Dieses Thema bietet eine Übersicht über vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK). Mit CMEK haben Sie die Kontrolle über die Schlüssel, die Ihre inaktiven Daten in Google Cloud schützen.
Standardverschlüsselung
Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Auditing und verschlüsseln inaktive Nutzerdaten mit AES-256-Verschlüsselungsstandards. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich. Die Standardverschlüsselung ist die beste Wahl, wenn Ihr Unternehmen keine besonderen Anforderungen in Bezug auf die Compliance oder den Standort von kryptografischem Material hat.
Weitere Informationen zur Standardverschlüsselung in Google Cloud finden Sie unter Standardverschlüsselung ruhender Daten.
Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, die Sie mit Cloud KMS verwalten. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln inaktiver Daten in unterstützten Google Cloud-Diensten verwendet werden. Informationen dazu, ob ein Dienst CMEK-Schlüssel unterstützt, finden Sie in der Liste der unterstützten Dienste. Wenn Sie Daten in Google Cloud-Diensten mit CMEK schützen, haben Sie die Kontrolle über den CMEK-Schlüssel.
Die Verwendung von CMEK bietet nicht unbedingt mehr Sicherheit als die Standardverschlüsselungsmechanismen. Darüber hinaus entstehen durch die Verwendung von CMEK zusätzliche Kosten für Cloud KMS. Mit CMEK haben Sie die Kontrolle über mehr Aspekte des Lebenszyklus und die Verwaltung Ihrer Schlüssel, einschließlich der folgenden Funktionen:
- Sie können verhindern, dass Google inaktive Daten entschlüsseln kann, indem Sie die Schlüssel zum Schutz dieser Daten deaktivieren.
- Sie können Ihre Daten mit einem Schlüssel schützen, der bestimmte Standort- oder Standortanforderungen erfüllt.
- Sie können die zum Schutz Ihrer Daten verwendeten Schlüssel automatisch oder manuell rotieren.
- Sie können Ihre Daten mit verschiedenen Arten von Schlüsseln schützen:
- Generierte Softwareschlüssel
- Hardwaregestützte Cloud HSM-Schlüssel
- (extern verwaltete) Cloud External Key Manager-Schlüssel
- Vorhandene Schlüssel, die Sie in Cloud KMS importieren.
- Sie können für jeden Schlüssel eine unbegrenzte Anzahl an Schlüsselversionen verwenden. Die meisten Dienste unterstützen keine unbegrenzten Schlüsselversionen, wenn die Standardverschlüsselung verwendet wird.
CMEK-Integrationen
Wenn ein Dienst CMEK unterstützt, hat er eine CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Sie können die folgenden Schritte ausführen:
Sie erstellen einen Cloud KMS-Schlüsselbund oder wählen einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen des Schlüsselbunds einen Speicherort aus, der sich geografisch in der Nähe der zu schützenden Ressourcen befindet. Der Schlüsselbund kann sich im selben Projekt wie die zu schützenden Ressourcen oder in verschiedenen Projekten befinden. Durch die Verwendung verschiedener Projekte haben Sie mehr Kontrolle über IAM-Berechtigungen (Identity and Access Management).
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK-Schlüssel.
Sie erteilen dem Dienstkonto für den Dienst die IAM-Rolle CryptoKey-Verschlüsseler/-Entschlüsseler (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel.Sie konfigurieren den Dienst so, dass seine Daten mit dem CMEK-Schlüssel geschützt werden. Beispielsweise können Sie einen GKE-Cluster so konfigurieren, dass inaktive Daten mit CMEK auf den Bootlaufwerken der Knoten geschützt werden.
Solange das Dienstkonto die Rolle CyptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht mehr auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste speichern Daten nicht direkt oder nur für kurze Zeit als Zwischenschritt in einem Vorgang mit langer Ausführungszeit. Bei dieser Art von Arbeitslast ist es nicht sinnvoll, jeden Schreibvorgang separat zu verschlüsseln. Diese Dienste bieten keine CMEK-Integrationen, können jedoch CMEK-Compliance bieten, häufig ohne Konfiguration Ihrerseits.
Ein CMEK-kompatibler Dienst verschlüsselt temporäre Daten mit einem sitzungsspezifischen Schlüssel, der nur im Speicher vorhanden ist und nie auf die Festplatte geschrieben wird. Wenn die temporären Daten nicht mehr benötigt werden, wird der sitzungsspezifische Schlüssel aus dem Arbeitsspeicher geleert. Ohne den sitzungsspezifischen Schlüssel kann nicht auf die verschlüsselten Daten zugegriffen werden, selbst wenn die Speicherressource noch vorhanden ist.
Ein CMEK-kompatibler Dienst bietet möglicherweise die Möglichkeit, seine Ausgabe an einen Dienst mit einer CMEK-Integration wie Cloud Storage zu senden.
CMEK-Organisationsrichtlinien
Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung in einer Organisationsressource sicherzustellen. Mit diesen Einschränkungen können Organisationsadministratoren die CMEK-Nutzung erzwingen und einschränken, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden. Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien.