En este documento, se proporciona una descripción general del uso de Cloud Key Management Service (Cloud KMS) para claves de encriptación administradas por el cliente (CMEK). Usar CMEK de Cloud KMS te brinda la propiedad y el control de las claves que protegen tus datos en reposo en en Google Cloud.
Comparación entre las CMEK y las claves que posee y las que administra Google
Las claves de Cloud KMS que creas son claves administradas por el cliente. Google se dice que los servicios que usan tus claves tienen una integración con CMEK. Puedes administrar estas CMEK directamente Autokey de Cloud KMS (Vista previa). Los siguientes factores diferencian la encriptación en reposo predeterminada de Google de claves administradas por el cliente:
| Tipo de clave | Administrada por el cliente con Autokey (vista previa) | Administrada por el cliente (manual) | Propiedad de Google y administrada por Google (configuración predeterminada de Google) |
|---|---|---|---|
| Puede ver metadatos clave | Sí | Sí | Sí |
| Propiedad de las claves1 | Cliente | Cliente | |
| Puede administrar y controlar2 teclas3 | La creación y asignación de claves es automática. El control manual del cliente es es completamente compatible. | Cliente, solo control manual | |
| Compatible con los requisitos regulatorios de claves administradas por el cliente | Sí | Sí | No |
| Uso compartido de claves | Único para un cliente | Único para un cliente | Por lo general, los datos de varios clientes usan la misma clave de encriptación de claves (KEK). |
| Control de la rotación de claves | Sí | Sí | No. |
| Políticas de la organización de CMEK | Sí | Sí | No |
| Precios | Varía. Para obtener más información, consulta la sección Precios. Sin costo adicional para Autokey (Vista previa) | Varía. Para obtener más información, consulta la sección Precios. | Gratis |
1 En términos legales, el propietario de la clave indica quién es el titular de los derechos. a la clave. Las claves que son propiedad del cliente tienen un acceso estrictamente restringido o ningún acceso de Google.
2 El control de las teclas implica establecer controles sobre el tipo de teclas y cómo las claves, detectar variaciones y planificar acciones correctivas si es necesario. Puedes controlar tus claves, pero debes delegar su administración a un tercero.
3 La administración de las claves incluye las siguientes funciones:
- Crea claves.
- Elige el nivel de protección de las claves.
- Asigna autoridad para la administración de las claves.
- Controla el acceso a las claves.
- Controla el uso de las claves.
- Configura y modifica el período de rotación de claves, o bien activa una rotación de claves.
- Cambiar el estado de la tecla
- Destruye versiones de claves.
Encriptación predeterminada con claves que son propiedad de Google y que administra Google
Todos los datos almacenados en Google Cloud se encriptan en reposo con el mismo de administración de claves endurecidos que Google usa para sus propios datos encriptados. Estos sistemas de administración de claves proporcionan auditorías y controles estrictos de acceso a claves, y encripta los datos en reposo del usuario con el estándar de encriptación AES-256. Propiedad de Google y controla las claves que se usan para encriptar tus datos. No puedes verlos ni administrarlos claves o revisar los registros de uso de claves. Los datos de varios clientes pueden usar la misma la clave de encriptación de claves (KEK). No se requiere configuración, ni administración.
Para obtener más información sobre la encriptación predeterminada en Google Cloud, consulta Encriptación predeterminada en resto.
Claves de encriptación administradas por el cliente (CMEK)
Las claves de encriptación administradas por el cliente son tus propias claves de encriptación. Esta te permite tener más control sobre las claves que se usan para encriptar los datos en reposo en servicios compatibles de Google Cloud y proporciona límite criptográfico en torno a tus datos. Puedes administrar las CMEK directamente en Cloud KMS o automatizar el aprovisionamiento y la asignación usando Autokey de Cloud KMS (Vista previa).
Los servicios que admiten CMEK tienen una integración con CMEK. La integración de CMEK es un tecnología de encriptación del servidor que puedas usar en lugar de la predeterminada encriptación. Después de configurar CMEK, las operaciones para encriptar y desencriptar recursos controlados por el agente de servicio de recursos. Debido a que las CMEK integradas administran el acceso al recurso encriptado, la encriptación y la desencriptación pueden realizarse con transparencia, sin el esfuerzo del usuario final. La experiencia de acceder a los recursos es similar al uso de la encriptación predeterminada de Google. Para obtener más información sobre la integración de CMEK, consulta Qué proporciona un servicio integrado con CMEK.
Puedes usar una cantidad ilimitada de versiones para cada clave.
Para saber si un servicio admite claves CMEK, consulta la lista de servicios admitidos.
El uso de Cloud KMS genera costos relacionados con la cantidad de versiones de claves y las operaciones criptográficas con esas versiones de claves. Para obtener más información consulta los precios de Cloud Key Management Service. Sin cantidad mínima de compra o un compromiso de permanencia del cliente.
Claves de encriptación administradas por el cliente (CMEK) con Autokey de Cloud KMS
Autokey de Cloud KMS simplifica la creación y administración de claves CMEK mediante la automatización el aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves generadas a pedido como parte de la creación de recursos, y los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación reciben automáticamente el los roles de Identity and Access Management (IAM) necesarios.
Usar claves generadas por Autokey puede ayudarte a alinear de manera coherente estándares de la industria y prácticas recomendadas para la seguridad de los datos, lo que incluye alineación de ubicación de datos clave, especificidad clave, módulo de seguridad de hardware (HSM) el nivel de protección, el programa de rotación de claves y la separación de obligaciones. Autokey crea claves que siguen los lineamientos generales y lineamientos específicos del tipo de recurso para los servicios de Google Cloud que integrar en Autokey. Claves creadas con la función de Autokey de forma idéntica a otras claves de Cloud HSM (Cloud HSM) con la misma configuración, incluida la compatibilidad con requisitos reglamentarios para claves administradas por el cliente. Para más información sobre Autokey, consulta Descripción general de Autokey.
Cuándo usar claves administradas por el cliente
Puedes usar claves CMEK o claves CMEK creadas manualmente por Autokey en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:
Sé el propietario de tus claves de encriptación.
Controlar y administrar tus claves de encriptación, incluida la elección de ubicación, nivel de protección, creación, control de acceso, rotación, uso y destrucción.
Genera o mantén tu material de claves fuera de Google Cloud.
Establece una política sobre dónde se deben usar tus claves.
Borrar de forma selectiva los datos protegidos por tus claves en el caso de desvinculación o para solucionar eventos de seguridad (destrucción criptográfica).
Usa claves que sean únicas para cada cliente y establezca un límite criptográfico para tus datos.
Crea claves que sean exclusivas de un cliente para establecer una clave criptográfica límite en torno a tus datos.
Registrar el acceso administrativo y a los datos en la encriptación claves.
Cumplir con las reglamentaciones actuales o futuras que requieran alguno de estos objetivos
Qué proporciona un servicio integrado con CMEK
Al igual que la encriptación predeterminada de Google, las CMEK son simétricas, y la encriptación de datos del cliente. La diferencia con la encriptación predeterminada de Google es que la protección de CMEK usa una clave que controla un cliente. Se crearon las claves CMEK de forma manual o automática con Autokey operan de la misma manera durante la integración del servicio.
Servicios en la nube que tienen una integración con CMEK usar las claves que creas en Cloud KMS para proteger tus recursos.
Los servicios integrados en Cloud KMS usan encriptación.
El nivel de protección de la clave se encuentra dentro del que tú controlas.
Todas las claves son AES-GCM de 256 bits.
El material de claves nunca sale del límite del sistema de Cloud KMS.
Tus claves simétricas se usan para encriptar y desencriptar contenido en el sobre de encriptación.
Los servicios integrados con CMEK hacen un seguimiento de las claves y los recursos
Los recursos protegidos por CMEK tienen un campo de metadatos que contiene el nombre del que la encripta. Por lo general, el cliente podrá verlo en la metadatos de recursos.
El seguimiento de claves te indica los recursos que protege para servicios que admiten el seguimiento de claves.
Las claves se pueden enumerar por proyecto.
Los servicios integrados con CMEK controlan el acceso a los recursos
La principal que crea o ve recursos en el servicio integrado con CMEK
no requiere
Encriptador y desencriptador de CryptoKey de Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) para las CMEK que se usan para proteger el
recurso.
Cada recurso de proyecto tiene una cuenta de servicio especial denominada agente de servicio que realiza la encriptación y desencriptación con claves administradas por el cliente. Una vez que al agente de servicio a una CMEK, el agente de servicio la usará para proteger los recursos de tu es tu mejor opción.
Cuando un solicitante quiere acceder a un recurso encriptado con una cuenta el agente de servicio intenta desencriptar el recurso solicitado automáticamente. Si el agente de servicio tiene permiso para desencriptar usando la clave, y tú no inhabilita o destruye la clave, el agente de servicio proporciona las funciones el uso de la clave. De lo contrario, la solicitud fallará.
No se requiere acceso de solicitante adicional y, como el agente de servicio controla la encriptación y desencriptación en segundo plano, la experiencia del usuario para acceder a los recursos es similar al uso de la encriptación predeterminada de Google.
Usa Autokey para CMEK
Para cada carpeta en la que quieras usar Autokey, hay un vínculo de configuración de Terraform. Puedes elegir una carpeta con la que trabajar Compatibilidad con Autokey y un proyecto de clave asociado en el que Autokey almacena las claves de esa carpeta. Para obtener más información sobre cómo habilitar Autokey, consulta Habilita Autokey de Cloud KMS.
En comparación con la creación manual de claves CMEK, Autokey no requiere sigue estos pasos de configuración:
Los administradores de claves no necesitan crear claves o llaveros de claves, ni asignar privilegios a los agentes de servicio que encriptan y desencriptan los datos. El El agente de servicio de Cloud KMS realiza estas acciones en su nombre.
Los desarrolladores no necesitan planificar con anticipación para solicitar las claves antes de usar los recursos. de la creación de cuentas de servicio. Pueden solicitar las claves a Autokey según sea necesario. a la vez que preservan separación de obligaciones.
Cuando se usa Autokey, solo hay un paso: el desarrollador solicita el claves como parte de la creación de recursos. Las claves que se muestran son coherentes para el el tipo de recurso deseado.
Las claves CMEK creadas con Autokey se comportan de la misma manera que claves creadas de forma manual para las siguientes funciones:
Los servicios integrados con CMEK se comportan de la misma manera.
El administrador de claves puede seguir supervisando todas las claves creadas y usadas a través del panel de Cloud KMS y seguimiento del uso de claves.
Las políticas de la organización funcionan de la misma manera que lo hacen con Autokey con claves CMEK creadas manualmente.
Para obtener una descripción general de Autokey, consulta Descripción general de Autokey. Más información sobre la creación de recursos protegidos por CMEK con Autokey, consulta Crea recursos protegidos con Autokey de Cloud KMS.
Crea claves CMEK de forma manual
Cuando creas de forma manual tus claves CMEK, llaveros de claves, claves y ubicaciones de recursos se deben planificar y crear antes de la creación de recursos. Luego, puedes usar tus claves para proteger los recursos.
Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Algunos servicios, como GKE, tener varias integraciones de CMEK para proteger diferentes tipos de datos relacionados al servicio. Puedes esperar seguir pasos similares a los siguientes:
Crea un llavero de claves de Cloud KMS o elige uno existente. Cuándo cuando creas tu llavero de claves, elige una ubicación que esté geográficamente cerca del los recursos que proteges. El llavero de claves puede estar en el mismo proyecto que recursos que proteges o en proyectos diferentes. Con diferentes te da un mayor control sobre los roles de IAM y te ayuda Admiten la separación de obligaciones.
Crea o importa una clave de Cloud KMS en el llavero de claves elegido. Esta es la CMEK.
Otorgas la IAM de encriptador/desencriptador de CryptoKey puesto (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio para el servicio.Cuando crees un recurso, configúralo para que use la clave CMEK. Para Por ejemplo, puedes configurar un clúster de GKE para usar CMEK para proteger los datos en reposo en los discos de arranque de la nodos.
Para que un solicitante obtenga acceso a los datos, no necesita acceso directo al clave CMEK.
Siempre y cuando el agente de servicio tenga el Encriptador/Desencriptador de CryptoKey el servicio puede encriptar y desencriptar sus datos. Si revocas este rol si inhabilitas o destruyes la clave CMEK, no se podrá acceder a esos datos.
Cumplimiento de CMEK
Algunos servicios tienen integraciones con CMEK y te permiten administrar claves por tu cuenta. En cambio, algunos servicios ofrecen cumplimiento con CMEK, es decir, que los datos y las claves efímeras nunca se escriben en el disco. Para obtener una lista completa de las aplicaciones servicios de cumplimiento, consulta Servicios compatibles con CMEK.
Seguimiento del uso de claves
El seguimiento de uso de claves muestra los recursos de Google Cloud dentro de organización que están protegidas por tus claves CMEK. Con el seguimiento del uso de claves, puedan ver los recursos, los proyectos y los productos únicos de Google Cloud protegidos que usan una clave específica y si las claves están en uso. Para obtener más información seguimiento del uso de claves, consulta Ver uso de claves
Políticas de la organización de CMEK
Google Cloud ofrece restricciones en las políticas de la organización para garantizar el uso coherente de CMEK en todo el recurso de la organización. Estas restricciones proporcionan controles a los Administradores de la organización para requerir uso de CMEK y especificar Limitaciones y controles de las claves de Cloud KMS que se usan para CMEK protección, lo que incluye:
Límites en las claves de Cloud KMS que se usan para la protección con CMEK
Límites en los niveles de protección de claves permitidos
Límites en la ubicación de las claves CMEK
Controles para la destrucción de la versión de clave
Si quieres obtener más información sobre las políticas de la organización para CMEK, consulta Políticas de la organización de CMEK
¿Qué sigue?
- Consulta la lista de servicios con CMEK. integraciones.
- Consulta la lista de sistemas de seguridad compatibles con CMEK Google Cloud.
- Consulta la lista de tipos de recursos que pueden hacer un seguimiento del uso de claves.
- Consulta la lista de servicios admitidos por Autokey