En este documento, se proporciona una descripción general del uso de Cloud Key Management Service (Cloud KMS) para las claves de encriptación administradas por el cliente (CMEK). El uso de CMEK de Cloud KMS te brinda la propiedad y el control de las claves que protegen tus datos en reposo en Google Cloud.
Comparación entre CMEK y las claves que pertenecen a Google y las que administra Google
Las claves de Cloud KMS que crees serán claves administradas por el cliente. Se dice que los servicios de Google que usan tus claves tienen una integración de CMEK. Puedes administrar estas CMEK directamente o mediante la Clave automática de Cloud KMS (Vista previa). Los siguientes factores diferencian la encriptación en reposo predeterminada de Google de las claves administradas por el cliente:
| Tipo de clave | Administrada por el cliente con Autokey (Vista previa) | Administrada por el cliente (manual) | Propiedad de Google y administrada por Google (opción predeterminada de Google) |
|---|---|---|---|
| Puede ver los metadatos de la clave | Sí | Sí | Sí |
| Propiedad de las claves1 | Cliente | Cliente | |
| Puede administrar y controlar2 teclas.3 | La creación y asignación de claves es automática. El control manual del cliente cuenta con asistencia completa. | Cliente, solo con control manual | |
| Compatible con los requisitos regulatorios de las claves administradas por el cliente | Sí | Sí | No |
| Uso compartido de claves | Único para un cliente | Único para un cliente | Por lo general, los datos de varios clientes usan la misma clave de encriptación de claves (KEK). |
| Control de rotación de claves | Sí | Sí | No. |
| Políticas de la organización de CMEK | Sí | Sí | No |
| Precios | Varía. Para obtener más información, consulta Precios. No hay costo adicional para la clave automática (versión preliminar). | Varía. Para obtener más información, consulta Precios. | Gratis |
1 En términos legales, el propietario de la clave indica quién tiene los derechos de la clave. Las claves que son propiedad del cliente tienen un acceso restringido de manera estricta o no es de Google.
2El control de claves implica configurar controles sobre el tipo y la forma en que se usan, detectar la variación y planificar las medidas correctivas, si es necesario. Puedes controlar tus claves, pero delegar su administración a un tercero.
3La administración de claves incluye las siguientes funciones:
- Crea claves.
- Elige el nivel de protección de las claves.
- Asigna autoridad para administrar las claves.
- Controla el acceso a las claves.
- Controlar el uso de claves.
- Configura y modifica el período de rotación de las claves o activa una rotación de claves.
- Cambia el estado de la clave.
- Destruye las versiones de claves.
Encriptación predeterminada con claves que pertenecen a Google y son administradas por Google
Todos los datos almacenados en Google Cloud se encriptan en reposo con los mismos sistemas de administración de claves endurecidos que Google usa para sus propios datos encriptados. Estos sistemas de administración de claves proporcionan controles y auditorías estrictos de acceso a claves, y encriptan los datos del usuario en reposo mediante el estándar de encriptación AES-256. Google es propietario y controla las claves que se usan para encriptar tus datos. No puedes ver ni administrar estas claves, ni revisar los registros de uso de la clave. Los datos de varios clientes pueden usar la misma clave de encriptación de claves (KEK). No se requiere configuración ni administración.
Para obtener más información sobre la encriptación predeterminada en Google Cloud, consulta Encriptación en reposo predeterminada.
Claves de encriptación administradas por el cliente (CMEK)
Las claves de encriptación administradas por el cliente son claves de encriptación de tu propiedad. Esta función te permite tener un mayor control sobre las claves que se usan para encriptar datos en reposo dentro de los servicios compatibles de Google Cloud y proporciona un límite criptográfico alrededor de tus datos. Puedes administrar CMEK directamente en Cloud KMS o automatizar el aprovisionamiento y la asignación mediante la Clave automática de Cloud KMS (Vista previa).
Los servicios compatibles con CMEK tienen una integración de CMEK. La integración de CMEK es una tecnología de encriptación del lado del servidor que puedes usar en lugar de la encriptación predeterminada de Google. Después de configurar CMEK, el agente de servicio de recursos controla las operaciones para encriptar y desencriptar recursos. Debido a que los servicios integrados con CMEK controlan el acceso al recurso encriptado, la encriptación y desencriptación se pueden realizar con transparencia, sin esfuerzo del usuario final. La experiencia de acceder a recursos es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre la integración de CMEK, consulta Qué proporciona un servicio integrado con CMEK.
Puedes usar un número ilimitado de versiones de claves para cada clave.
Para saber si un servicio admite claves CMEK, consulta la lista de servicios compatibles.
El uso de Cloud KMS genera costos relacionados con la cantidad de versiones de claves y las operaciones criptográficas con esas versiones. Para obtener más información sobre los precios, consulta Precios de Cloud Key Management Service. No se requiere un compromiso ni una compra mínima.
Claves de encriptación administradas por el cliente (CMEK) con clave automática de Cloud KMS
La clave automática de Cloud KMS simplifica la creación y la administración de las claves CMEK mediante la automatización del aprovisionamiento y la asignación. Con la clave automática, los llaveros de claves y las claves se generan a pedido como parte de la creación de recursos, y a los agentes de servicio que usan las claves para operaciones de encriptación y desencriptación se les otorgan automáticamente las funciones necesarias de Identity and Access Management (IAM).
El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, como la alineación de la ubicación de los datos clave, la especificidad de la clave, el nivel de protección del módulo de seguridad de hardware (HSM), el programa de rotación de claves y la separación de obligaciones. Autokey crea claves que siguen lineamientos generales y lineamientos específicos para el tipo de recurso de los servicios de Google Cloud que se integran en Autokey. Las claves creadas con Autokey funcionan de forma idéntica a otras claves de Cloud HSM (Cloud HSM) con la misma configuración, incluida la compatibilidad con los requisitos regulatorios de las claves administradas por el cliente. Para obtener más información sobre la clave automática, consulta Descripción general de las claves automáticas.
Cuándo usar claves administradas por el cliente
Puedes usar claves CMEK creadas de forma manual o claves creadas por Clave automática en servicios compatibles para ayudarte a cumplir los siguientes objetivos:
Ten la propiedad de tus claves de encriptación.
Controla y administra tus claves de encriptación, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.
Generar o mantener tu material de claves fuera de Google Cloud
Establece una política respecto de dónde se deben usar tus claves.
Borra de manera selectiva los datos protegidos por tus claves en caso de desvinculación o para solucionar eventos de seguridad (destrucción criptográfica).
Usa claves exclusivas de cada cliente y establece un límite criptográfico alrededor de tus datos.
Crea claves que sean exclusivas de un cliente para establecer un límite criptográfico alrededor de tus datos.
Registra el acceso administrativo y a los datos a las claves de encriptación.
Cumplir con las reglamentaciones actuales o futuras que requieran alguno de estos objetivos
Qué proporciona un servicio integrado con CMEK
Al igual que la encriptación predeterminada de Google, las CMEK son simétricas y de sobre del servidor de encriptación de los datos del cliente. La diferencia con la encriptación predeterminada de Google es que la protección con CMEK usa una clave que controla un cliente. Las claves CMEK creadas de forma manual o automática con la clave automática funcionan de la misma manera durante la integración del servicio.
Los servicios de Cloud que tienen una integración de CMEK usan las claves que creas en Cloud KMS para proteger tus recursos.
Los servicios integrados en Cloud KMS usan la encriptación simétrica.
Puedes controlar el nivel de protección de la clave.
Todas las claves son de tipo AES-GCM de 256 bits.
El material de claves nunca sale del límite del sistema de Cloud KMS.
Tus claves simétricas se usan para encriptar y desencriptar en el modelo de encriptación de sobre.
Los servicios integrados con CMEK realizan un seguimiento de las claves y los recursos
Los recursos protegidos por CMEK tienen un campo de metadatos que contiene el nombre de la clave que los encripta. Por lo general, el cliente podrá verlo en los metadatos del recurso.
En el seguimiento de claves, se indican los recursos que protege una clave.
Las claves se pueden enumerar por proyecto.
Los servicios integrados con CMEK controlan el acceso a los recursos
La principal que crea o ve los recursos en el servicio integrado con CMEK no requiere el Encriptador o Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para las CMEK que se usan a fin de proteger el recurso.
Cada recurso del proyecto tiene una cuenta de servicio especial llamada agente de servicio que realiza la encriptación y desencriptación con claves administradas por el cliente. Una vez que le otorgues al agente de servicio acceso a una CMEK, ese agente de servicio usará esa clave para proteger los recursos que elijas.
Cuando un solicitante desea acceder a un recurso encriptado con una clave administrada por el cliente, el agente de servicio intenta desencriptar el recurso solicitado automáticamente. Si el agente de servicio tiene permiso para desencriptar mediante la clave, y tú no la inhabilitaste ni la destruiste, el agente de servicio proporciona el uso de la clave de encriptación y desencriptación. De lo contrario, la solicitud fallará.
No se requiere acceso adicional de solicitantes y, como el agente de servicio maneja la encriptación y desencriptación en segundo plano, la experiencia del usuario para acceder a los recursos es similar a usar la encriptación predeterminada de Google.
Usa la clave automática para CMEK
Para cada carpeta en la que desees usar la función Autokey, hay un proceso de configuración único. Puedes elegir una carpeta para trabajar con la compatibilidad de las claves automáticas y un proyecto de claves asociado en el que la función Clave automática almacene las claves de esa carpeta. Para obtener más información sobre cómo habilitar la clave automática, consulta Habilita la clave automática de Cloud KMS.
En comparación con la creación manual de claves CMEK, la Clave automática no requiere los siguientes pasos de configuración:
Los administradores de claves no necesitan crear claves o llaveros de claves de forma manual, ni asignar privilegios a los agentes de servicio que encriptan y desencriptan datos. El agente de servicio de Cloud KMS realiza estas acciones en su nombre.
Los desarrolladores no necesitan planificar con anticipación para solicitar las claves antes de la creación de recursos. Pueden solicitar claves a través de Clave automática según sea necesario y, al mismo tiempo, conservar la separación de obligaciones.
Cuando se usa Autokey, solo hay un paso: el desarrollador solicita las claves como parte de la creación de recursos. Las claves que se muestran son coherentes para el tipo de recurso deseado.
Las claves CMEK creadas con Clave automática se comportan de la misma manera que las claves creadas de forma manual para las siguientes funciones:
Los servicios integrados con CMEK se comportan de la misma manera.
El administrador de claves puede continuar supervisando todas las claves creadas y usadas a través del panel de Cloud KMS y el seguimiento del uso de claves.
Las políticas de la organización funcionan de la misma manera con la clave automática que con las CMEK creadas de forma manual.
Para obtener una descripción general de Autokey, consulta Descripción general de las claves automáticas. Si quieres obtener más información para crear recursos protegidos por CMEK con la clave automática, consulta Crea recursos protegidos con la clave automática de Cloud KMS.
Crea claves CMEK de forma manual
Cuando creas de forma manual las claves CMEK, los llaveros de claves, las claves y las ubicaciones de recursos se deben planificar y crear antes de la creación de recursos. Luego, puedes usar tus claves para proteger los recursos.
Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Algunos servicios, como GKE, tienen varias integraciones de CMEK para proteger diferentes tipos de datos relacionados. Puedes seguir pasos similares a los siguientes:
Crea un llavero de claves de Cloud KMS o elige uno existente. Cuando crees el llavero de claves, elige una ubicación que esté geográficamente cerca de los recursos que estás protegiendo. El llavero de claves puede estar en el mismo proyecto que los recursos que estás protegiendo o en proyectos diferentes. Usar diferentes proyectos te brinda un mayor control sobre las funciones de IAM y ayuda a admitir la separación de obligaciones.
Crea o importa una clave de Cloud KMS en el llavero de claves elegido. Esta es la clave CMEK.
Otorgas el rol de IAM encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio del servicio.Cuando crees un recurso, configúralo para que use la clave CMEK. Por ejemplo, puedes configurar un clúster de GKE para usar CMEK y proteger los datos en reposo en los discos de arranque de los nodos.
Para que un solicitante obtenga acceso a los datos, no necesita acceso directo a la clave CMEK.
Siempre que el agente de servicio tenga la función de encriptador o desencriptador de CryptoKey, el servicio puede encriptar y desencriptar sus datos. Si revocas este rol, o si inhabilitas o destruyes la clave CMEK, no se podrá acceder a esos datos.
Cumplimiento de CMEK
Algunos servicios tienen integraciones de CMEK y te permiten administrar las claves por tu cuenta. En cambio, algunos servicios ofrecen cumplimiento de CMEK, lo que significa que los datos temporales y la clave efímera nunca se escriben en el disco. Para obtener una lista completa de los servicios integrados y compatibles, consulta Servicios compatibles con CMEK.
Seguimiento del uso de claves
El seguimiento del uso de claves te muestra los recursos de Google Cloud dentro de tu organización que están protegidos por tus claves CMEK. Con el seguimiento del uso de claves, puedes ver los recursos protegidos, proyectos y productos únicos de Google Cloud que usan una clave específica, así como ver si las claves están en uso. Para obtener más información sobre el seguimiento del uso de claves, consulta Cómo ver el uso de claves.
Políticas de la organización de CMEK
Google Cloud ofrece restricciones de políticas de la organización para garantizar el uso coherente de CMEK en un recurso de la organización. Estas restricciones proporcionan controles a los administradores de la organización para exigir el uso de CMEK y especificar las limitaciones y los controles de las claves de Cloud KMS que se usan para la protección de CMEK, incluidos los siguientes:
Límites sobre qué claves de Cloud KMS se usan para la protección de CMEK
Límites de los niveles de protección de claves permitidos
Límites en la ubicación de las claves CMEK
Controles para la destrucción de la versión de clave
Si quieres obtener más información sobre las políticas de la organización para CMEK, consulta las políticas de la organización de CMEK.
¿Qué sigue?
- Consulta la lista de servicios con integraciones de CMEK.
- Consulta la lista de servicios compatibles con CMEK.
- Consulta la lista de tipos de recursos que pueden tener seguimiento del uso de claves.
- Consulta la lista de servicios compatibles con Autokey.