Chaves de encriptação geridas pelo cliente (CMEK)

Este documento oferece uma vista geral da utilização do Cloud Key Management Service (Cloud KMS) para chaves de encriptação geridas pelo cliente (CMEK). A utilização da CMEK do Cloud KMS dá-lhe a propriedade e o controlo das chaves que protegem os seus dados em repouso noGoogle Cloud.

Comparação entre CMEK e Google-owned and Google-managed encryption keys

As chaves do Cloud KMS que cria são chaves geridas pelo cliente. Diz-se que osGoogle Cloud serviços que usam as suas chaves têm uma integração CMEK. Pode gerir estas CMEKs diretamente ou através do Cloud KMS Autokey. Os seguintes fatores diferenciam a encriptação em repouso predefinida do Google Clouddas chaves geridas pelo cliente:

Tipo de chave Chave automática do Cloud KMS Gerido pelo cliente do Cloud KMS (manual) Google-owned and Google-managed encryption key (Encriptação predefinida da Google)

Pode ver os principais metadados

Sim

Sim

Não

Propriedade das chaves1

Cliente

Cliente

Google

Pode gerir2 e controlar3 chaves

A criação e a atribuição de chaves são automáticas. O controlo manual do cliente é totalmente compatível.

Cliente, apenas controlo manual

Google

Compatível com os requisitos regulamentares para chaves geridas pelo cliente

Sim

Sim

Não

Partilha de chaves

Único para um cliente

Único para um cliente

Normalmente, os dados de vários clientes são protegidos por chaves de encriptação de chaves (KEKs) de encriptação de chaves partilhadas.

Controlo da rotação de chaves

Sim

Sim

Não

Políticas de organização CMEK

Sim

Sim

 Não

Registe o acesso administrativo e aos dados às chaves de encriptação

Sim

Sim

Não

Separação lógica de dados através da encriptação

Sim

Sim

Não

Preços

Varia

 Varia

Grátis

1 O proprietário da chave indica quem detém os direitos da chave. As chaves que detém têm acesso rigorosamente restrito ou nenhum acesso por parte da Google.

2 A gestão de chaves inclui as seguintes tarefas:

  • Crie chaves.
  • Escolha o nível de proteção das chaves.
  • Atribuir autoridade para a gestão das chaves.
  • Controle o acesso às chaves.
  • Controlar a utilização de chaves.
  • Defina e modifique o período de rotação das chaves ou acione uma rotação das chaves.
  • Altere o estado da chave.
  • Destrua versões de chaves.

3 O controlo das teclas significa definir controlos sobre o tipo de teclas e como são usadas, detetar variações e planear ações corretivas, se necessário. Pode controlar as suas chaves, mas delegar a gestão das chaves a terceiros.

Encriptação predefinida com Google-owned and Google-managed encryption keys

Todos os dados armazenados no Google Cloud são encriptados em repouso através dos mesmos sistemas de gestão de chaves reforçados que a Google Cloud usa para os respetivos dados encriptados. Estes sistemas de gestão de chaves oferecem controlos de acesso às chaves rigorosos e auditoria, e encriptam os dados do utilizador em repouso através da norma de encriptação AES-256. Google Cloud é proprietário e controla as chaves usadas para encriptar os seus dados. Não pode ver nem gerir estas chaves, nem rever os registos de utilização das chaves. Os dados de vários clientes podem usar a mesma chave de encriptação de chaves (KEK). Não é necessária nenhuma configuração nem gestão.

Para mais informações sobre a encriptação predefinida no Google Cloud, consulte o artigo Encriptação predefinida em repouso.

Chaves de encriptação geridas pelo cliente (CMEK)

As chaves de encriptação geridas pelo cliente são chaves de encriptação que lhe pertencem. Esta capacidade permite-lhe ter maior controlo sobre as chaves usadas para encriptar dados em repouso nos serviços suportados e fornece um limite criptográfico em torno dos seus dados. Google Cloud Pode gerir as CMEKs diretamente no Cloud KMS ou automatizar o aprovisionamento e a atribuição através da chave automática do Cloud KMS.

Os serviços que suportam a CMEK têm uma integração da CMEK. A integração da CMEK é uma tecnologia de encriptação do lado do servidor que pode usar em vez da encriptação predefinida doGoogle Cloud. Após a configuração da CMEK, as operações para encriptar e desencriptar recursos são processadas pelo agente do serviço de recursos. Uma vez que os serviços integrados com CMEK gerem o acesso ao recurso encriptado, a encriptação e a desencriptação podem ocorrer de forma transparente, sem esforço do utilizador final. A experiência de aceder aos recursos é semelhante à utilização da encriptação predefinida do Google Cloud. Para mais informações sobre a integração das CMEK, consulte o artigo O que um serviço integrado com CMEK oferece.

Pode usar versões de chaves ilimitadas para cada chave.

Para saber se um serviço suporta CMEKs, consulte a lista de serviços suportados.

A utilização do Cloud KMS incorre em custos relacionados com o número de versões de chaves e operações criptográficas com essas versões de chaves. Para mais informações sobre os preços, consulte os preços do Cloud Key Management Service. Não é necessário um compromisso ou uma compra mínima.

Chaves de encriptação geridas pelo cliente (CMEK) com a chave automática do Cloud KMS

A chave automática do Cloud KMS simplifica a criação e a gestão de CMEKs através da automatização do aprovisionamento e da atribuição. Com o Autokey, os conjuntos de chaves e as chaves são gerados a pedido como parte da criação de recursos, e os agentes de serviço que usam as chaves para operações de encriptação e desencriptação recebem automaticamente as funções de gestão de identidades e acessos (IAM) necessárias.

A utilização de chaves geradas pelo Autokey pode ajudar a alinhar-se consistentemente com as normas da indústria e as práticas recomendadas para a segurança de dados, incluindo o alinhamento da localização dos dados das chaves, a especificidade das chaves, o nível de proteção do módulo de segurança de hardware (HSM), o agendamento da rotação das chaves e a separação de funções. O Autokey cria chaves que seguem as diretrizes gerais e as diretrizes específicas do tipo de recurso para os Google Cloud serviços que se integram com o Autokey. As chaves criadas através da função Autokey funcionam de forma idêntica a outras chaves do HSM na nuvem com as mesmas definições, incluindo o suporte para requisitos regulamentares para chaves geridas pelo cliente. Para mais informações sobre o Autokey, consulte o artigo Vista geral do Autokey.

Quando usar chaves de encriptação geridas pelo cliente

Pode usar CMEKs criadas manualmente ou chaves criadas pelo Autokey em serviços compatíveis para ajudar a alcançar os seguintes objetivos:

  • Seja proprietário das suas chaves de encriptação.

  • Controlar e gerir as suas chaves de encriptação, incluindo a escolha da localização, o nível de proteção, a criação, o controlo de acesso, a rotação, a utilização e a destruição.

  • Gerar material de chaves no Cloud KMS ou importar material de chaves que é mantido fora do Google Cloud.

  • Defina a política relativamente ao local onde as chaves têm de ser usadas.

  • Eliminar seletivamente dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (destruição criptográfica).

  • Crie e use chaves exclusivas de um cliente, estabelecendo um limite criptográfico em torno dos seus dados.

  • Registe o acesso administrativo e aos dados às chaves de encriptação.

  • Cumprir os regulamentos atuais ou futuros que exijam qualquer um destes objetivos.

O que um serviço integrado com CMEK oferece

Tal como a encriptação predefinida do Google, a CMEK é uma encriptação de envelope simétrica do lado do servidor dos dados do cliente. Google CloudA diferença em relação à encriptação predefinida é que a proteção CMEK usa uma chave controlada pelo cliente. Google Cloud As CMEKs criadas manual ou automaticamente através da Autokey funcionam da mesma forma durante a integração de serviços.

  • Os serviços na nuvem que têm uma integração da CMEK usam chaves que cria no Cloud KMS para proteger os seus recursos.

  • Os serviços integrados com o Cloud KMS usam encriptação simétrica.

  • Escolhe o nível de proteção da chave.

  • Todas as chaves são AES-GCM de 256 bits.

  • O material da chave nunca sai do limite do sistema do Cloud KMS.

  • As suas chaves simétricas são usadas para encriptar e desencriptar no modelo de encriptação de envelope.

Os serviços integrados com CMEK monitorizam chaves e recursos

  • Os recursos protegidos pela CMEK têm um campo de metadados que contém o nome da chave que os encripta. Geralmente, isto é visível para o cliente nos metadados do recurso.

  • O acompanhamento de chaves indica-lhe que recursos uma chave protege, para serviços que suportam o acompanhamento de chaves.

  • As chaves podem ser apresentadas por projeto.

Os serviços integrados com CMEK processam o acesso aos recursos

O principal que cria ou vê recursos no serviço integrado com a CMEK não requer a função Encriptador/desencriptador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o recurso.

Cada recurso de projeto tem uma conta de serviço especial denominada agente de serviço que realiza a encriptação e a desencriptação com chaves geridas pelo cliente. Depois de conceder ao agente de serviço acesso a uma CMEK, esse agente de serviço usa essa chave para proteger os recursos da sua escolha.

Quando um requerente quer aceder a um recurso encriptado com uma chave gerida pelo cliente, o agente de serviço tenta desencriptar automaticamente o recurso pedido. Se o agente do serviço tiver autorização para desencriptar através da chave e não tiver desativado nem destruído a chave, o agente do serviço permite a utilização da chave para encriptar e desencriptar. Caso contrário, o pedido falha.

Não é necessário acesso adicional do requerente e, uma vez que o agente de serviço processa a encriptação e a desencriptação em segundo plano, a experiência do utilizador para aceder aos recursos é semelhante à utilização da encriptação predefinida do Google Cloud.

Usar o Autokey para CMEK

Para cada pasta onde quer usar o Autokey, existe um processo de configuração único. Pode escolher uma pasta para trabalhar com o suporte do Autokey e um projeto de chave associado onde o Autokey armazena as chaves dessa pasta. Para mais informações sobre a ativação da chave automática, consulte o artigo Ative a chave automática do Cloud KMS.

Em comparação com a criação manual de CMEKs, o Autokey não requer os seguintes passos de configuração:

  • Os administradores de chaves não precisam de criar manualmente conjuntos de chaves nem chaves, nem atribuir privilégios aos agentes de serviço que encriptam e desencriptam dados. O agente de serviço do Cloud KMS realiza estas ações em seu nome.

  • Os programadores não precisam de planear com antecedência para pedir chaves antes da criação de recursos. Podem pedir chaves ao Autokey conforme necessário, mantendo a separação de funções.

Quando usa a chave automática, existe apenas um passo: o programador pede as chaves como parte da criação de recursos. As chaves devolvidas são consistentes para o tipo de recurso pretendido.

As CMEKs criadas com a Autokey comportam-se da mesma forma que as chaves criadas manualmente para as seguintes funcionalidades:

  • Os serviços integrados com CMEK comportam-se da mesma forma.

  • O administrador de chaves pode continuar a monitorizar todas as chaves criadas e usadas através do painel de controlo do Cloud KMS e do acompanhamento da utilização de chaves.

  • As políticas de organização funcionam da mesma forma com o Autokey como com as CMEKs criadas manualmente.

Para uma vista geral do Autokey, consulte o artigo Vista geral do Autokey. Para mais informações sobre a criação de recursos protegidos por CMEK com a chave automática, consulte o artigo Crie recursos protegidos com a chave automática do Cloud KMS.

Criação manual de CMEKs

Quando cria manualmente as CMEKs, tem de planear e criar anéis de chaves, chaves e localizações de recursos antes de poder criar recursos protegidos. Em seguida, pode usar as suas chaves para proteger os recursos.

Para ver os passos exatos para ativar as CMEK, consulte a documentação doGoogle Cloud serviço relevante. Alguns serviços, como o GKE, têm várias integrações de CMEK para proteger diferentes tipos de dados relacionados com o serviço. Pode esperar seguir passos semelhantes aos seguintes:

  1. Crie um conjunto de chaves do Cloud KMS ou escolha um conjunto de chaves existente. Quando criar o seu conjunto de chaves, escolha uma localização geograficamente próxima dos recursos que está a proteger. O anel de chaves pode estar no mesmo projeto que os recursos que está a proteger ou em projetos diferentes. A utilização de diferentes projetos dá-lhe um maior controlo sobre as funções de IAM e ajuda a suportar a separação de funções.

  2. Cria ou importa uma chave do Cloud KMS no conjunto de chaves escolhido. Esta chave é a CMEK.

  3. Concede a função de encriptar/desencriptar do CryptoKey do IAM (roles/cloudkms.cryptoKeyEncrypterDecrypter) na CMEK à conta de serviço do serviço.

  4. Quando criar um recurso, configure-o para usar a CMEK. Por exemplo, pode configurar uma tabela do BigQuery para proteger os dados em repouso na tabela.

Para um requerente obter acesso aos dados, não precisa de acesso direto à CMEK.

Desde que o agente de serviço tenha a função CryptoKey Encrypter/Decrypter, o serviço pode encriptar e desencriptar os respetivos dados. Se revogar esta função ou se desativar ou destruir a CMEK, não é possível aceder a esses dados.

Conformidade com a CMEK

Alguns serviços têm integrações de CMEK e permitem-lhe gerir as chaves. Alguns serviços oferecem, em alternativa, conformidade com a CMEK, o que significa que os dados temporários e a chave efémera nunca são escritos no disco. Para ver uma lista completa dos serviços integrados e em conformidade, consulte os serviços compatíveis com CMEK.

Acompanhamento da utilização de chaves

A monitorização da utilização de chaves mostra os Google Cloud recursos na sua organização que estão protegidos pelas suas CMEKs. Através da monitorização da utilização de chaves, pode ver os recursos protegidos, os projetos e os Google Cloud produtos únicos que usam uma chave específica, bem como se as chaves estão em utilização. Para mais informações sobre o acompanhamento da utilização de chaves, consulte o artigo Veja a utilização de chaves

Políticas da organização de CMEK

Google Cloud oferece restrições de políticas da organização para ajudar a garantir uma utilização consistente da CMEK num recurso da organização. Estas restrições oferecem controlos aos administradores da organização para exigir a utilização de CMEK e especificar limitações e controlos nas chaves do Cloud KMS usadas para proteção CMEK, incluindo o seguinte:

O que se segue?