O Cloud Key Management Service (Cloud KMS) permite criar e gerenciar chaves criptográficas para uso em serviços Google Cloud compatíveis e nos seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:
- Gerar chaves de software ou hardware, importar chaves atuais para o Cloud KMS ou vincular chaves externas no sistema de gerenciamento de chaves externas (EKM) compatível.
- Usar chaves de criptografia gerenciadas pelo cliente (CMEKs) em Google Cloud produtos com integração de CMEK. As integrações do CMEK usam suas chaves do Cloud KMS para criptografar ou "unir" suas chaves de criptografia de dados (DEKs). O encapsulamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado de criptografia de envelope.
- Use o Cloud KMS Autokey para automatizar o provisionamento e a atribuição. Com a Autokey, não é preciso provisionar keyrings, chaves e contas de serviço com antecedência. Em vez disso, eles são gerados sob demanda como parte da criação de recursos.
- Use chaves do Cloud KMS para operações de criptografia e descriptografia. Por exemplo, é possível usar a API Cloud KMS ou as bibliotecas de cliente para usar as chaves do Cloud KMS para criptografia do lado do cliente.
- Use chaves do Cloud KMS para criar ou verificar assinaturas digitais ou códigos de autenticação de mensagens (MAC, na sigla em inglês).
Escolha a criptografia certa para suas necessidades
Use a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades para cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, você pode usar chaves de software para dados menos sensíveis e chaves de hardware ou externas para dados mais sensíveis. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Proteger dados em Google Cloud nesta página.
| Tipo de criptografia | Custo | Serviços compatíveis | Recursos |
|---|---|---|---|
| Google-owned and Google-managed encryption keys (Google Cloud criptografia padrão) | Incluído | Todos os Google Cloud serviços que armazenam dados do cliente |
|
| Chaves de criptografia
gerenciadas pelo cliente: software (chaves do Cloud KMS) |
US$ 0,06 por versão de chave | Mais de 40 serviços |
|
| Chaves de criptografia gerenciadas pelo cliente:
hardware (chaves do Cloud HSM) |
US$ 1,00 a US $2,50 por versão de chave por mês | Mais de 40 serviços |
|
| Chaves de criptografia gerenciadas pelo cliente: externas (chaves do Cloud EKM) |
US$ 3,00 por versão de chave por mês | Mais de 30 serviços |
|
| Criptografia do lado do cliente usando chaves do Cloud KMS | O custo das versões de chaves ativas depende do nível de proteção da chave. | Usar bibliotecas de cliente nos seus aplicativos |
|
| Chaves de criptografia fornecidas pelo cliente | Pode aumentar os custos associados ao Compute Engine ou ao Cloud Storage |
|
|
| Computação confidencial | Custo adicional para cada VM confidencial. Pode aumentar o uso de registros e os custos associados |
|
Como proteger dados em Google Cloud
Google-owned and Google-managed encryption keys (Google Cloud criptografia padrão)
Por padrão, os dados em repouso em Google Cloud são protegidos por chaves no Keystore,o serviço de gerenciamento de chaves interno do Google Cloud. As chaves no Keystore são gerenciadas automaticamente por Google Cloud, sem necessidade de configuração. A maioria dos serviços faz a rotação automática de chaves para você. O Keystore oferece suporte a uma versão de chave principal e a um número limitado de versões de chave mais antigas. A versão da chave principal é usada para criptografar novas chaves de criptografia de dados. As versões de chaves mais antigas ainda podem ser usadas para descriptografar chaves de criptografia de dados. Não é possível acessar ou gerenciar essas chaves nem revisar os registros de uso delas. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves.
Essa criptografia padrão usa módulos criptográficos validados para serem compatíveis com o FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente (CMEKs)
As chaves do Cloud KMS usadas para proteger seus recursos em serviços integrados a CMEKs são chaves de criptografia gerenciadas pelo cliente (CMEKs). Você pode ter e controlar CMEKs, delegando tarefas de criação e atribuição de chaves ao Cloud KMS Autokey. Para saber mais sobre como automatizar o provisionamento de CMEKs, consulte Cloud Key Management Service com Autokey.
Você pode usar suas chaves do Cloud KMS em serviços compatíveis para alcançar os seguintes objetivos:
Ter suas próprias chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Exclua seletivamente os dados protegidos pelas suas chaves no caso de desativação ou para remediar eventos de segurança (fragmentação criptográfica).
Crie chaves dedicadas e de locatário único que estabeleçam um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e de dados às chaves de criptografia.
Atender a regulamentações atuais ou futuras que exijam qualquer uma dessas metas.
Ao usar chaves do Cloud KMS com serviços integrados a CMEKs, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que os recursos Google Cloud compatíveis usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos principais precisam residir.
Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:
Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os Google Cloud locais. É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados pelo FIPS 140-2 Nível 1. Você também tem controle sobre o período de rotação, os papéis e as permissões do Identity and Access Management (IAM) e as políticas da organização que regem suas chaves. É possível usar as chaves de software com muitos recursos Google Cloud compatíveis.
Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. É possível importar novas versões de chave para alternar manualmente as chaves importadas. É possível usar papéis e permissões do IAM e políticas da organização para governar o uso das chaves importadas.
Chaves de hardware e Cloud HSM: é possível gerar chaves de hardware em um cluster de módulos de segurança de hardware (HSMs) FIPS 140-2 Nível 3. Você tem controle sobre o período de rotação, as funções e permissões do IAM e as políticas da organização que regem suas chaves. Quando você cria chaves de HSM usando o Cloud HSM,o Google Cloud gerencia os clusters de HSM para que você não precise fazer isso. É possível usar suas chaves do HSM com muitos recursos Google Cloudcompatíveis, os mesmos serviços que oferecem suporte a chaves de software. Para o maior nível de conformidade com a segurança, use chaves de hardware.
Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externo (EKM). O Cloud EKM permite usar chaves armazenadas em um gerenciador de chaves com suporte para proteger seus Google Cloud recursos. É possível se conectar ao EKM pela Internet ou por uma nuvem privada virtual (VPC). Alguns Google Cloud serviços compatíveis com chaves do Cloud KMS não são compatíveis com chaves do Cloud EKM.
Chaves do Cloud KMS
É possível usar suas chaves do Cloud KMS em aplicativos personalizados usando as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.
Chaves de criptografia fornecidas pelo cliente (CSEKs)
O Cloud Storage e o Compute Engine podem usar chaves de criptografia fornecidas pelo cliente (CSEKs). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage ou ao Compute Engine quando necessário. Google Cloud não armazena as CMEKs de nenhuma forma.Computação confidencial
No Compute Engine, GKE e Dataproc, é possível usar a plataforma de computação confidencial para criptografar os dados em uso. A Computação confidencial garante que seus dados permaneçam privados e criptografados, mesmo durante o processamento.