Clés de chiffrement gérées par le client (CMEK)

Cet article présente les clés de chiffrement gérées par le client (CMEK). La fonctionnalité CMEK vous permet de contrôler les clés qui protègent vos données au repos dans Google Cloud.

Chiffrement par défaut

Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide des mêmes systèmes de gestion des clés renforcés que Google utilise pour ses propres données chiffrées. Ces systèmes de gestion de clés assurent un contrôle et un audit stricts des accès aux clés, et chiffrent les données utilisateur au repos à l'aide des normes de chiffrement AES-256. Aucune installation, configuration ou gestion n'est requise. Le chiffrement par défaut est le meilleur choix si votre organisation ne présente pas d'exigences spécifiques concernant la conformité ou la localité des contenus cryptographiques.

Pour en savoir plus sur le chiffrement par défaut dans Google Cloud, consultez la section Chiffrement par défaut au repos.

Clés de chiffrement gérées par le client (CMEK)

Les clés de chiffrement gérées par le client sont des clés de chiffrement que vous gérez à l'aide de Cloud KMS. Cette fonctionnalité vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles. Pour savoir si un service est compatible avec les clés CMEK, consultez la liste des services compatibles. Lorsque vous protégez les données des services Google Cloud à l'aide d'une CMEK, vous contrôlez cette clé.

L'utilisation d'une clé CMEK n'offre pas nécessairement plus de sécurité que les mécanismes de chiffrement par défaut. De plus, l'utilisation de CMEK entraîne des coûts supplémentaires liés à Cloud KMS. L'utilisation de CMEK vous permet de contrôler d'autres aspects du cycle de vie et de gérer vos clés, y compris les fonctionnalités suivantes:

• Vous pouvez empêcher Google de déchiffrer les données au repos en désactivant les clés utilisées pour les protéger.
• Vous pouvez protéger vos données à l'aide d'une clé répondant aux exigences spécifiques de localité ou de résidence.
• Vous pouvez alterner les clés automatiquement ou manuellement pour protéger vos données.
• Vous pouvez protéger vos données à l'aide de différents types de clés :
  • Clés logicielles générées
  • Clés Cloud HSM (intégrées au niveau matériel)
  • Clés Cloud External Key Manager (gérées en externe)
  • Clés existantes que vous importez dans Cloud KMS
• Vous pouvez utiliser un nombre illimité de versions pour chaque clé. La plupart des services n'acceptent pas des versions de clé illimitées lorsque vous utilisez le chiffrement par défaut.

Intégrations de CMEK

Lorsqu'un service est compatible avec les CMEK, on parle d'intégration de CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service.

Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. La procédure est la suivante:

1. Vous pouvez créer un trousseau de clés Cloud KMS ou choisir un trousseau de clés existant. Lorsque vous créez votre trousseau de clés, choisissez un emplacement géographique proche des ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans des projets différents. L'utilisation de différents projets vous permet de mieux contrôler les autorisations IAM (Identity and Access Management).

2. Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Il s'agit de la clé CMEK.

3. Vous accordez le rôle IAM Chiffreur/Déchiffreur de CryptoKeys (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK au compte de service associé au service.

4. Vous configurez le service de sorte qu'il utilise la clé CMEK pour protéger ses données. Par exemple, vous pouvez configurer un cluster GKE pour utiliser une clé CMEK afin de protéger les données au repos sur les disques de démarrage des nœuds.

Tant que le compte de service dispose du rôle Chiffreur/Déchiffreur CyptoKey, le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne sont pas accessibles.

Conformité CMEK

Certains services ne stockent pas directement les données, ou ne les stockent que pendant une courte période, comme étape intermédiaire dans une opération de longue durée. Pour ce type de charge de travail, il n'est pas pratique de chiffrer chaque écriture séparément. Ces services ne proposent pas d'intégrations de CMEK, mais peuvent offrir une conformité CMEK, souvent sans configuration de votre part.

Un service compatible avec les CMEK chiffre les données temporaires à l'aide d'une clé éphémère qui n'existe qu'en mémoire et n'est jamais écrite sur le disque. Lorsque les données temporaires ne sont plus nécessaires, la clé éphémère est vidée de la mémoire. Sans la clé éphémère, les données chiffrées ne sont pas accessibles, même si la ressource de stockage existe toujours.

Un service compatible avec les CMEK peut offrir la possibilité d'envoyer ses résultats à un service avec une intégration de CMEK, telle que Cloud Storage.

Règles d'administration des CMEK

Google Cloud propose deux contraintes de règles d'administration pour garantir l'utilisation des CMEK dans une ressource d'organisation. Ces contraintes fournissent des contrôles aux administrateurs d'organisation pour exiger l'utilisation des CMEK et limiter les clés Cloud KMS utilisées pour la protection CMEK. Pour en savoir plus, consultez la page Règles d'administration des clés CMEK.

Étapes suivantes

• Consultez la liste des services avec intégrations CMEK.
• Consultez la liste des services compatibles avec CMEK.