Claves de encriptación administradas por el cliente (CMEK)

En este tema, se proporciona una descripción general de las claves de encriptación administradas por el cliente (CMEK) y las formas en que puedes controlar las claves que protegen tus datos en reposo en Google Cloud.

Encriptación predeterminada

Todos los datos almacenados en Google Cloud se encriptan en reposo mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Estos sistemas de administración de claves proporcionan controles de acceso y auditorías de claves estrictos, y encriptan datos de usuarios en reposo mediante estándares de encriptación AES-256. No se requiere configuración ni administración. La encriptación en reposo predeterminada de Google Cloud es la mejor opción para los usuarios que no tienen requisitos específicos relacionados con el cumplimiento o la localidad del material criptográfico.

Claves de encriptación administradas por el cliente (CMEK)

Si necesitas más control sobre las claves que se usan para encriptar los datos en reposo dentro de un proyecto de Google Cloud, varios servicios de Google Cloud ofrecen la capacidad de proteger los datos relacionados con esos servicios mediante claves administradas por el cliente dentro de Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK). Cuando proteges datos en los servicios de Google Cloud con CMEK, la clave CMEK está bajo tu control.

El uso de CMEK no siempre proporciona más seguridad que los mecanismos de encriptación predeterminados de Google. Además, el uso de CMEK genera costos adicionales relacionados con Cloud KMS. El uso de CMEK te permite controlar más aspectos del ciclo de vida y la administración de las claves, como las siguientes, entre otras:

  • Puedes controlar la capacidad de Google de desencriptar datos en reposo si inhabilitas las claves usadas para proteger esos datos.
  • Puedes proteger tus datos con una clave que cumpla con los requisitos específicos de localidad o residencia.
  • Puedes rotar las claves de forma manual o automática que se usan para proteger tus datos.
  • Puedes proteger tus datos con una clave de Cloud HSM, una clave de Cloud External Key Manager o una clave existente que importas a Cloud KMS.

Integraciones de CMEK

Cuando un servicio admite CMEK, se dice que tiene una integración con CMEK. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio.

Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Es posible que sigas pasos similares a los siguientes:

  1. Para crear o importar una clave de Cloud KMS, selecciona una ubicación lo más cercana posible a la ubicación de los recursos del servicio. El servicio y la clave pueden estar en el mismo proyecto o en proyectos diferentes. Esta es la clave CMEK.

  2. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio para el servicio.

  3. Configura el servicio para usar la clave CMEK a fin de proteger sus datos. Por ejemplo, puedes configurar un clúster de GKE para que use CMEK a fin de proteger los datos en reposo en los discos de arranque de los nodos.

Siempre que la cuenta de servicio tenga esta función, el servicio puede encriptar y desencriptar sus datos. Si revocas la función, o si inhabilitas o destruyes la clave CMEK, no se podrá acceder a los datos.

Cumplimiento de CMEK

Algunos servicios no almacenan datos directamente o los almacenan solo durante un período corto, como un paso intermedio en una operación de larga duración. Para este tipo de carga de trabajo, no es práctico encriptar cada escritura por separado. Estos servicios no ofrecen integraciones con CMEK, pero pueden ofrecer cumplimiento de CMEK, a menudo sin configuración de tu parte.

Un servicio compatible con CMEK encripta los datos temporales mediante una clave efímera que solo existe en la memoria y nunca se escribe en el disco. Cuando los datos temporales ya no se necesitan, la clave efímera se limpia de la memoria y no se puede acceder a los datos encriptados, incluso si el recurso de almacenamiento todavía existe.

Un servicio compatible con CMEK puede ofrecer la capacidad de enviar su resultado a un servicio con una integración con CMEK, como Cloud Storage.

¿Qué sigue?