Cloud Key Management Service (Cloud KMS) vous permet de créer et de gérer des clés de chiffrement à utiliser dans les services Google Cloud compatibles et dans vos propres applications. Avec Cloud KMS, vous pouvez effectuer les opérations suivantes:
Générez des clés logicielles ou matérielles, importez des clés existantes dans Cloud KMS ou associez des clés externes dans votre système de gestion de clés externes (EKM) compatible.
Utiliser des clés de chiffrement gérées par le client (CMEK) dans les produits Google Cloud avec l'intégration de CMEK Les intégrations CMEK utilisent vos clés CMEK pour chiffrer ou "encapsuler" vos clés de chiffrement de données (DEK). L'encapsulation de clés DEK avec des clés de chiffrement de clé (KEK) s'appelle le chiffrement encapsulé.
Utilisez des clés Cloud KMS pour les opérations de chiffrement et de déchiffrement. Par exemple, vous pouvez utiliser l'API Cloud KMS ou les bibliothèques clientes pour utiliser vos clés Cloud KMS pour le chiffrement côté client.
Utilisez les clés Cloud KMS pour créer ou valider des signatures numériques ou des signatures MAC (Message Authentication Code).
Choisissez le chiffrement adapté à vos besoins
Vous pouvez utiliser le tableau suivant pour identifier le type de chiffrement qui répond à vos besoins pour chaque cas d'utilisation. La meilleure solution à vos besoins peut inclure une combinaison d’approches de chiffrement. Par exemple, vous pouvez utiliser des clés logicielles pour vos données les moins sensibles et des clés matérielles ou externes pour vos données les plus sensibles. Pour plus d'informations sur les options de chiffrement décrites dans cette section, consultez la section Protéger des données dans Google Cloud sur cette page.
Encryption type | Coût | Services compatibles | Fonctionnalités |
---|---|---|---|
Chiffrement par défaut dans Google Cloud | Incluse | Tous les services Google Cloud qui stockent les données client |
|
Clés de chiffrement gérées par le client : logiciels (clés Cloud KMS) |
Faible : 0,06 $ par version de clé | Plus de 30 services |
|
Clés de chiffrement gérées par le client : matériel (clés Cloud HSM) |
Moyenne : de 1 à 2,50 $ par version de clé et par mois | Plus de 30 services |
|
Clés de chiffrement gérées par le client – externe (clés Cloud EKM) |
Élevée : 3,00 $ par version de clé et par mois | Plus de 20 services |
|
Chiffrement côté client à l'aide de clés Cloud KMS | Le coût des versions de clé actives dépend du niveau de protection de la clé. | Utilisez des bibliothèques clientes dans vos applications |
|
Clés de chiffrement fournies par le client | Augmentation des coûts associés à Compute Engine ou Cloud Storage |
|
|
Informatique confidentielle | Coût supplémentaire pour chaque Confidential VM. Peut augmenter l'utilisation des journaux et les coûts associés |
|
Protéger les données dans Google Cloud
Chiffrement par défaut dans Google Cloud
Par défaut, les données au repos dans Google Cloud sont protégées par des clés dans Keystore, le service interne de gestion des clés de Google. Les clés du keystore sont gérées automatiquement par Google, sans aucune configuration de votre part. La plupart des services alternent automatiquement les clés pour vous. Le keystore est compatible avec une version de clé primaire et un nombre limité d'anciennes versions de clé. La version de clé primaire permet de chiffrer les nouvelles clés de chiffrement des données. Les anciennes versions de clé peuvent toujours être utilisées pour déchiffrer les clés de chiffrement de données existantes.
Ce chiffrement par défaut utilise des modules de chiffrement validés pour la conformité avec la norme FIPS 140-2 niveau 1. Si vous n'avez pas d'exigences spécifiques pour un niveau de protection plus élevé, l'utilisation du chiffrement par défaut peut répondre à vos besoins sans frais supplémentaires.
Clés de chiffrement gérées par le client (CMEK)
Pour les cas d'utilisation nécessitant un niveau plus élevé de contrôle ou de protection, vous pouvez utiliser des clés Cloud KMS gérées par le client dans les services compatibles. Lorsque vous utilisez des clés Cloud KMS dans des intégrations de clés CMEK, vous pouvez appliquer des règles d'administration pour vous assurer qu'elles sont utilisées comme spécifié dans les règles. Par exemple, vous pouvez définir une règle d'administration qui garantit que vos ressources Google Cloud compatibles utilisent vos clés Cloud KMS pour le chiffrement. Les règles d'administration peuvent également spécifier le projet dans lequel les ressources de clé doivent résider.
Les fonctionnalités et le niveau de protection fournis dépendent du niveau de protection de la clé:
Clés logicielles : vous pouvez générer des clés logicielles dans Cloud KMS et les utiliser dans tous les emplacements Google Cloud. Vous pouvez créer des clés symétriques avec rotation automatique ou des clés asymétriques avec rotation manuelle. Les clés logicielles gérées par le client utilisent des modules de cryptographie logiciels certifiés FIPS 140-2 niveau 1. Vous contrôlez également la période de rotation, les rôles et autorisations IAM (Identity and Access Management) et les règles d'administration qui régissent vos clés. Vous pouvez utiliser vos clés logicielles avec plus de 30 ressources Google Cloud compatibles.
Clés logicielles importées : vous pouvez importer des clés logicielles que vous avez créées ailleurs pour les utiliser dans Cloud KMS. Vous pouvez importer de nouvelles versions de clé pour effectuer une rotation manuelle des clés importées. Vous pouvez utiliser des autorisations et des rôles IAM, ainsi que des règles d'administration pour régir l'utilisation de vos clés importées.
Clés matérielles et Cloud HSM : vous pouvez générer des clés matérielles dans un cluster de modules de sécurité matériel (HSM) FIPS 140-2 niveau 3. Vous contrôlez la période de rotation, les rôles et autorisations IAM, ainsi que les règles d'administration qui régissent vos clés. Lorsque vous créez des clés HSM à l'aide de Cloud HSM, Google gère les clusters HSM à votre place. Vous pouvez utiliser vos clés HSM avec plus de 30 ressources Google Cloud compatibles, les mêmes services compatibles avec les clés logicielles. Pour garantir le plus haut niveau de conformité de sécurité, utilisez des clés matérielles.
Clés externes et Cloud EKM : vous pouvez utiliser des clés qui se trouvent dans un gestionnaire de clés externe (EKM). Cloud EKM vous permet d'utiliser des clés conservées dans un gestionnaire de clés compatible pour sécuriser vos ressources Google Cloud. Vous pouvez vous connecter à votre EKM via Internet ou via un cloud privé virtuel (VPC). Certains services Google Cloud compatibles avec les clés logicielles ou matérielles ne sont pas compatibles avec les clés Cloud EKM.
Clés Cloud KMS
Vous pouvez utiliser vos clés Cloud KMS dans des applications personnalisées à l'aide des bibliothèques clientes Cloud KMS ou de l'API Cloud KMS. Les bibliothèques clientes et l'API vous permettent de chiffrer et de déchiffrer des données, de les signer et de valider des signatures.
Clés de chiffrement fournies par le client (CSEK)
Cloud Storage et Compute Engine peuvent utiliser des clés de chiffrement fournies par le client (CSEK). Avec les clés de chiffrement fournies par le client, vous stockez le matériel de clé et le fournissez à Cloud Storage ou Compute Engine si nécessaire. Google ne stocke en aucune façon vos CSEK.
Informatique confidentielle
Dans Compute Engine, GKE et Dataproc, vous pouvez chiffrer vos données utilisées à l'aide de la plate-forme d'informatique confidentielle. L'informatique confidentielle garantit que vos données restent privées et chiffrées même pendant leur traitement.