Clés de chiffrement gérées par le client (CMEK)

Cet article présente les clés de chiffrement gérées par le client (CMEK) et les moyens de contrôler les clés qui protègent vos données au repos dans Google Cloud.

Chiffrement par défaut

Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide des mêmes systèmes de gestion de clés renforcés que ceux que nous utilisons pour nos propres données chiffrées. Ces systèmes de gestion de clés fournissent des contrôles d'accès et des audits de clés stricts, et chiffrent les données utilisateur au repos à l'aide des normes de chiffrement AES-256. Aucune installation, configuration ou gestion n'est requise. Le chiffrement au repos par défaut de Google Cloud est le meilleur choix pour les utilisateurs qui n'ont pas d'exigences spécifiques liées à la conformité ou à la localité du matériel de cryptographie.

Clés de chiffrement gérées par le client (CMEK)

Si vous avez besoin de plus de contrôle sur les clés utilisées pour chiffrer les données au repos dans un projet Google Cloud, plusieurs services Google Cloud offrent la possibilité de protéger les données associées à ces services à l'aide de clés de chiffrement gérées par le client dans Cloud KMS. Ces clés de chiffrement sont appelées clés de chiffrement gérées par le client (CMEK). Lorsque vous protégez les données des services Google Cloud à l'aide d'une CMEK, vous contrôlez cette clé.

L'utilisation de CMEK n'offre pas nécessairement plus de sécurité que les mécanismes de chiffrement par défaut de Google. De plus, l'utilisation de CMEK entraîne des coûts supplémentaires liés à Cloud KMS. L'utilisation de CMEK vous permet de contrôler davantage les aspects du cycle de vie et de la gestion de vos clés, tels que (sans s'y limiter) les capacités suivantes :

  • Vous pouvez contrôler la capacité de Google à déchiffrer les données au repos en désactivant les clés utilisées pour protéger ces données.
  • Vous pouvez protéger vos données à l'aide d'une clé répondant à des critères de localité ou de résidence spécifiques.
  • Vous pouvez effectuer une rotation automatique ou manuelle des clés pour protéger vos données.
  • Vous pouvez protéger vos données à l'aide d'une clé Cloud HSM, d'une clé Cloud External Key Manager, ou d'une clé existante que vous importez dans Cloud KMS.
  • Vous pouvez protéger vos données à l'aide d'une norme de chiffrement plus stricte qu'AES-256.

Intégrations de CMEK

Lorsqu'un service est compatible avec les CMEK, il est dit que ce service dispose d'une intégration de CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service.

Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Attendez-vous à suivre des étapes semblables à celles-ci :

  1. Vous créez ou importez une clé Cloud KMS, en sélectionnant un emplacement géographiquement aussi proche que possible de l'emplacement des ressources du service. Le service et la clé peuvent appartenir au même projet ou à des projets différents. Il s'agit de la clé CMEK.

  2. Accordez le rôle IAM de chiffreur/déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK au compte du service.

  3. Vous configurez le service de sorte qu'il utilise la clé CMEK pour protéger ses données. Par exemple, vous pouvez configurer un cluster GKE pour utiliser des CMEK afin de protéger les données au repos sur les disques de démarrage des nœuds.

Tant que le compte de service a ce rôle, le service peut chiffrer et déchiffrer ses données. Si vous révoquez le rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne sont plus accessibles.

Conformité CMEK

Certains services ne stockent pas directement de données ou ne stockent pas de données pendant une courte période, comme une étape intermédiaire dans une opération de longue durée. Pour ce type de charge de travail, il n'est pas pratique de chiffrer chaque écriture séparément. Ces services ne proposent pas d'intégrations de CMEK, mais peuvent offrir une conformité CMEK, souvent sans configuration de votre part.

Un service compatible avec les CMEK chiffre les données temporaires à l'aide d'une clé éphémère qui n'existe qu'en mémoire et n'est jamais écrite sur le disque. Lorsque les données temporaires ne sont plus nécessaires, la clé éphémère est vidée de la mémoire et les données chiffrées ne sont plus accessibles, même si la ressource de stockage existe toujours.

Un service compatible avec les CMEK peut offrir la possibilité d'envoyer ses résultats à un service avec une intégration de CMEK, telle que Cloud Storage.

Étape suivante