Questo documento fornisce una panoramica sull'utilizzo di Cloud Key Management Service (Cloud KMS) per e le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo di CMEK di Cloud KMS ti offre la proprietà e il controllo delle chiavi che proteggono i dati at-rest in Google Cloud.
Confronto tra CMEK e chiavi di proprietà di Google e gestite da Google
Le chiavi Cloud KMS che crei sono gestite dal cliente. Google che i servizi che utilizzano le tue chiavi hanno un'integrazione CMEK. Puoi e gestire queste CMEK direttamente o tramite Cloud KMS Autokey (anteprima). I seguenti fattori differenziano la crittografia at-rest predefinita di Google gestite dal cliente:
Tipo di token | Gestita dal cliente con Autokey (anteprima) | Gestita dal cliente (manuale) | Di proprietà di Google e gestita da Google (valore predefinito da Google) |
---|---|---|---|
Può visualizzare i metadati della chiave | Sì | Sì | Sì |
Proprietà delle chiavi1 | Cliente | Cliente | |
Può gestire e controllare2 i tasti3 | La creazione e l'assegnazione delle chiavi sono automatizzate. Il controllo manuale del cliente è completamente supportato. | Cliente, solo controllo manuale | |
Supporta i requisiti normativi per le chiavi gestite dal cliente | Sì | Sì | No |
Condivisione della chiave | Unicità per un cliente | Unicità per un cliente | I dati di più clienti in genere utilizzano la stessa chiave di crittografia della chiave (KEK). |
Controllo della rotazione delle chiavi | Sì | Sì | No |
Criteri dell'organizzazione CMEK | Sì | Sì | No |
Registrare l'accesso amministrativo e ai dati alle chiavi di crittografia | Sì | Sì | No |
Prezzi | Varia; per ulteriori informazioni, consulta la sezione Prezzi. Nessun costo aggiuntivo per Autokey (Anteprima) | Varia; per ulteriori informazioni, consulta la sezione Prezzi | Gratis |
1 In termini legali, il proprietario della chiave indica chi detiene i diritti alla chiave. Le chiavi di proprietà del cliente hanno un accesso molto limitato o nessun accesso da parte di Google.
2Controllo dei tasti significa impostare i controlli sul tipo di tasti e su come le chiavi utilizzate, rilevando la varianza e pianificando azioni correttive se necessario. Puoi controllare le chiavi, ma delegare la gestione delle chiavi a una terza parte.
3La gestione delle chiavi include le seguenti funzionalità:
- Creare chiavi.
- Scegli il livello di protezione delle chiavi.
- Assegna l'autorità per la gestione delle chiavi.
- Controlla l'accesso alle chiavi.
- Controllare l'utilizzo delle chiavi.
- Imposta e modifica il periodo di rotazione delle chiavi o attiva la rotazione delle chiavi.
- Modifica lo stato della chiave.
- Elimina le versioni della chiave.
Crittografia predefinita con chiavi di proprietà e gestite da Google
Tutti i dati archiviati in Google Cloud vengono criptati at-rest utilizzando lo stesso sistemi di gestione delle chiavi rafforzati che Google utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi offrono controlli e audit rigorosi per l'accesso alle chiavi, e crittografare i dati at-rest degli utenti utilizzando lo standard di crittografia AES-256. Google possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire questi chiave o di rivedere i log di utilizzo delle chiavi. I dati di più clienti possono utilizzare lo stesso chiave di crittografia della chiave (KEK). Non è richiesta alcuna impostazione, configurazione o gestione.
Per saperne di più sulla crittografia predefinita in Google Cloud, consulta Crittografia predefinita in riposo.
Chiavi di crittografia gestite dal cliente (CMEK)
Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati e fornisce un confine crittografico attorno ai tuoi dati. Puoi gestire le CMEK direttamente a Cloud KMS o automatizzare il provisioning e l'assegnazione Cloud KMS Autokey (anteprima).
I servizi che supportano CMEK dispongono di un'integrazione CMEK. L'integrazione CMEK è un la tecnologia di crittografia lato server che puoi usare al posto di quella predefinita di Google la crittografia. Dopo aver configurato CMEK, le operazioni per criptare e decriptare e le risorse vengono gestite dall'agente di servizio delle risorse. Poiché l'integrazione con CMEK servizi gestiscono l'accesso alla risorsa criptata, alla crittografia e alla decrittografia possono avvenire in modo trasparente, senza sforzi da parte dell'utente finale. L'esperienza per accedere alle risorse è un processo simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sull'integrazione CMEK, vedi Cosa offre un servizio integrato con CMEK.
Puoi utilizzare versioni illimitate di ogni chiave.
Per sapere se un servizio supporta le chiavi CMEK, consulta le elenco dei servizi supportati.
L'utilizzo di Cloud KMS comporta costi correlati al numero di versioni della chiave e le operazioni crittografiche con queste versioni della chiave. Per ulteriori informazioni consulta i prezzi di Cloud Key Management Service. Nessun acquisto minimo o è obbligatorio.
Chiavi di crittografia gestite dal cliente (CMEK) con Cloud KMS Autokey
Cloud KMS Autokey semplifica la creazione e la gestione delle chiavi CMEK automatizzando il provisioning e l'assegnazione. Con Autokey, i keyring e le chiavi vengono generati on demand nell'ambito della creazione delle risorse, e gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decriptazione i ruoli IAM (Identity and Access Management) necessari.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui l'allineamento della posizione delle chiavi e dei dati, la specificità delle chiavi, il livello di protezione del modulo di sicurezza hardware (HSM), la pianificazione della rotazione delle chiavi e la separazione dei compiti. Autokey crea chiavi conformi sia alle linee guida generali sia linee guida specifiche per il tipo di risorsa per i servizi Google Cloud l'integrazione con Autokey. Chiavi create utilizzando la funzione Autokey in modo identico ad altre chiavi Cloud HSM (Cloud HSM) con le stesse impostazioni. incluso il supporto per i requisiti normativi per le chiavi gestite dal cliente. Per ulteriori informazioni su Autokey, vedi Panoramica di Autokey.
Quando utilizzare le chiavi gestite dal cliente
Puoi utilizzare le chiavi CMEK create manualmente o da Autokey in compatibili con Google Cloud per aiutarti a raggiungere i seguenti obiettivi:
Possiedi le chiavi di crittografia.
Controlla e gestisci le tue chiavi di crittografia, inclusa la scelta della posizione, livello di protezione, creazione, controllo dell'accesso, rotazione, utilizzo ed eliminazione.
Genera o gestisci il materiale della chiave al di fuori di Google Cloud.
Imposta i criteri relativi alla posizione in cui devono essere utilizzate le chiavi.
Eliminare selettivamente i dati protetti dalle chiavi in caso di offboarding o per correggere gli eventi di sicurezza (crypto-shredding).
Crea e utilizza chiavi univoche per un cliente, stabilendo un confine crittografico attorno ai tuoi dati.
Registra l'accesso amministrativo e ai dati alla crittografia chiave.
Rispettare le normative attuali o future che richiedono uno di questi obiettivi.
Cosa offre un servizio integrato con CMEK
Come la crittografia predefinita di Google, la CMEK è simmetrica, envelope e lato server la crittografia dei dati dei clienti. La differenza dalla crittografia predefinita di Google è che la protezione CMEK utilizza una chiave controllata dal cliente. Chiavi CMEK create manualmente o automaticamente usando Autokey funzionano allo stesso modo durante e integrazione tra i servizi.
Servizi cloud con un'integrazione CMEK utilizza le chiavi che crei in Cloud KMS per proteggere le tue risorse.
I servizi integrati con Cloud KMS utilizzano in modo simmetrico la crittografia.
Il livello di protezione del token rientra nel controllo.
Tutte le chiavi sono in formato AES-GCM a 256 bit.
Il materiale della chiave non esce mai dal confine del sistema Cloud KMS.
Le chiavi simmetriche vengono utilizzate per criptare e decriptare la busta un modello di crittografia.
I servizi integrati con CMEK monitora chiavi e risorse
Le risorse protette da CMEK hanno un campo di metadati che include il nome chiave che la cripta. In genere, ciò sarà visibile al cliente metadati delle risorse.
Il monitoraggio delle chiavi indica quali risorse costituiscono protegge, per i servizi che supportano il tracciamento delle chiavi.
Le chiavi possono essere elencate per progetto.
I servizi integrati con CMEK gestiscono l'accesso alle risorse
L'entità che crea o visualizza le risorse nel servizio integrato con CMEK
non richiede
Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter
) per la CMEK usata per proteggere
risorsa.
Ogni risorsa di progetto ha un account di servizio speciale agente di servizio che esegue la crittografia e la decriptazione con chiavi gestite dal cliente. Dopo aver accordato all'agente di servizio l'accesso a una chiave CMEK, l'agente di servizio utilizzerà la chiave per proteggere le risorse di tua scelta.
Quando un richiedente vuole accedere a una risorsa criptata con un servizio gestito dal cliente l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio è autorizzato a decriptare utilizzando la chiave e non hai disabilitato o eliminato la chiave, l'agente di servizio fornisce la crittografia e la decriptazione l'uso della chiave. In caso contrario, la richiesta non va a buon fine.
Non è necessario alcun accesso aggiuntivo da parte del richiedente e poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per accedere alle risorse è un processo simile all'utilizzo della crittografia predefinita di Google.
Utilizzo di Autokey per CMEK
Per ogni cartella in cui vuoi utilizzare Autokey, è necessaria una procedura di configurazione una tantum. Scegli una cartella in cui lavorare Supporto di Autokey e un progetto chiave associato in cui Autokey e archiviare le chiavi per quella cartella. Per ulteriori informazioni sull'attivazione Autokey, vedi Abilitare Cloud KMS Autokey.
Rispetto alla creazione manuale delle chiavi CMEK, Autokey non richiede i seguenti passaggi di configurazione:
Gli amministratori delle chiavi non devono creare manualmente keyring o chiavi né assegnarli i privilegi agli agenti di servizio che criptano e decriptano i dati. L'agente di servizio Cloud KMS esegue queste azioni per loro conto.
Gli sviluppatori non devono pianificare in anticipo per richiedere le chiavi prima della risorsa per la creazione di contenuti. Possono richiedere le chiavi da Autokey in base alle esigenze, mantenendo al contempo la separazione dei compiti.
Quando usi Autokey, c'è solo un passaggio: lo sviluppatore richiede lo durante la creazione delle risorse. Le chiavi restituite sono coerenti per il tipo di risorsa desiderato.
Le chiavi CMEK create con Autokey si comportano come le chiavi create manualmente per le seguenti funzionalità:
I servizi integrati con CMEK si comportano allo stesso modo.
L'amministratore delle chiavi può continuare a monitorare tutte le chiavi create e utilizzate tramite la dashboard di Cloud KMS monitoraggio dell'utilizzo delle chiavi.
I criteri dell'organizzazione funzionano allo stesso modo di Autokey con chiavi CMEK create manualmente.
Per una panoramica di Autokey, vedi Panoramica di Autokey. Per ulteriori informazioni sulla creazione di risorse protette da CMEK con Autokey, consulta Crea risorse protette utilizzando Cloud KMS Autokey.
Creazione manuale di chiavi CMEK
Quando crei manualmente chiavi, keyring, chiavi e località delle risorse CMEK devono essere pianificati e creati prima della creazione delle risorse. Puoi quindi utilizzare le tue chiavi per proteggere le risorse.
Per i passaggi esatti per abilitare CMEK, consulta la documentazione relativa al dal servizio Google Cloud. Alcuni servizi, come GKE, Avere più integrazioni CMEK per proteggere diversi tipi di dati correlati. al servizio. Puoi aspettarti di seguire una procedura simile alla seguente:
Crea un keyring di Cloud KMS o scegline uno esistente. Quando durante la creazione del keyring, scegli una posizione geograficamente vicina le risorse che stai proteggendo. Il keyring può trovarsi nello stesso progetto che stai proteggendo o in progetti diversi. L'utilizzo di diverse i progetti offrono un maggiore controllo sui ruoli IAM e supportano la separazione dei compiti.
Creerai o importerai una chiave Cloud KMS nel keyring scelto. Questo è la chiave CMEK.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) alla chiave CMEK per l'account di servizio del servizio.Quando crei una risorsa, configurala in modo che utilizzi la chiave CMEK. Per Ad esempio, puoi configurare un cluster GKE per usare CMEK per proteggere i dati inattivi sui dischi di avvio nodi.
Affinché il richiedente possa accedere ai dati, non ha bisogno dell'accesso diretto Chiave CMEK.
Finché l'agente di servizio dispone del autore della crittografia/decrittografia CryptoKey il ruolo, il servizio può criptare e decriptare i suoi dati. Se revochi questo ruolo, Se disabiliti o elimini la chiave CMEK, non sarà possibile accedere a questi dati.
Conformità CMEK
Alcuni servizi dispongono di integrazioni CMEK e ti consentono di gestire le chiavi in autonomia. Alcuni servizi offrono invece la conformità CMEK, ovvero i dati temporanei e le chiavi temporanee non vengono mai scritte su disco. Per un elenco completo dei servizi integrati conformi alle norme, consulta Servizi compatibili con CMEK.
Monitoraggio dell'utilizzo delle chiavi
Il monitoraggio dell'utilizzo delle chiavi mostra le risorse Google Cloud all'interno del tuo un'organizzazione protetta dalle tue chiavi CMEK. Con il monitoraggio dell'utilizzo delle chiavi, puoi visualizzare le risorse, i progetti e i prodotti Google Cloud unici protetti che utilizzano una chiave specifica e se le chiavi sono in uso. Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, consulta Visualizzare l'utilizzo delle chiavi.
Criteri dell'organizzazione CMEK
Google Cloud offre vincoli dei criteri dell'organizzazione per contribuire a garantire un utilizzo coerente delle CMEK in una risorsa dell'organizzazione. Questi vincoli offrono controlli agli amministratori dell'organizzazione per richiedono l'utilizzo di CMEK e per specificare Limitazioni e controlli sulle chiavi Cloud KMS utilizzate per CMEK della protezione dei dati, tra cui:
Limiti relativi alle chiavi Cloud KMS utilizzate per la protezione CMEK
Limiti dei livelli di protezione delle chiavi consentiti
Limiti relativi alla posizione delle chiavi CMEK
Controlli per l'eliminazione della versione della chiave
Per saperne di più sui criteri dell'organizzazione per CMEK, vedi Criteri dell'organizzazione CMEK.
Passaggi successivi
- Consulta l'elenco dei servizi con integrazioni CMEK.
- Consulta l'elenco di applicazioni compatibili con CMEK Google Cloud.
- Consulta l'elenco di tipi di risorse che possono il monitoraggio dell'uso delle chiavi.
- Consulta l'elenco dei servizi supportati da Autokey.