Neste documento, apresentamos uma visão geral do uso do Cloud Key Management Service (Cloud KMS) para chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). O uso da CMEK do Cloud KMS oferece propriedade e controle das chaves que protegem seus dados em repouso no Google Cloud.
Comparação entre CMEK e chaves de propriedade do Google e gerenciadas pelo Google
As chaves do Cloud KMS que você cria são gerenciadas pelo cliente. Os serviços do Google que usam suas chaves têm uma integração de CMEK. É possível gerenciar essas CMEKs diretamente ou por meio do Autokey do Cloud KMS (Pré-lançamento). Os fatores a seguir diferenciam a criptografia em repouso padrão do Google das chaves gerenciadas pelo cliente:
| Tipo de chave | Gerenciado pelo cliente com Autokey (pré-lançamento) | Gerenciada pelo cliente (manual) | Pertencente e gerenciado pelo Google (padrão do Google) |
|---|---|---|---|
| Pode ver os metadados da chave | Sim | Sim | Sim |
| Propriedade das chaves1 | Cliente | Cliente | |
| Pode gerenciar e controlar2 chaves3 | A criação e a atribuição de chaves são automatizadas. O controle manual do cliente é totalmente compatível. | Cliente, somente controle manual | |
| Atende aos requisitos regulatórios de chaves gerenciadas pelo cliente | Sim | Sim | No |
| Compartilhamento de chaves | Exclusivo para um cliente | Exclusivo para um cliente | Os dados de vários clientes geralmente usam a mesma chave de criptografia de chaves (KEK). |
| Controle da rotação de chaves | Sim | Sim | Não |
| Políticas da organização CMEK | Sim | Sim | No |
| Preços | Varia: para mais informações, consulte Preços. Nenhum custo adicional para o Autokey (pré-lançamento) | Varia: para mais informações, consulte Preços | Sem custo financeiro |
1 Em termos legais, o proprietário da chave indica quem detém os direitos dela. As chaves que pertencem ao cliente têm acesso restrito ou não pelo Google.
2Controle de chaves significa definir controles sobre o tipo de chaves e como elas são usadas, detectar variações e planejar ações corretivas, se necessário. Você pode controlar suas chaves, mas delegar o gerenciamento delas a terceiros.
3O gerenciamento de chaves inclui os seguintes recursos:
- Criar chaves.
- Escolha o nível de proteção das chaves.
- Atribua autoridade para o gerenciamento das chaves.
- Controle o acesso às chaves.
- Controle o uso das chaves.
- Defina e modifique o período de rotação das chaves ou acione uma rotação de chaves.
- Mudar o status da chave.
- Destrua as versões de chave.
Criptografia padrão com chaves de propriedade e gerenciadas pelo Google
Todos os dados armazenados no Google Cloud são criptografados em repouso usando os mesmos sistemas de gerenciamento de chaves com aumento da proteção que o Google usa em nossos próprios dados criptografados. Esses sistemas de gerenciamento de chaves fornecem auditoria e controles estritos de acesso a chave e criptografam os dados do usuário em repouso usando o padrão de criptografia AES-256. O Google é proprietário e controla as chaves usadas para criptografar seus dados. Não é possível visualizar ou gerenciar essas chaves nem analisar os registros de uso delas. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves (KEK). Nenhuma configuração, configuração ou gerenciamento é necessário.
Para mais informações sobre a criptografia padrão no Google Cloud, consulte Criptografia padrão em repouso.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
As chaves de criptografia gerenciadas pelo cliente são suas. Esse recurso permite maior controle sobre as chaves usadas para criptografar dados em repouso nos serviços compatíveis do Google Cloud e fornece um limite criptográfico em torno dos dados. É possível gerenciar CMEKs diretamente no Cloud KMS ou automatizar o provisionamento e a atribuição usando o Autokey do Cloud KMS (Pré-lançamento).
Os serviços com suporte a CMEK têm uma integração de CMEK. A integração de CMEK é uma tecnologia de criptografia do lado do servidor que pode ser usada no lugar da criptografia padrão do Google. Depois que a CMEK é configurada, as operações para criptografar e descriptografar recursos são processadas pelo agente de serviço de recursos. Como os serviços integrados à CMEK lidam com o acesso ao recurso criptografado, a criptografia e a descriptografia podem ocorrer de maneira transparente, sem o esforço do usuário final. A experiência de acessar recursos é semelhante a usar a criptografia padrão do Google. Para mais informações sobre a integração da CMEK, consulte O que um serviço integrado à CMEK oferece.
É possível usar versões ilimitadas para cada chave.
Para saber se um serviço oferece suporte a chaves CMEK, consulte a lista de serviços compatíveis.
O uso do Cloud KMS tem custos relacionados ao número de versões de chave e operações criptográficas com essas versões. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service. Não é necessário compra ou compromisso mínimo.
Chaves de criptografia gerenciadas pelo cliente (CMEK) com o Cloud KMS Autokey
O Cloud KMS Autokey simplifica a criação e o gerenciamento de chaves CMEK automatizando o provisionamento e a atribuição. Com o Autokey, os keyrings e as chaves são gerados sob demanda como parte da criação de recursos, e os agentes de serviço que usam as chaves para operações de criptografia e descriptografia recebem automaticamente os papéis necessários do Identity and Access Management (IAM).
O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente com os padrões do setor e as práticas recomendadas para segurança de dados, incluindo alinhamento de localização de dados de chaves, especificidade de chave, nível de proteção do módulo de segurança de hardware (HSM, na sigla em inglês), cronograma de rotação de chaves e separação de tarefas. O Autokey cria chaves que seguem as diretrizes gerais e as diretrizes específicas para o tipo de recurso dos serviços do Google Cloud que se integram ao Autokey. As chaves criadas com o Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM (Cloud HSM) com as mesmas configurações, incluindo suporte a requisitos regulatórios para chaves gerenciadas pelo cliente. Para saber mais sobre o Autokey, consulte Visão geral do Autokey.
Quando usar chaves gerenciadas pelo cliente
É possível usar chaves CMEK criadas manualmente ou pelo Autokey em serviços compatíveis para ajudar você a atingir os seguintes objetivos:
Tenha suas chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Gere ou mantenha seu material de chave fora do Google Cloud.
Defina a política sobre onde as chaves precisam ser usadas.
excluir seletivamente dados protegidos por suas chaves no caso de desligamento ou para corrigir eventos de segurança (trituração criptográfica).
Use chaves exclusivas de um cliente, estabelecendo um limite criptográfico em torno dos seus dados.
Crie chaves exclusivas de um cliente para estabelecer um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e a dados às chaves de criptografia.
Cumprir regulamentos atuais ou futuros que exigem qualquer um desses objetivos.
O que um serviço integrado de CMEK oferece
Assim como a criptografia padrão do Google, a CMEK é uma criptografia de envelope de dados do cliente do lado do servidor, simétrica. A diferença da criptografia padrão do Google é que a proteção de CMEK usa uma chave controlada por um cliente. As chaves CMEK criadas manual ou automaticamente usando o Autokey funcionam da mesma maneira durante a integração do serviço.
Os serviços do Cloud que têm uma integração de CMEK usam chaves criadas no Cloud KMS para proteger seus recursos.
Os serviços integrados ao Cloud KMS usam criptografia simétrica.
O nível de proteção da chave está sob seu controle.
Todas as chaves são AES-GCM de 256 bits.
O material da chave nunca sai dos limites do sistema do Cloud KMS.
As chaves simétricas são usadas para criptografia e descriptografia no modelo de criptografia de envelope.
Os serviços integrados ao CMEK rastreiam chaves e recursos
Os recursos protegidos pela CMEK têm um campo de metadados com o nome da chave que os criptografa. Geralmente, isso fica visível para o cliente nos metadados do recurso.
O rastreamento de chaves informa quais recursos uma chave protege para serviços compatíveis com o rastreamento de chaves.
As chaves podem ser listadas por projeto.
Os serviços integrados ao CMEK lidam com o acesso aos recursos
O principal que cria ou visualiza recursos no serviço integrado ao CMEK
não exige a função
Criptografador/Descriptografador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o
recurso.
Cada recurso do projeto tem uma conta de serviço especial chamada agente de serviço que executa criptografia e descriptografia com chaves gerenciadas pelo cliente. Depois de conceder ao agente de serviço acesso a uma CMEK, esse agente de serviço usará essa chave para proteger os recursos de sua escolha.
Quando um solicitante quer acessar um recurso criptografado com uma chave gerenciada pelo cliente, o agente de serviço tenta descriptografar automaticamente o recurso solicitado. Se o agente de serviço tiver permissão para descriptografar usando a chave e você não desativou ou destruiu a chave, o agente de serviço fornecerá criptografia e descriptografia do uso da chave. Caso contrário, a solicitação falhará.
Nenhum outro acesso do solicitante é necessário e, como o agente de serviço processa a criptografia e a descriptografia em segundo plano, a experiência do usuário para acessar recursos é semelhante à criptografia padrão do Google.
Como usar o Autokey para CMEK
Para cada pasta em que você quer usar o Autokey, há um processo de configuração único. Escolha uma pasta para trabalhar com o suporte ao Autokey e um projeto de chave associado em que o Autokey armazena as chaves dessa pasta. Para mais informações sobre como ativar o Autokey, consulte Ativar o Autokey do Cloud KMS.
Em comparação com a criação manual de chaves CMEK, o Autokey não requer as seguintes etapas de configuração:
Os administradores de chaves não precisam criar manualmente keyrings ou chaves nem atribuir privilégios aos agentes de serviço que criptografam e descriptografam dados. O agente de serviço do Cloud KMS realiza essas ações em nome dele.
Os desenvolvedores não precisam planejar com antecedência para solicitar chaves antes da criação de recursos. Eles podem solicitar chaves do Autokey conforme necessário, enquanto ainda preserva a separação de tarefas.
Ao usar o Autokey, há apenas uma etapa: o desenvolvedor solicita as chaves como parte da criação de recursos. As chaves retornadas são consistentes para o tipo de recurso pretendido.
As chaves CMEK criadas com o Autokey se comportam da mesma maneira que as criadas manualmente para os seguintes recursos:
Os serviços integrados às CMEKs se comportam da mesma forma.
O administrador da chave pode continuar monitorando todas as chaves criadas e usadas no painel do Cloud KMS e no rastreamento de uso de chaves.
As políticas da organização funcionam da mesma forma com o Autokey e com as chaves CMEK criadas manualmente.
Para uma visão geral do Autokey, consulte Visão geral do Autokey. Para mais informações sobre como criar recursos protegidos por CMEK com o Autokey, consulte Criar recursos protegidos usando o Cloud KMS Autokey.
Como criar chaves CMEK manualmente
Quando você cria manualmente suas chaves CMEK, keyrings, chaves e locais de recursos precisam ser planejados e criados antes da criação de recursos. É possível usar suas chaves para proteger os recursos.
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. Alguns serviços, como o GKE, têm várias integrações de CMEK para proteger diferentes tipos de dados relacionados ao serviço. Siga estas etapas:
Crie um keyring do Cloud KMS ou escolha um atual. Ao criar o keyring, escolha um local geograficamente próximo aos recursos que você está protegendo. O keyring pode estar no mesmo projeto que os recursos que você está protegendo ou em projetos diferentes. O uso de projetos diferentes oferece maior controle sobre os papéis do IAM e ajuda a permitir a separação de tarefas.
Você cria ou importa uma chave do Cloud KMS no keyring escolhido. Essa chave é a CMEK.
Você concede o papel do IAM de criptografador/descriptografador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK à conta de serviço do serviço.Ao criar um recurso, configure-o para usar a chave CMEK. Por exemplo, é possível configurar um cluster do GKE para usar a CMEK e proteger dados em repouso nos discos de inicialização dos nós.
Para que um solicitante tenha acesso aos dados, ele não precisa de acesso direto à chave CMEK.
Enquanto o agente de serviço tiver o papel Criptografador/Descriptografador do CryptoKey, o serviço poderá criptografar e descriptografar os dados. Se você revogar esse papel ou desativar ou destruir a chave CMEK, esses dados não poderão ser acessados.
Conformidade com CMEK
Alguns serviços têm integrações com CMEKs e permitem que você gerencie as chaves por conta própria. Alguns serviços oferecem conformidade com CMEK, o que significa que os dados temporários e a chave temporária nunca são gravados no disco. Para uma lista completa de serviços integrados e em conformidade, consulte Serviços compatíveis com CMEK.
Monitoramento do uso de chaves
O rastreamento de uso de chaves mostra os recursos do Google Cloud na sua organização que estão protegidos pelas chaves CMEK. Com o rastreamento de uso de chaves, é possível ver os recursos protegidos, os projetos e os produtos exclusivos do Google Cloud que usam uma chave específica, além de saber se essas chaves estão em uso. Para mais informações sobre o rastreamento do uso das chaves, consulte Ver o uso da chave.
Políticas da organização de CMEK
O Google Cloud tem restrições de políticas da organização para garantir o uso consistente de CMEK em um recurso da organização. Essas restrições fornecem controles para que os administradores da organização exijam o uso de CMEK e especifiquem limitações e controles nas chaves do Cloud KMS usadas para proteção de CMEK, incluindo:
Limites em quais chaves do Cloud KMS são usadas para proteção de CMEK
Limites dos níveis de proteção de chaves permitidos
Limites do local das chaves CMEK
Controles para destruição da versão de chave
Para mais informações sobre as políticas da organização para CMEK, consulte Políticas da organização de CMEK.
A seguir
- Consulte a lista de serviços com integrações de CMEK.
- Confira a lista de serviços compatíveis com CMEK.
- Consulte a lista de tipos de recurso que podem ter rastreamento de uso de chaves.
- Consulte a lista de serviços compatíveis com o Autokey.