Neste tópico, apresentamos uma visão geral das chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK oferece controle sobre as chaves que protegem seus dados em repouso no Google Cloud.
Criptografia padrão
Todos os dados armazenados no Google Cloud são criptografados em repouso usando os mesmos sistemas de gerenciamento de chaves com aumento da proteção usados pelo Google para os próprios dados criptografados. Esses sistemas de gerenciamento de chaves oferecem controles e auditoria rigorosos de acesso a chaves e criptografam dados do usuário em repouso usando padrões de criptografia AES-256. Nenhuma configuração ou gerenciamento é necessário. A criptografia padrão é a melhor escolha se sua organização não tiver requisitos específicos relacionados à conformidade ou à localidade de material criptográfico.
Para mais informações sobre a criptografia padrão no Google Cloud, consulte Criptografia padrão em restante.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
As chaves de criptografia gerenciadas pelo cliente são aquelas que você gerencia usando o Cloud KMS. Essa funcionalidade permite que você tenha mais controle sobre as chaves usadas para criptografar dados em repouso nos serviços compatíveis do Google Cloud. Para saber se um serviço oferece suporte a chaves CMEK, consulte a lista de serviços compatíveis. Quando você protege dados nos serviços do Google Cloud com CMEK, a chave CMEK está dentro do seu controle.
O uso de CMEK não fornece necessariamente mais segurança do que os mecanismos de criptografia padrão. Além disso, o uso da CMEK gera custos adicionais relacionados ao Cloud KMS. O uso da CMEK permite que você controle mais aspectos do ciclo de vida e gerenciamento das chaves, incluindo as seguintes capacidades:
- Desative as chaves usadas para proteger esses dados para impedir que o Google descriptografe dados em repouso.
- É possível proteger seus dados usando uma chave que atenda aos requisitos específicos de localidade ou residência.
- É possível alternar as chaves usadas para proteger seus dados de forma automática ou manual.
- É possível proteger seus dados usando diferentes tipos de chaves:
- Chaves de software geradas
- Chaves do Cloud HSM (protegidas por hardware)
- Chaves do gerenciador de chaves externas do Cloud (gerenciadas externamente)
- Chaves atuais que você importa para o Cloud KMS.
- É possível usar versões ilimitadas para cada chave. A maioria dos serviços não oferece suporte a versões de chave ilimitadas ao usar a criptografia padrão.
Integrações com CMEK
Quando um serviço oferece suporte a CMEK, diz-se que ele tem uma integração de CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço.
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. O processo é semelhante a este:
Crie um keyring do Cloud KMS ou escolha um atual. Ao criar o keyring, escolha um local geograficamente próximo aos recursos que você está protegendo. Ele pode estar no mesmo projeto que os recursos que você está protegendo ou em projetos diferentes. O uso de projetos diferentes oferece maior controle sobre as permissões do Identity and Access Management (IAM).
Crie ou importe uma chave do Cloud KMS no keyring escolhido. Essa é a chave CMEK.
Você concede o papel do IAM de criptografia/descriptografia do CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK para a conta de serviço do serviço.Configure o serviço para usar a chave CMEK para proteger os dados. Por exemplo, é possível configurar um cluster do GKE para usar CMEKs e proteger dados em repouso nos discos de inicialização dos nós.
Se a conta de serviço tiver o papel CyptoKey Encrypter/Decrypter, o serviço poderá criptografar e descriptografar os dados. Se você revogar esse papel ou desativar ou destruir a chave CMEK, esses dados não poderão ser acessados.
Conformidade com CMEK
Alguns serviços não armazenam dados diretamente ou apenas por um curto período, como uma etapa intermediária de uma operação de longa duração. Para esse tipo de carga de trabalho, não é prático criptografar cada gravação separadamente. Esses serviços não oferecem integrações de CMEK, mas podem oferecer conformidade com CMEK, muitas vezes sem necessidade de configuração.
Um serviço compatível com CMEK criptografa dados temporários usando uma chave temporária que só existe na memória e nunca é gravada no disco. Quando os dados temporários não são mais necessários, a chave temporária é removida da memória. Sem a chave temporária, os dados criptografados não podem ser acessados, mesmo que o recurso de armazenamento ainda exista.
Um serviço compatível com CMEK pode oferecer a capacidade de enviar a saída para um serviço com uma integração com CMEK, como o Cloud Storage.
Políticas da organização de CMEK
O Google Cloud oferece duas restrições de política da organização para garantir o uso de CMEKs em um recurso da organização. Essas restrições fornecem controles aos administradores da organização para exigir o uso de CMEK e limitar quais chaves do Cloud KMS são usadas para proteção de CMEK. Para saber mais, consulte Políticas da organização de CMEK.
A seguir
- Consulte a lista de serviços com integrações de CMEK.
- Consulte a lista de serviços compatíveis com CMEK.