Panoramica di Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) consente di creare e gestire le chiavi CMEK per nei servizi Google Cloud compatibili e nelle tue applicazioni. Con Cloud KMS puoi:

  • Genera chiavi software o hardware, importa chiavi esistenti in Cloud KMS o collega chiavi esterne nel tuo sistema di gestione delle chiavi esterne (EKM) compatibile.

  • Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Google Cloud prodotti con l'integrazione CMEK. Le integrazioni CMEK utilizzano le tue chiavi CMEK per criptarle o eseguirne il wrapping le tue chiavi di crittografia dei dati (DEK, Data Encryption Keys). Il wrapping delle DEK con chiavi di crittografia della chiave (KEK) viene chiamato crittografia busta.

  • Utilizza Cloud KMS Autokey (Anteprima) per automatizzare il provisioning e compito. Con Autokey, non è necessario eseguire il provisioning dei keyring, di chiavi e account di servizio. Vengono generati invece della domanda nell'ambito della creazione di risorse.

  • Utilizza le chiavi Cloud KMS per le operazioni di crittografia e decriptazione. Per Ad esempio, puoi utilizzare l'API Cloud KMS o le librerie client utilizza le chiavi Cloud KMS per lato client la crittografia dei dati.

  • Utilizza le chiavi Cloud KMS per creare o verificare firme digitali o firme per il codice di autenticazione dei messaggi (MAC).

Scegliere la crittografia adatta alle tue esigenze

Puoi usare la tabella seguente per identificare il tipo di crittografia che soddisfa le per ogni caso d'uso. La soluzione migliore per le tue esigenze potrebbe includere un mix di approcci alla crittografia. Ad esempio, potresti utilizzare chiavi software per i tuoi dati e hardware meno sensibili o chiavi esterne per le applicazioni e i dati di Google Cloud. Per ulteriori informazioni sulle opzioni di crittografia descritte in consulta Protezione dei dati in Google Cloud sulla su questa pagina.

Tipo di crittografia Costo Servizi compatibili Funzionalità
Chiavi di proprietà di Google e gestite da Google (crittografia predefinita di Google Cloud) Inclusa Tutti i servizi Google Cloud che archiviano i dati dei clienti
  • Nessuna configurazione richiesta.
  • Cripta automaticamente i dati dei clienti salvati in dal servizio Google Cloud.
  • La maggior parte dei servizi ruota automaticamente le chiavi.
  • Supporta la crittografia utilizzando AES-256.
  • Certificazione FIPS 140-2 Livello 1.
Chiavi di crittografia gestite dal cliente software
(chiavi Cloud KMS)
0,06 $ per versione della chiave Più di 40 servizi
Gestita dal cliente chiavi di crittografia: hardware
(chiavi Cloud HSM)
Da $ 1,00 a $2,50 per versione della chiave al mese Più di 40 servizi
Chiavi di crittografia gestite dal cliente - esterne
(chiavi EKM cloud)
3,00 $ per versione della chiave al mese Più di 30 servizi
Crittografia lato client utilizzando le chiavi Cloud KMS Il costo delle versioni delle chiavi attive dipende dal livello di protezione chiave. Utilizzare le librerie client nelle tue applicazioni
  • Puoi controllare la pianificazione della rotazione automatica delle chiavi; i ruoli e le autorizzazioni IAM; attivare, disattivare o distruggere le versioni delle chiavi.
  • Supporta chiavi simmetriche e asimmetriche per crittografia, decrittografia, firma e convalida della firma.
  • La funzionalità varia in base al livello di protezione della chiave.
Chiavi di crittografia fornite dal cliente Potrebbe aumentare i costi associati a Compute Engine Cloud Storage
  • Fornisci i materiali chiave quando necessario.
  • Il materiale delle chiavi risiede in memoria: Google non archivia permanentemente le tue chiavi sui suoi server.
Confidential Computing Costo aggiuntivo per ogni Confidential VM. potrebbe aumentare l'utilizzo dei log e i costi associati
  • Fornisce la crittografia in uso per le VM che gestiscono dati sensibili carichi di lavoro con scale out impegnativi.
  • Google non può accedere alle chiavi.

Protezione dei dati in Google Cloud

Chiavi di proprietà di Google e gestite da Google (crittografia predefinita di Google Cloud)

Per impostazione predefinita, i dati at-rest in Google Cloud sono protetti dalle chiavi Archivio chiavi, il servizio interno di gestione delle chiavi di Google. Le chiavi nell'archivio chiavi vengono gestite automaticamente da Google, senza necessità di configurazione da parte tua. Più alta ruotano automaticamente le chiavi. L'archivio chiavi supporta una chiave primaria e un numero limitato di versioni precedenti della chiave. La versione della chiave primaria è utilizzate per criptare le nuove chiavi di crittografia dei dati. È possibile continuare a utilizzare le versioni precedenti della chiave per decriptare le chiavi di crittografia dei dati esistenti. Non puoi visualizzare o gestire queste chiavi o esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave chiave di crittografia.

Questa crittografia predefinita utilizza moduli crittografici convalidati per essere Conforme allo standard FIPS 140-2 Livello 1.

Chiavi di crittografia gestite dal cliente (CMEK)

Chiavi Cloud KMS utilizzate per proteggere le risorse in I servizi integrati con CMEK sono chiavi di crittografia gestite dal cliente (CMEK). Puoi controllare le CMEK e controllarle, delegando al contempo attività di creazione e assegnazione delle chiavi Cloud KMS Autokey (anteprima). Per ulteriori informazioni di più sull'automazione del provisioning per le CMEK, vedi Cloud Key Management Service with Autokey.

Puoi utilizzare le chiavi Cloud KMS in servizi compatibili per aiutarti a raggiungere i seguenti obiettivi:

  • Possiedi le chiavi di crittografia.

  • Controlla e gestisci le tue chiavi di crittografia, inclusa la scelta della posizione, del livello di protezione, della creazione, del controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.

  • Eliminare in modo selettivo i dati protetti dalle tue chiavi in caso di offboarding o per risolvere gli eventi di sicurezza (crypto-shredding).

  • Crea chiavi dedicate a singolo tenant che stabiliscono un confine crittografico intorno ai tuoi dati.

  • Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.

  • Rispettare le normative attuali o future che richiedono uno di questi obiettivi.

Quando utilizzi chiavi Cloud KMS con servizi integrati con CMEK, puoi usare dell'organizzazione per garantire che le CMEK vengano utilizzate come specificato criteri. Ad esempio, puoi impostare un criterio dell'organizzazione per garantire che le risorse Google Cloud compatibili usano Cloud KMS chiavi per la crittografia. I criteri dell'organizzazione possono inoltre specificare il progetto risorse della chiave devono risiedere.

Le funzionalità e il livello di protezione forniti dipendono dal livello di protezione di chiave:

  • Chiavi software: puoi generare chiavi software in Cloud KMS e usarle in tutte le località Google Cloud. Tu Possono creare chiavi simmetriche con la rotazione automatica oppure chiavi asimmetriche con rotazione manuale. Utilizzo delle chiavi software gestite dal cliente Software convalidato FIPS 140-2 di livello 1 moduli di crittografia. Hai anche il controllo sul periodo di rotazione, su ruoli e autorizzazioni di Identity and Access Management (IAM) e sui criteri dell'organizzazione che regolano le tue chiavi. Puoi utilizzare le chiavi software con oltre 40 risorse Google Cloud compatibili.

  • Chiavi software importate: puoi importare le chiavi software che hai creato altrove per utilizzarle in Cloud KMS. Puoi importare nuove versioni della chiave ruotare manualmente le chiavi importate. Puoi utilizzare i ruoli IAM autorizzazioni e criteri dell'organizzazione per gestire l'utilizzo delle chiavi importate.

  • Chiavi hardware e Cloud HSM: puoi generare chiavi hardware in un cluster di moduli di sicurezza hardware (HSM) FIPS 140-2 di livello 3. Hai il controllo sul periodo di rotazione, ruoli e autorizzazioni IAM e criteri dell'organizzazione le tue chiavi. Quando crei chiavi HSM utilizzando Cloud HSM, Google gestisce i cluster HSM per te. Puoi utilizzare le tue chiavi HSM con oltre 40 risorse Google Cloud compatibili, gli stessi servizi che supportano le chiavi software. Per il massimo livello di conformità alla sicurezza, utilizza hardware chiave.

  • Chiavi esterne e Cloud EKM: puoi utilizzare le chiavi che risiedono in un gestore di chiavi esterno (EKM). Cloud EKM consente di utilizzare le chiavi conservate in un gestore di chiavi supportato per proteggere dell'accesso a specifiche risorse Google Cloud. Puoi connetterti al tuo EKM su internet o tramite un Virtual Private Cloud (VPC). Alcune funzionalità di Google Cloud i servizi che supportano chiavi hardware o software non supportano Chiavi Cloud EKM.

Chiavi Cloud KMS

Puoi utilizzare le chiavi Cloud KMS in applicazioni personalizzate utilizzando librerie client di Cloud KMS o API Cloud KMS. Le librerie client e API consentono di criptare e decriptare i dati, firmare i dati e convalidare le firme.

Chiavi di crittografia fornite dal cliente (CSEK)

Cloud Storage e Compute Engine possono utilizzare chiavi di crittografia fornite dal cliente (CSEK). Con il set di dati fornito dal cliente chiavi di crittografia, il materiale della chiave viene archiviato e fornito Cloud Storage o Compute Engine a seconda delle esigenze. Google non archiviare le CSEK in alcun modo.

Confidential Computing

In Compute Engine, GKE e Dataproc puoi Utilizzare la piattaforma Confidential Computing per criptare i dati in uso. Confidential Computing garantisce che i tuoi dati rimangano privati e criptati anche durante l'elaborazione.