni per la creazione di chiavi di crittografia simmetriche per creare un keyring e una chiave.

Concedi l'autorizzazione di accesso alla chiave all'account di servizio Filestore

Prima di poter creare un'istanza Filestore che utilizza una chiave di crittografia gestita dal cliente, l'account di servizio Filestore deve avere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).

  1. La prima volta che crei un'istanza Filestore nel progetto, viene creato un account di servizio Filestore. Se non hai ancora un account di servizio Filestore, esegui questo comando services identity create:

    gcloud beta services identity create --service=file.googleapis.com --project=INSTANCE_PROJECT_NUMBER_OR_ID

    Sostituisci INSTANCE_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto in cui vuoi creare l'istanza Filestore.

  2. Assegna all'account di servizio Filestore il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS eseguendo il comando projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding KMS_PROJECT_NUMBER_OR_ID \
    --member serviceAccount:service-INSTANCE_PROJECT_NUMBER@cloud-filer.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KMS_PROJECT_NUMBER_OR_ID con l'ID o il numero di progetto che contiene la chiave Cloud KMS che vuoi utilizzare.
    • INSTANCE_PROJECT_NUMBER con il numero di progetto (non l'ID) del progetto in cui vuoi creare l'istanza Filestore.

Crea un'istanza che utilizza la chiave Cloud KMS

Console Google Cloud

Per creare un'istanza che utilizza la chiave Cloud KMS per la crittografia dei dati:

  1. Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic su Crea istanza

  3. Seleziona un livello di istanza che supporti le CMEK e compila tutti gli altri campi obbligatori e facoltativi come faresti normalmente.

  4. Fai clic su Mostra opzioni avanzate.

  5. Seleziona la casella di controllo Utilizza una chiave di crittografia gestita dal cliente (CMEK).

  6. Seleziona la chiave Cloud KMS da utilizzare per l'istanza.

  7. Fai clic su Crea.

Interfaccia a riga di comando gcloud

Per creare un'istanza Filestore che utilizzi la tua chiave Cloud KMS per la crittografia dei dati, specifica il flag --kms-key nel comando filestore instances create:

gcloud filestore instances create nfs-server \
    --tier=<var>TIER</var> \
    --location=us-central1 \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="default" \
    --kms-key=KMS_KEY

Sostituisci quanto segue:

  • TIER con un livello Filestore che supporta chiavi di crittografia gestite dal cliente.
  • KMS_KEY con il nome completo della chiave Cloud KMS che vuoi utilizzare. In alternativa, puoi specificare ciascun argomento separatamente nel formato:
--kms-key=KMS_KEY : --kms-keyring=KEY_RING --kms-location=KMS_REGION --kms-project=KMS_PROJECT_NUMBER_OR_ID

Sostituisci quanto segue:

  • KMS_KEY con il nome della chiave Cloud KMS.
  • KMS_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto in cui viene creata la chiave.
  • KMS_KEY_RING con il nome del keyring.
  • KMS_REGION con la regione del keyring. Il keyring e l'istanza devono trovarsi nella stessa regione.

Visualizzare un elenco di chiavi

Per ottenere un elenco di chiavi, esegui il comando kms keys list:

gcloud kms keys list \
    --project=KMS_PROJECT_NUMBER_OR_ID \
    --keyring=KEY_RING \
    --location=KMS_REGION

Sostituisci quanto segue:

  • KMS_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto in cui viene creata la chiave.
  • KEY_RING con il nome del keyring.
  • KMS_REGION con la regione del keyring.

La colonna Nome dell'output fornisce il nome completo delle chiavi esistenti. Ad esempio:

projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key

Ottieni informazioni chiave dell'istanza

Le sezioni seguenti spiegano come ottenere le informazioni sulla chiave dell'istanza.

Elenca le istanze che utilizzano una determinata chiave Cloud KMS

Puoi elencare le istanze Filestore che utilizzano una chiave specifica eseguendo il comando instances list:

gcloud filestore instances list --filter="kmsKeyName=KMS_KEY"

Sostituisci KMS_KEY con il nome completo della chiave che vuoi utilizzare.

Esempio:

gcloud filestore instances list \
    --filter="kmsKeyName=projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key"

L'output sarà simile al seguente:

INSTANCE_NAME LOCATION    TIER       CAPACITY_GB FILE_SHARE_NAME IP_ADDRESS   STATE CREATE_TIME
nfs-server    us-central1 ENTERPRISE 1024        vol1            10.166.108.2 READY 2021-08-12T11:38:56

Recupero delle informazioni sulla chiave Cloud KMS per un'istanza

Utilizza uno dei seguenti metodi per ottenere le informazioni sulla chiave Cloud KMS per un'istanza Filestore:

Console Google Cloud

  1. Vai alla pagina delle istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic sull'ID istanza per aprire la pagina dei dettagli dell'istanza.

  3. Fai clic sulla scheda Panoramica.

Se l'istanza cripta i dati utilizzando una chiave Cloud KMS anziché una chiave di crittografia gestita da Google, il nome della chiave viene visualizzato nel campo Chiave di crittografia.

Interfaccia a riga di comando gcloud

Esegui questo comando instances describe:

gcloud filestore instances describe INSTANCE_ID \
   --location=INSTANCE_LOCATION

Sostituisci quanto segue:

  • INSTANCE_ID con l'ID dell'istanza Filestore di cui vuoi ottenere informazioni.
  • INSTANCE_LOCATION con la regione o la zona in cui si trova l'istanza.

L'output sarà simile al seguente:

createTime: '2021-08-12T11:38:56.851157387Z'
fileShares:
- capacityGb: '1024'
  name: vol1
kmsKeyName: projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
labels:
  key: val
name: projects/consumer-project/locations/us-central1/instances/nfs-server
networks:
- ipAddresses:
  - 10.0.100.2
  modes:
  - MODE_IPV4
  network: network
  reservedIpRange: 10.166.108.0/23
state: READY
tier: ENTERPRISE

Disabilita o elimina una chiave Cloud KMS utilizzata da un'istanza

Se viene rilevata una modifica dello stato della chiave Cloud KMS, l'istanza smette automaticamente di gestire i dati. Tra gli esempi di tali prodotti o servizi figurano:

  • Disabilitazione di una chiave o di una versione della chiave.
  • Eliminazione di una chiave o della versione della chiave.
  • Modifica delle autorizzazioni di una chiave.

In genere questo rilevamento avviene entro pochi minuti dalla modifica dello stato della chiave, ma in alcuni casi può richiedere fino a un'ora.

Quando un'istanza viene arrestata, tutti gli accessi ai dati della condivisione file e a eventuali snapshot vengono bloccati. Le istanze arrestate continuano a essere fatturate finché non vengono eliminate.

Avvio di un'istanza arrestata

Se un'istanza Filestore arrestata utilizza una chiave Cloud KMS per la crittografia dei dati, tutte le versioni della chiave della chiave devono essere abilitate o ripristinate prima di riavviare l'istanza.

Una volta abilitato lo stato della chiave Cloud KMS, l'istanza rileverà automaticamente le modifiche alla chiave e verrà riavviata senza alcuna azione aggiuntiva, in genere entro 20 minuti.

Supporto CMEK per le catene di backup

Puoi utilizzare CMEK per criptare non solo le istanze Filestore, ma anche le catene di backup.

Le catene di backup si trovano in un unico bucket e in una singola regione. Per archiviare e criptare i dati di backup in una regione esterna all'istanza di origine, gli utenti devono applicare due CMEK separate: una per l'istanza e una per la catena di backup. Si applicano alcuni requisiti:

  • Una CMEK deve trovarsi nella stessa regione della catena di backup criptata.

  • Una singola CMEK viene applicata al bucket in cui è archiviata la catena di backup e non può essere combinata o sostituita.

  • Per creare un backup utilizzando una nuova CMEK, è necessario prima eliminare l'intera catena di backup esistente.

Il supporto CMEK non è disponibile per i backup di livello base.

Per ulteriori informazioni, consulta la sezione Backup.

Passaggi successivi