O Cloud Key Management Service (Cloud KMS) permite criar e gerenciar chaves CMEK para uso em serviços compatíveis do Google Cloud e nos seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:
Gere chaves de software ou hardware, importe chaves atuais para o Cloud KMS ou vincule chaves externas no sistema de gerenciamento de chaves externo (EKM) compatível.
Use chaves de criptografia gerenciadas pelo cliente (CMEKs) nos produtos do Google Cloud com a integração de CMEK. As integrações de CMEK usam as chaves CMEK para criptografar ou "encapsular" as chaves de criptografia de dados (DEKs). O agrupamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado de criptografia de envelope.
Use o Autokey do Cloud KMS (Pré-lançamento) para automatizar o provisionamento e a atribuição. Com o Autokey, você não precisa provisionar keyrings, chaves e contas de serviço antecipadamente. Em vez disso, eles são gerados sob demanda como parte da criação de recursos.
Use as chaves do Cloud KMS para operações de criptografia e descriptografia. Por exemplo, use a API Cloud KMS ou as bibliotecas de cliente para usar as chaves do Cloud KMS na criptografia do lado do cliente.
Use as chaves do Cloud KMS para criar ou verificar assinaturas digitais ou assinaturas com código de autenticação de mensagem (MAC, na sigla em inglês).
Escolha a criptografia ideal para suas necessidades
Use a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades em cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, você pode usar chaves de software para os dados menos confidenciais e hardware ou chaves externas para os dados mais confidenciais. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Como proteger dados no Google Cloud nesta página.
Tipo de criptografia | Custo | Serviços compatíveis | Recursos |
---|---|---|---|
Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud) | Incluído | Todos os serviços do Google Cloud que armazenam dados do cliente |
|
Chaves de criptografia gerenciadas pelo cliente:
software (chaves do Cloud KMS) |
US$ 0,06 por versão de chave | Mais de 40 serviços |
|
Chaves de criptografia
gerenciadas pelo cliente: hardware (chaves do Cloud HSM) |
US$ 1,00 a US $2,50 por versão de chave por mês | Mais de 40 serviços |
|
Chaves de criptografia
gerenciadas pelo cliente: externas (chaves do Cloud EKM) |
US$ 3,00 por versão de chave por mês | Mais de 30 serviços |
|
Criptografia do lado do cliente usando chaves do Cloud KMS | O custo das versões de chave ativas depende do nível de proteção da chave. | Use bibliotecas de cliente nos seus aplicativos |
|
Chaves de criptografia fornecidas pelo cliente | Pode aumentar os custos associados ao Compute Engine ou ao Cloud Storage |
|
|
Computação confidencial | Custo extra para cada VM confidencial. Pode aumentar o uso de registros e os custos associados |
|
Como proteger os dados no Google Cloud
Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud)
Por padrão, os dados em repouso no Google Cloud são protegidos por chaves no Keystore, o serviço interno de gerenciamento de chaves do Google. As chaves no Keystore são gerenciadas automaticamente pelo Google, sem necessidade de configuração da sua parte. A maioria dos serviços automaticamente alterna as chaves para você. O keystore aceita uma versão chave primária e um número limitado de versões de chave mais antigas. A versão da chave primária é usada para criptografar novas chaves de criptografia de dados. Versões de chave mais antigas ainda podem ser usadas para descriptografar as chaves de criptografia de dados existentes. Não é possível visualizar ou gerenciar essas chaves nem analisar os registros de uso delas. Dados de vários clientes podem usar a mesma chave de criptografia de chaves.
Essa criptografia padrão usa módulos criptográficos validados para serem compatíveis com o FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente (CMEKs)
As chaves do Cloud KMS usadas para proteger seus recursos em serviços integrados com CMEKs são chaves de criptografia gerenciadas pelo cliente (CMEKs). É possível ter e controlar CMEKs, além de delegar tarefas de criação e atribuição de chaves ao Cloud KMS Autokey (Prévia). Para saber mais sobre como automatizar o provisionamento para CMEKs, consulte Cloud Key Management Service com Autokey.
É possível usar suas chaves do Cloud KMS em serviços compatíveis para ajudar você a atingir os seguintes objetivos:
Tenha suas chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
excluir seletivamente dados protegidos por suas chaves no caso de desligamento ou para corrigir eventos de segurança (trituração criptográfica).
Crie chaves dedicadas de locatário único que estabelecem um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e de dados às chaves de criptografia.
Cumprir regulamentos atuais ou futuros que exigem qualquer um desses objetivos.
Ao usar chaves do Cloud KMS com serviços integrados com CMEK, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que os recursos compatíveis do Google Cloud usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos da chave precisam residir.
Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:
Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os locais do Google Cloud. É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados FIPS 140-2 Nível 1 (em inglês). Você também tem controle sobre o período de rotação, os papéis e permissões do Identity and Access Management (IAM) e as políticas da organização que regem suas chaves. É possível usar suas chaves de software com mais de 40 recursos compatíveis do Google Cloud.
Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. Importe novas versões de chave para alternar manualmente as chaves importadas. É possível usar papéis do IAM, permissões e políticas da organização para controlar o uso das chaves importadas.
Chaves de hardware e Cloud HSM: você pode gerar chaves de hardware em um cluster de módulos de segurança de hardware (HSMs) FIPS 140-2 de nível 3 (links em inglês). Você tem controle sobre o período de rotação, as permissões e os papéis do IAM e as políticas da organização que regem as chaves. Quando você cria chaves do HSM usando o Cloud HSM, o Google gerencia os clusters do HSM para que você não precise se preocupar com isso. É possível usar as chaves do HSM com mais de 40 recursos compatíveis do Google Cloud, os mesmos serviços que oferecem suporte às chaves de software. Para ter o nível mais alto de conformidade de segurança, use chaves de hardware.
Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externo (EKM, na sigla em inglês). O Cloud EKM permite usar chaves mantidas em um gerenciador de chaves compatível para proteger seus recursos do Google Cloud. É possível se conectar ao EKM pela Internet ou por uma nuvem privada virtual (VPC). Alguns serviços do Google Cloud compatíveis com chaves de software ou hardware não aceitam chaves do Cloud EKM.
Chaves do Cloud KMS
É possível usar as chaves do Cloud KMS em aplicativos personalizados com as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. Com as bibliotecas de cliente e a API, é possível criptografar e descriptografar dados, assinar dados e validar assinaturas.
Chaves de criptografia fornecidas pelo cliente (CSEKs)
O Cloud Storage e o Compute Engine podem usar chaves de criptografia fornecidas pelo cliente (CSEKs). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage ou ao Compute Engine quando necessário. O Google não armazena suas CSEKs.
Computação confidencial
No Compute Engine, GKE e Dataproc, é possível usar a plataforma de Computação confidencial para criptografar os dados em uso. A Computação confidencial garante que seus dados permaneçam privados e criptografados mesmo enquanto são processados.