Chiavi di crittografia gestite dal cliente (CMEK)

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo argomento fornisce una panoramica delle chiavi di crittografia gestite dal cliente (CMEK). CMEK ti consente di controllare le chiavi che proteggono i tuoi dati at-rest in Google Cloud.

Crittografia predefinita

Tutti i dati archiviati in Google Cloud sono at-rest usando gli stessi sistemi di gestione delle chiavi protetti che Google utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi forniscono controlli di controllo e controllo delle chiavi rigorosi e criptano i dati inattivi at-rest utilizzando gli standard di crittografia AES-256. Non sono richieste configurazioni, configurazioni o gestione. La crittografia predefinita è la scelta migliore se la tua organizzazione non ha requisiti specifici relativi alla conformità o alla posizione del materiale crittografico.

Per ulteriori informazioni sulla crittografia predefinita in Google Cloud, consulta Crittografia predefinita dei dati inattivi.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia che gestisci utilizzando Cloud KMS. Questa funzionalità consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati. Per sapere se un servizio supporta le chiavi CMEK, consulta l'elenco dei servizi supportati. Quando proteggi i dati nei servizi Google Cloud con CMEK, la chiave CMEK è sotto il tuo controllo.

L'utilizzo di CMEK non offre necessariamente una sicurezza maggiore rispetto ai meccanismi di crittografia predefiniti. Inoltre, l'utilizzo di CMEK comporta costi aggiuntivi relativi a Cloud KMS. L'utilizzo di CMEK ti consente di controllare altri aspetti del ciclo di vita e della gestione delle chiavi, incluse le seguenti funzionalità:

  • Puoi impedire a Google di decriptare i dati at-rest disattivando le chiavi utilizzate per proteggere tali dati.
  • Puoi proteggere i tuoi dati utilizzando una chiave che soddisfa requisiti di località o residenza specifici.
  • Puoi ruotare automaticamente o manualmente le chiavi utilizzate per proteggere i tuoi dati.
  • Puoi proteggere i tuoi dati con diversi tipi di token:
    • Chiavi software generate
    • Chiavi Cloud HSM (supportate dall'hardware)
    • Cloud Key Key Manager (gestite esternamente)
    • Le chiavi esistenti importate in Cloud KMS.
  • Puoi utilizzare un numero illimitato di versioni della chiave per ogni chiave. La maggior parte dei servizi non supporta versioni di chiavi illimitate quando viene utilizzata la crittografia predefinita.

Integrazioni CMEK

Quando un servizio supporta CMEK, si dice che ha un'integrazione CMEK. Alcuni servizi, come GKE, hanno diverse integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio.

Per i passaggi esatti per abilitare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Puoi seguire una procedura simile alla seguente:

  1. Puoi creare un keyring Cloud KMS o sceglierne uno esistente. Quando crei il keyring, scegli una località geograficamente vicina alle risorse che stai proteggendo. Il keyring può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di progetti diversi ti offre un maggiore controllo sulle autorizzazioni IAM (Identity and Access Management).

  2. Puoi creare o importare una chiave Cloud KMS nel keyring scelto. Questa è la chiave CMEK.

  3. Concedi il ruolo IAM CryptoKey Encrypter/Decripter (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave CMEK all'account di servizio per il servizio.

  4. Configura il servizio in modo che utilizzi la chiave CMEK per proteggerne i dati. Ad esempio, puoi configurare un cluster GKE in modo che utilizzi CMEK per proteggere i dati at-rest nei dischi di avvio dei nodi.

Se l'account di servizio ha il ruolo CyptoKey Encrypter/Decrypter, il servizio può criptare e decriptare i propri dati. Se revochi questo ruolo o se disattivi o distruggi la chiave CMEK, non potrai accedere a questi dati.

Conformità CMEK

Alcuni servizi non archiviano i dati direttamente o li archiviano solo per un breve periodo di tempo, come passaggio intermedio in un'operazione a lunga esecuzione. Per questo tipo di carico di lavoro non è pratico criptare ogni scrittura separatamente. Questi servizi non offrono integrazioni CMEK, ma possono offrire la conformità CMEK, spesso senza configurazione da parte tua.

Un servizio conforme a CMEK cripta i dati temporanei utilizzando una chiave temporanea che esiste solo in memoria e non viene mai scritta su disco. Quando i dati temporanei non sono più necessari, la chiave temporanea viene eliminata dalla memoria. Senza la chiave temporanea, non è possibile accedere ai dati criptati, anche se la risorsa di archiviazione esiste ancora.

Un servizio conforme a CMEK potrebbe offrire la possibilità di inviare il proprio output a un servizio con un'integrazione CMEK, come Cloud Storage.

Criteri dell'organizzazione CMEK

Google Cloud offre due vincoli dei criteri dell'organizzazione per garantire l'utilizzo di CMEK in una risorsa dell'organizzazione. Questi vincoli forniscono controlli agli amministratori dell'organizzazione per richiedere l'utilizzo di CMEK e limitare le chiavi Cloud KMS utilizzate per la protezione CMEK. Per scoprire di più, vedi Criteri dell'organizzazione CMEK.

Passaggi successivi