Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Este tópico fornece uma visão geral das chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) e das maneiras de controlar as chaves que protegem seus dados em repouso no Google Cloud.

Criptografia padrão

Todos os dados armazenados no Google Cloud são criptografados em repouso usando os mesmos sistemas de gerenciamento de chaves protegidos que usamos para nossos próprios dados criptografados. Esses sistemas de gerenciamento de chaves fornecem controles de auditoria e chaves de acesso rigorosos e criptografam dados do usuário em repouso usando padrões de criptografia AES-256. Nenhuma configuração ou gerenciamento é necessário. A criptografia padrão do Google Cloud em repouso é a melhor opção para usuários que não têm requisitos específicos relacionados à conformidade ou à localização do material criptográfico.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Se você precisar de mais controle sobre as chaves usadas para criptografar dados em repouso em um projeto do Google Cloud, vários serviços do Google Cloud oferecem a capacidade de proteger os dados relacionados a esses serviços usando chaves de criptografia gerenciadas pelo cliente no Cloud KMS. Essas chaves de criptografia são chamadas de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Quando você protege dados nos serviços do Google Cloud com o CMEK, a chave CMEK está dentro do seu controle.

Usar a CMEK não fornece necessariamente mais segurança do que os mecanismos de criptografia padrão do Google. Além disso, o uso da CMEK gera custos adicionais relacionados ao Cloud KMS. Com o uso da CMEK, você controla mais aspectos do ciclo de vida e do gerenciamento das chaves, como (mas não limitado) os seguintes recursos:

  • Você pode controlar a capacidade do Google de descriptografar dados em repouso desativando as chaves usadas para proteger esses dados.
  • Você pode proteger seus dados usando uma chave que atenda aos requisitos de localidade ou residência específicos.
  • Você pode alternar as chaves de forma automática ou manual para proteger seus dados.
  • Você pode proteger seus dados usando uma chave do Cloud HSM ou uma chave do Cloud External Key Manager ou uma chave atual que você importa para o Cloud KMS.

Integrações com CMEK

Quando um serviço é compatível com CMEK, diz-se que ele tem uma integração com CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço.

Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. Você verá etapas semelhantes a estas:

  1. Crie ou importe uma chave do Cloud KMS, selecionando um local geograficamente o mais próximo possível do local dos recursos do serviço. O serviço e a chave podem estar no mesmo projeto ou em projetos diferentes. Esta é a chave CMEK.

  2. Você concede o papel de IAM do CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK para a conta de serviço.

  3. Configure o serviço para usar a chave CMEK para proteger os dados. Por exemplo, é possível configurar um cluster do GKE para usar o CMEK e proteger dados em repouso nos discos de inicialização dos nós.

Desde que a conta de serviço tenha esse papel, o serviço pode criptografar e descriptografar os dados. Se você revogar o papel ou desativar ou destruir a chave CMEK, esses dados não poderão ser acessados.

Conformidade com o CMEK

Alguns serviços não armazenam dados diretamente ou armazenam apenas por um curto período, como uma etapa intermediária em uma operação de longa duração. Para esse tipo de carga de trabalho, não é prático criptografar cada gravação separadamente. Esses serviços não oferecem integrações de CMEK, mas podem oferecer conformidade com CMEK, muitas vezes sem necessidade de configuração.

Um serviço compatível com CMEK criptografa dados temporários usando uma chave temporária que só existe na memória e nunca é gravada no disco. Quando os dados temporários não são mais necessários, a chave temporária é liberada da memória e os dados criptografados não podem ser acessados, mesmo que o recurso de armazenamento ainda exista.

Um serviço compatível com CMEK pode oferecer a capacidade de enviar a saída para um serviço com uma integração com CMEK, como o Cloud Storage.

A seguir