O Cloud Key Management Service (Cloud KMS) permite criar e gerenciar chaves CMEK para nos serviços compatíveis do Google Cloud e nos seus aplicativos. Com o Cloud KMS, é possível fazer o seguinte:
Gere chaves de software ou hardware e importe chaves existentes para Cloud KMS, ou vincule chaves externas na sua chave externa compatível de segurança da informação (EKM, na sigla em inglês).
Use chaves de criptografia gerenciadas pelo cliente (CMEKs) nos produtos do Google Cloud com a integração de CMEK. as integrações de CMEK usam as chaves CMEK para criptografar ou "encapsular" as chaves de criptografia de dados (DEKs). O agrupamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado criptografia de envelope.
use o Autokey do Cloud KMS. (Pré-lançamento) para automatizar o provisionamento e atribuição. Com o Autokey, não é preciso provisionar keyrings, chaves e contas de serviço com antecedência. Em vez disso, eles são gerados demanda como parte da criação de recursos.
Use chaves do Cloud KMS para operações de criptografia e descriptografia. Para exemplo, é possível usar a API Cloud KMS ou as bibliotecas de cliente para use as chaves do Cloud KMS para clientes criptografia.
Use as chaves do Cloud KMS para criar ou verificar assinaturas digitais ou assinaturas de código de autenticação de mensagens (MAC).
Escolha a criptografia ideal para suas necessidades
Você pode usar a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades para cada caso de uso. A melhor solução para suas necessidades pode incluir uma mistura de abordagens de criptografia. Por exemplo, é possível usar chaves de software os dados e hardwares menos sensíveis ou chaves externas para os arquivos dados. Para mais informações sobre as opções de criptografia descritas neste consulte Como proteger dados no Google Cloud em nesta página.
Tipo de criptografia | Custo | Serviços compatíveis | Recursos |
---|---|---|---|
Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud) | Incluído | Todos os serviços do Google Cloud que armazenam dados do cliente |
|
Chaves de criptografia gerenciadas pelo cliente:
software (chaves do Cloud KMS) |
US$ 0,06 por versão de chave | 40 ou mais serviços |
|
Gerenciadas pelo cliente
chaves de criptografia: hardware (chaves do Cloud HSM) |
US$ 1,00 a US $2,50 por versão de chave por mês | 40 ou mais serviços |
|
Gerenciadas pelo cliente
chaves de criptografia: externas (chaves do Cloud EKM) |
US$ 3,00 por versão de chave por mês | Mais de 30 serviços |
|
Criptografia do lado do cliente usando chaves do Cloud KMS | O custo das versões de chave ativas depende do nível de proteção do de dados. | Usar bibliotecas de cliente nos seus aplicativos |
|
Chaves de criptografia fornecidas pelo cliente | Pode aumentar os custos associados ao Compute Engine ou Cloud Storage |
|
|
Computação confidencial | Custo extra para cada VM confidencial. pode aumentar o uso de registros e os custos associados |
|
Como proteger os dados no Google Cloud
Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud)
Por padrão, os dados em repouso no Google Cloud são protegidos por chaves no keystore, o serviço de gerenciamento de chaves interno do Google. No Keystore, as chaves são gerenciadas automaticamente pelo Google, sem necessidade de configuração da sua parte. Mais frequentes automaticamente alternam as chaves para você. O keystore oferece suporte a uma chave primária mais recente e um número limitado de versões de chave mais antigas. A versão da chave primária é para criptografar novas chaves de criptografia de dados. Versões de chave mais antigas ainda podem ser usadas para descriptografar as chaves de criptografia de dados atuais. Não é possível visualizar nem gerenciar essas chaves ou revisar os registros de uso das chaves. Dados de vários clientes podem usar a mesma chave chave de criptografia de dados.
Essa criptografia padrão usa módulos criptográficos validados para serem Conformidade com FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente (CMEKs)
as chaves do Cloud KMS usadas para proteger seus recursos Os serviços integrados com CMEKs são chaves de criptografia gerenciadas pelo cliente (CMEKs). Você pode ser proprietário e controlar CMEKs, delegando tarefas de criação e atribuição de chaves para a chave automática do Cloud KMS (pré-lançamento). Para saber para saber mais sobre como automatizar o provisionamento para CMEKs, consulte Cloud Key Management Service com Autokey.
É possível usar as chaves do Cloud KMS serviços compatíveis para ajudar você a atingir as metas a seguir:
Tenha suas chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
excluir seletivamente os dados protegidos pelas chaves em caso de desligamento ou para remediar ocorrências de segurança (trituração criptográfica).
Crie chaves dedicadas de locatário único que estabelecem um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e aos dados nas chaves de criptografia.
Cumprir regulamentos atuais ou futuros que exigem qualquer um desses objetivos.
Ao usar chaves do Cloud KMS com serviços integrados com CMEKs, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado políticas. Por exemplo, é possível definir uma política da organização que garante que seus recursos compatíveis do Google Cloud usam sua Cloud KMS chaves para criptografia. As políticas da organização também podem especificar em que os recursos da chave precisam residir.
Os recursos e o nível de proteção fornecidos dependem do nível de proteção do a chave:
Chaves de software: é possível gerar chaves de software no Cloud KMS e em todos os locais do Google Cloud. Você podem criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados pelo FIPS 140-2 Nível 1. Também é possível controlar o período de rotação, Permissões e papéis do Identity and Access Management (IAM) e políticas da organização que regem suas chaves. É possível usar suas chaves de software com mais de recursos compatíveis do Google Cloud.
Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. É possível importar novas versões de chave para fazer a rotação manual das chaves importadas. É possível usar os papéis do IAM e e políticas da organização para controlar o uso das chaves importadas.
Chaves de hardware e Cloud HSM: é possível gerar chaves de hardware no um cluster de hardware FIPS 140-2 Nível 3 de segurança na nuvem (HSMs, na sigla em inglês). Você controla o período de rotação as permissões e os papéis do IAM e as políticas da organização que para controlar suas chaves. Quando você cria chaves do HSM usando o Cloud HSM, gerencia os clusters do HSM para que você não precise fazer isso. É possível usar as chaves do HSM com mais de 40 Google Cloud compatíveis recursos, os mesmos serviços que oferecem suporte chaves de software. Para ter o mais alto nível de compliance de segurança, use hardware chaves.
Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externo (EKM). O Cloud EKM permite que você use chaves mantidas um gerenciador de chaves compatível para proteger recursos do Google Cloud. É possível se conectar ao EKM pela Internet ou por uma Nuvem privada virtual (VPC). Alguns serviços do Google Cloud que oferecem suporte a chaves de software ou hardware não são compatíveis com chaves EKM do Cloud.
Chaves do Cloud KMS
É possível usar as chaves do Cloud KMS em aplicativos personalizados com o Bibliotecas de cliente do Cloud KMS ou API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.
Chaves de criptografia fornecidas pelo cliente (CSEKs)
O Cloud Storage e o Compute Engine podem usar chaves de criptografia fornecidas pelo cliente (CSEKs, na sigla em inglês). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage ou ao Compute Engine quando necessário. O Google não armazena suas CSEKs de nenhuma forma.
Computação confidencial
No Compute Engine, GKE e Dataproc, é possível usar a plataforma de Computação confidencial para criptografar seus dados em uso. A Computação confidencial garante que seus dados permaneçam privados e criptografados mesmo enquanto são processados.