Claves de encriptación administradas por el cliente (CMEK)

En este tema, se proporciona una descripción general de las claves de encriptación administradas por el cliente (CMEK) y las formas en que puedes controlar las claves que protegen tus datos en reposo en Google Cloud.

Encriptación predeterminada

Todos los datos almacenados en Google Cloud se encriptan en reposo mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Estos sistemas de administración de claves proporcionan controles estrictos de acceso a claves y auditorías, y encriptan los datos en reposo con los estándares de encriptación AES-256. No se requiere configuración, administración ni configuración. La encriptación en reposo predeterminada de Google Cloud es la mejor opción para los usuarios que no tienen requisitos específicos relacionados con el cumplimiento o la localidad del material criptográfico.

Claves de encriptación administradas por el cliente (CMEK)

Si necesitas más control sobre las claves usadas para encriptar los datos en reposo dentro de un proyecto de Google Cloud, varios servicios de Google Cloud ofrecen la capacidad de proteger los datos relacionados con esos servicios mediante claves de encriptación administradas por el cliente. en Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK). Cuando proteges datos en los servicios de Google Cloud con CMEK, la clave CMEK está dentro de tu control.

El uso de CMEK no siempre proporciona más seguridad que los mecanismos de encriptación predeterminados de Google. Además, el uso de CMEK genera costos adicionales relacionados con Cloud KMS. El uso de CMEK te brinda más control sobre más aspectos del ciclo de vida y la administración de tus claves, como las siguientes:

  • Puedes controlar la capacidad de Google de desencriptar datos en reposo si inhabilitas las claves que se usan para proteger esos datos.
  • Puedes proteger tus datos con una clave que cumpla con los requisitos de localidad o residencia específicos.
  • Puedes rotar las claves de forma manual o automática que se usan para proteger tus datos.
  • Puedes proteger tus datos con una clave de Cloud HSM, una clave de Cloud External Key Manager o una clave existente que importas a Cloud KMS.
  • Puedes proteger tus datos con un estándar de encriptación más estricto que el AES-256.

Integraciones de CMEK

Cuando un servicio admite CMEK, se dice que tiene una integración de CMEK. Algunos servicios, como GKE, tienen varias integraciones de CMEK para proteger distintos tipos de datos relacionados con el servicio.

A fin de conocer los pasos exactos para habilitar CMEK, consulta la documentación del servicio de Google Cloud correspondiente. Puedes realizar pasos similares a los siguientes:

  1. Creas o importas una clave de Cloud KMS y seleccionas una ubicación lo más cerca posible de la ubicación de los recursos del servicio. El servicio y la clave pueden estar en el mismo proyecto o en proyectos diferentes. Esta es la clave CMEK.

  2. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio para el servicio.

  3. Configura el servicio a fin de usar la clave CMEK para proteger sus datos. Por ejemplo, puedes configurar un clúster de GKE para usar CMEK a fin de proteger los datos en reposo en los discos de arranque de los nodos.

Siempre que la cuenta de servicio tenga esta función, el servicio puede encriptar y desencriptar sus datos. Si revocas la función o si inhabilitas o destruyes la clave CMEK, no podrás acceder a esos datos.

Cumplimiento de CMEK

Algunos servicios no almacenan datos ni almacenan datos solo durante un período breve, como un paso intermedio en una operación de larga duración. Para este tipo de carga de trabajo, no es práctico encriptar cada escritura por separado. Estos servicios no ofrecen integraciones de CMEK, pero pueden ofrecer cumplimiento de CMEK, por lo general, sin configuración de tu parte.

Un servicio que cumple con CMEK encripta los datos temporales mediante el uso de una clave efímera que solo existe en la memoria y nunca se escribe en el disco. Cuando los datos temporales ya no son necesarios, la clave efímera se limpia de la memoria y no se puede acceder a los datos encriptados, incluso si el recurso de almacenamiento aún existe.

Un servicio que cumple con CMEK podría ofrecer la capacidad de enviar su resultado a un servicio con una integración CMEK, como Cloud Storage.

¿Qué sigue?