Claves de encriptación administradas por el cliente (CMEK)

En este tema, se proporciona una descripción general de las claves de encriptación administradas por el cliente (CMEK) y las formas en que puedes controlar las claves que protegen tus datos en reposo en Google Cloud.

Encriptación predeterminada

Todos los datos almacenados en Google Cloud se encriptan en reposo mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Estos sistemas de administración de claves proporcionan controles de acceso a claves y auditorías estrictos, y encriptan los datos del usuario en reposo mediante los estándares de encriptación AES-256. No se requiere configuración, configuración ni administración. La encriptación en reposo predeterminada de Google Cloud es la mejor opción para los usuarios que no tienen requisitos específicos relacionados con el cumplimiento o la localidad del material criptográfico.

Claves de encriptación administradas por el cliente (CMEK)

Si necesitas más control sobre las claves que se usan para encriptar los datos en reposo dentro de un proyecto de Google Cloud, varios servicios de Google Cloud ofrecen la capacidad de proteger los datos relacionados con ellos mediante claves administradas por el cliente. en Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK). Cuando proteges datos en los servicios de Google Cloud con CMEK, puedes controlar la clave CMEK.

El uso de CMEK no proporciona necesariamente más seguridad que los mecanismos de encriptación predeterminados de Google. Además, el uso de CMEK genera costos adicionales relacionados con Cloud KMS. El uso de CMEK te brinda más control sobre el ciclo de vida y la administración de las claves, como las siguientes capacidades, entre otras:

  • Puedes controlar la capacidad de Google de desencriptar datos en reposo mediante la inhabilitación de las claves usadas para proteger esos datos.
  • Puedes proteger tus datos con una clave que cumpla con los requisitos de residencia o residencia específicos.
  • Puedes rotar las claves de forma manual o automática que se usan para proteger tus datos.
  • Puedes proteger tus datos con una clave de Cloud HSM, una clave de Cloud External Key Manager o una clave existente que importas a Cloud KMS.

Integraciones de CMEK

Cuando un servicio admite CMEK, se dice que tiene una integración de CMEK. Algunos servicios, como GKE, tienen integraciones de CMEK múltiples para proteger diferentes tipos de datos relacionados con el servicio.

Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud correspondiente. Te recomendamos seguir estos pasos:

  1. Para crear o importar una clave de Cloud KMS, debes seleccionar una ubicación lo más cerca posible geográficamente de la ubicación de los recursos del servicio. El servicio y la clave pueden estar en el mismo proyecto o en proyectos diferentes. Esta es la clave CMEK.

  2. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio para el servicio.

  3. Configura el servicio a fin de usar la clave CMEK para proteger sus datos. Por ejemplo, puedes configurar un clúster de GKE para que use CMEK y proteger los datos en reposo en los discos de arranque de los nodos.

Siempre que la cuenta de servicio tenga esta función, el servicio puede encriptar y desencriptar sus datos. Si revocas la función, o si inhabilitas o destruyes la clave CMEK, no se podrá acceder a esos datos.

Cumplimiento de CMEK

Algunos servicios no almacenan datos de forma directa ni durante un período breve como paso intermedio en una operación de larga duración. Para este tipo de carga de trabajo, no es práctico encriptar cada escritura por separado. Estos servicios no ofrecen integraciones de CMEK, pero pueden ofrecer cumplimiento de CMEK, a menudo sin ninguna configuración de tu parte.

Un servicio compatible con CMEK encripta datos temporales mediante el uso de una clave efímera que solo existe en la memoria y que nunca se escribe en el disco. Cuando ya no se necesitan los datos temporales, la clave efímera se limpia de la memoria y no se puede acceder a los datos encriptados, incluso si el recurso de almacenamiento aún existe.

Un servicio que cumple con las CMEK podría ofrecer la capacidad de enviar el resultado a un servicio con una integración de CMEK, como Cloud Storage.

¿Qué sigue?