Chiavi di crittografia gestite dal cliente (CMEK)

Questo argomento fornisce una panoramica delle chiavi di crittografia gestite dal cliente (CMEK). La CMEK ti offre il controllo sulle chiavi che proteggono i tuoi dati at-rest in Google Cloud.

Crittografia predefinita

Tutti i dati archiviati in Google Cloud vengono criptati at-rest mediante gli stessi sistemi di gestione delle chiavi protetti utilizzati da Google per i propri dati criptati. Questi sistemi di gestione delle chiavi offrono rigorosi controlli e controlli di accesso alle chiavi e criptano i dati at-rest degli utenti utilizzando gli standard di crittografia AES-256. Non sono necessarie configurazione, configurazione o gestione. La crittografia predefinita è la scelta migliore se la tua organizzazione non ha requisiti specifici relativi alla conformità o alla località del materiale crittografico.

Per ulteriori informazioni sulla crittografia predefinita in Google Cloud, consulta Crittografia at-rest predefinita.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia che gestisci mediante Cloud KMS. Questa funzionalità consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati. Per sapere se un servizio supporta le chiavi CMEK, consulta l'elenco dei servizi supportati. Quando proteggi i dati nei servizi Google Cloud con CMEK, la chiave CMEK è sotto il tuo controllo.

L'utilizzo di CMEK non fornisce necessariamente una maggiore sicurezza rispetto ai meccanismi di crittografia predefiniti. Inoltre, l'utilizzo di CMEK comporta costi aggiuntivi relativi a Cloud KMS. L'uso di CMEK ti offre il controllo su più aspetti del ciclo di vita e della gestione delle chiavi, incluse le seguenti capacità:

• Puoi impedire a Google di decriptare i dati at-rest disattivando le chiavi utilizzate per proteggere tali dati.
• Puoi proteggere i tuoi dati utilizzando una chiave che soddisfi requisiti specifici di località o residenza.
• Puoi ruotare automaticamente o manualmente le chiavi utilizzate per proteggere i tuoi dati.
• Puoi proteggere i tuoi dati utilizzando diversi tipi di chiavi:
  • Chiavi software generate
  • Chiavi Cloud HSM (hardware-backed)
  • Chiavi Cloud External Key Manager (gestite esternamente)
  • Chiavi esistenti importate in Cloud KMS.
• Puoi utilizzare versioni illimitate delle chiavi per ogni chiave. La maggior parte dei servizi non supporta versioni delle chiavi illimitate quando viene utilizzata la crittografia predefinita.

Integrazioni CMEK

Quando un servizio supporta CMEK, si dice che abbia un'integrazione CMEK. Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati relativi al servizio.

Per i passaggi esatti per abilitare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Puoi aspettarti una procedura simile al seguente:

1. Puoi creare un keyring Cloud KMS o scegliere un keyring esistente. Quando crei il keyring, scegli una località geograficamente vicina alle risorse che stai proteggendo. Il keyring può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di progetti diversi offre un maggiore controllo sulle autorizzazioni IAM (Identity and Access Management).

2. Puoi creare o importare una chiave Cloud KMS nel keyring scelto. Questa è la chiave CMEK.

3. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave CMEK all'account di servizio per il servizio.

4. Configura il servizio in modo che utilizzi la chiave CMEK per proteggere i dati. Ad esempio, puoi configurare un cluster GKE per utilizzare CMEK per proteggere i dati at-rest sui dischi di avvio dei nodi.

Finché l'account di servizio dispone del ruolo Criptatore/decriptazione di CyptoKey, il servizio può criptare e decriptare i propri dati. Se revochi questo ruolo o se disabiliti o elimini la chiave CMEK, non sarà possibile accedere ai dati.

Conformità CMEK

Alcuni servizi non archiviano direttamente i dati o non archiviano i dati solo per un breve periodo di tempo, come passaggio intermedio di un'operazione a lunga esecuzione. Per questo tipo di carico di lavoro non è pratico criptare ogni scrittura separatamente. Questi servizi non offrono integrazioni CMEK, ma possono offrire conformità CMEK, spesso senza configurazione da parte tua.

Un servizio conforme a CMEK cripta i dati temporanei utilizzando una chiave temporanea che esiste solo in memoria e non viene mai scritta su disco. Quando i dati temporanei non sono più necessari, la chiave temporanea viene cancellata dalla memoria. Senza la chiave temporanea, non è possibile accedere ai dati criptati, anche se la risorsa di archiviazione esiste ancora.

Un servizio conforme a CMEK potrebbe offrire la possibilità di inviare il proprio output a un servizio con un'integrazione CMEK, come Cloud Storage.

Criteri dell'organizzazione CMEK

Google Cloud offre due vincoli dei criteri dell'organizzazione per garantire l'utilizzo di CMEK in una risorsa dell'organizzazione. Questi vincoli forniscono agli amministratori dell'organizzazione controlli per richiedere l'utilizzo di CMEK e limitare le chiavi Cloud KMS utilizzate per la protezione CMEK. Per saperne di più, vedi Criteri dell'organizzazione CMEK.

Passaggi successivi

• Visualizza l'elenco di servizi con integrazioni CMEK.
• Vedi l'elenco dei servizi compatibili con CMEK.