Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK)

Dieses Thema bietet einen Überblick über vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) und wie Sie die Schlüssel steuern können, die Ihre inaktiven Daten in Google Cloud schützen.

Standardverschlüsselung

Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die wir auch für unsere eigenen verschlüsselten Daten verwenden. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit AES-256-Verschlüsselungsstandards. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich. Die Standardverschlüsselung von Google Cloud ist die beste Wahl für Nutzer, die keine speziellen Anforderungen in Bezug auf Compliance oder Lokalität von kryptografischem Material haben.

Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK)

Wenn Sie in einem Google Cloud-Projekt mehr Kontrolle über die Schlüssel brauchen, die zur Verschlüsselung von Daten im Ruhezustand verwendet werden, bieten mehrere Google Cloud-Dienste die Möglichkeit, mit diesen Diensten verbundene Daten mit Verschlüsselungsschlüsseln zu schützen, die der Kund selbst innerhalb von Cloud KMS verwaltet. Diese Verschlüsselungsschlüssel heißen daher vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Wenn Sie Daten in Google Cloud-Diensten mit CMEK schützen, können Sie den CMEK-Schlüssel kontrollieren.

Die Verwendung von CMEK bietet nicht unbedingt mehr Sicherheit als die standardmäßigen Verschlüsselungsmechanismen von Google. Darüber hinaus entstehen durch die Verwendung von CMEK zusätzliche Kosten für Cloud KMS. Mit CMEK können Sie mehr Aspekte des Lebenszyklus und der Verwaltung Ihrer Schlüssel steuern, z. B. die folgenden Funktionen:

  • Google kann Daten im Ruhezustand besser entschlüsseln, wenn Sie die zum Schutz dieser Daten verwendeten Schlüssel deaktivieren.
  • Sie können Ihre Daten mit einem Schlüssel schützen, der bestimmte örtliche oder datenhoheitliche Anforderungen erfüllt.
  • Sie können die zum Schutz Ihrer Daten verwendeten Schlüssel automatisch oder manuell rotieren.
  • Sie können Ihre Daten mit einem Cloud HSM-Schlüssel, einem Cloud External Key Manager-Schlüssel oder einem vorhandenen Schlüssel schützen, den Sie in Cloud KMS importieren.

CMEK-Integrationen

Wenn ein Dienst CMEK unterstützt, hat er eine CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst.

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Gehen Sie wie folgt vor:

  1. Sie erstellen oder importieren einen Cloud KMS-Schlüssel und wählen einen Standort so geografisch wie möglich in der Nähe des Speicherorts der Dienstressourcen aus. Der Dienst und der Schlüssel können sich im selben Projekt oder in verschiedenen Projekten befinden. Dies ist der CMEK-Schlüssel.

  2. Sie weisen dem Dienstkonto für den Dienst die IAM-Rolle CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu.

  3. Sie konfigurieren den Dienst so, dass seine Daten mit dem CMEK-Schlüssel geschützt werden. Sie können beispielsweise einen GKE-Cluster so konfigurieren, dass CMEK zum Schutz inaktiver Daten auf den Bootlaufwerken der Knoten verwendet wird.

Solange das Dienstkonto diese Rolle hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie die Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.

CMEK-Compliance

Einige Dienste speichern Daten nicht direkt oder nur für einen kurzen Zeitraum als Zwischenschritt in einem lang andauernden Vorgang. Bei dieser Art von Arbeitslast ist es nicht sinnvoll, jeden Schreibvorgang separat zu verschlüsseln. Diese Dienste bieten keine CMEK-Integrationen, können jedoch CMEK-Compliance bieten, häufig ohne Konfiguration Ihrerseits.

Ein CMEK-kompatibler Dienst verschlüsselt temporäre Daten mit einem sitzungsspezifischen Schlüssel, der nur im Speicher vorhanden ist und nie auf die Festplatte geschrieben wird. Wenn die temporären Daten nicht mehr benötigt werden, wird der sitzungsspezifische Schlüssel aus dem Speicher geleert und auf die verschlüsselten Daten kann nicht zugegriffen werden, auch wenn die Speicherressource noch vorhanden ist.

Ein CMEK-kompatibler Dienst bietet möglicherweise die Möglichkeit, seine Ausgabe an einen Dienst mit einer CMEK-Integration wie Cloud Storage zu senden.

Nächste Schritte