Chiavi di crittografia gestite dal cliente (CMEK)

Questo argomento offre una panoramica delle chiavi di crittografia gestite dal cliente (CMEK) e dei modi in cui puoi controllare le chiavi che proteggono i tuoi dati at-rest in Google Cloud.

Crittografia predefinita

Tutti i dati archiviati all'interno di Google Cloud vengono criptati at-rest usando gli stessi sistemi di gestione dei token protetti che utilizziamo per i nostri dati criptati. Questi sistemi di gestione delle chiavi offrono rigorosi controlli di accesso alle chiavi e controlli e criptano i dati utente inattivi utilizzando gli standard di crittografia AES-256. Non è richiesta alcuna configurazione, configurazione o gestione. La crittografia predefinita at-rest di Google Cloud è la scelta migliore per gli utenti che non hanno requisiti specifici relativi alla conformità o alla posizione del materiale crittografico.

Chiavi di crittografia gestite dal cliente (CMEK)

Se hai bisogno di maggior controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno di un progetto Google Cloud, diversi servizi Google Cloud ti consentono di proteggere i dati correlati a tali servizi utilizzando chiavi di crittografia gestite dal cliente all'interno di Cloud KMS. Queste chiavi di crittografia sono chiamate chiavi di crittografia gestite dal cliente (CMEK). Quando proteggi i dati nei servizi Google Cloud con CMEK, la chiave CMEK è sotto il tuo controllo.

L'utilizzo di CMEK non fornisce necessariamente una maggiore sicurezza rispetto ai meccanismi di crittografia predefiniti di Google. Inoltre, l'utilizzo di CMEK comporta costi aggiuntivi relativi a Cloud KMS. L'uso di CMEK ti consente di controllare più aspetti del ciclo di vita e della gestione delle tue chiavi, ad esempio (a titolo esemplificativo) le seguenti funzionalità:

  • Puoi controllare la capacità di Google di decriptare i dati at-rest disattivando le chiavi utilizzate per proteggere tali dati.
  • Puoi proteggere i tuoi dati utilizzando una chiave che soddisfi i requisiti specifici di località o residenza.
  • Puoi ruotare automaticamente o manualmente le chiavi utilizzate per proteggere i tuoi dati.
  • Puoi proteggere i tuoi dati utilizzando una chiave Cloud HSM o una chiave di gestione chiavi esterna di Cloud oppure una chiave esistente importata in Cloud KMS.

Integrazioni CMEK

Quando un servizio supporta CMEK, si dice che abbia un'integrazione CMEK. Alcuni servizi, come GKE, prevedono più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio.

Per la procedura esatta per abilitare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Puoi aspettarti una procedura simile a questa:

  1. Puoi creare o importare una chiave Cloud KMS selezionando la località geograficamente il più vicino possibile alla località delle risorse del servizio. Il servizio e la chiave possono essere nello stesso progetto o in progetti diversi. Questa è la chiave CMEK.

  2. Devi concedere il ruolo IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave CMEK all'account di servizio per il servizio.

  3. Configura il servizio in modo che utilizzi la chiave CMEK per proteggerne i dati. Ad esempio, puoi configurare un cluster GKE in modo che utilizzi CMEK per proteggere i dati restati sui dischi di avvio dei nodi.

Se l'account di servizio ha questo ruolo, il servizio può criptare e decriptare i propri dati. Se revochi il ruolo o se disattivi o distruggi la chiave CMEK, non sarà possibile accedere ai relativi dati.

Conformità CMEK

Alcuni servizi non archiviano direttamente i dati né li archiviano solo per un breve periodo di tempo, come passaggio intermedio in un'operazione a lunga esecuzione. Per questo tipo di carico di lavoro, non è pratico criptare separatamente ogni scrittura. Questi servizi non offrono integrazioni CMEK, ma possono offrire conformità CMEK, spesso senza alcuna configurazione da parte tua.

Un servizio compatibile con CMEK cripta i dati temporanei utilizzando una chiave temporanea che esiste solo in memoria e non è mai scritta su disco. Quando i dati temporanei non sono più necessari, la chiave temporanea viene svuotata dalla memoria e non è più possibile accedere ai dati criptati, anche se la risorsa di archiviazione esiste ancora.

Un servizio compatibile con CMEK potrebbe consentire di inviare output a un servizio con integrazione CMEK, ad esempio Cloud Storage.

Criteri dell'organizzazione CMEK (anteprima)

Google Cloud offre due vincoli dei criteri dell'organizzazione per garantire l'utilizzo di CMEK in tutta l'organizzazione. Questi vincoli consentono agli amministratori dell'organizzazione di richiedere l'utilizzo di CMEK e di limitare le chiavi di Cloud KMS utilizzate per la protezione CMEK. Per saperne di più, consulta i criteri dell'organizzazione CMEK.

Passaggi successivi