Cloud External Key Manager

Questo argomento fornisce una panoramica di Cloud External Key Manager (Cloud EKM).

Terminologia

Gestore chiavi esterno (EKM)

Il gestore di chiavi utilizzato al di fuori di Google Cloud per gestire le chiavi.
Gestore chiavi esterno Cloud (Cloud EKM)

Un servizio Google Cloud per l'utilizzo di chiavi esterne gestite all'interno di un EKM supportato.
Cloud EKM tramite internet

Una versione di Cloud EKM in cui Google Cloud comunica con il tuo gestore di chiavi esterno su internet.
Cloud EKM tramite un VPC

Una versione di Cloud EKM in cui Google Cloud comunica con il gestore di chiavi esterno su un Virtual Private Cloud (VPC). Per ulteriori informazioni, consulta Panoramica della rete VPC.
Gestione delle chiavi EKM da Cloud KMS

Quando utilizzi Cloud EKM tramite un VPC con un partner esterno per la gestione delle chiavi che supporta il piano di controllo Cloud EKM, puoi utilizzare la modalità di gestione dell'EKM di Cloud KMS per semplificare il processo di gestione delle chiavi esterne nel tuo partner esterno di gestione delle chiavi e in Cloud EKM. Per maggiori informazioni, consulta Chiavi esterne coordinate e Gestione delle chiavi EKM da Cloud KMS in questa pagina.
Spazio crittografico

Un container per le risorse all'interno del tuo partner esterno per la gestione delle chiavi. Il tuo spazio crittografico è identificato da un percorso univoco. Il formato del percorso dello spazio crittografico varia a seconda del partner esterno per la gestione delle chiavi, ad esempio v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gestito dal partner

Un accordo in cui il tuo EKM è gestito per te da un partner di fiducia. Per ulteriori informazioni, consulta EKM gestito dai partner in questa pagina.
Key Access Justifications

Quando utilizzi Cloud EKM con Key Access Justifications, ogni richiesta al tuo partner esterno per la gestione delle chiavi include un campo che identifica il motivo di ogni richiesta. Puoi configurare il partner esterno per la gestione delle chiavi in modo da consentire o rifiutare le richieste in base al codice fornito per Key Access Justifications. Per ulteriori informazioni su Key Access Justifications, consulta la panoramica di Key Access Justifications.

Panoramica

Con Cloud EKM puoi utilizzare le chiavi gestite all'interno di un partner esterno supportato per la gestione delle chiavi per proteggere i dati all'interno di Google Cloud. Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l'API Cloud Key Management Service.

Cloud EKM offre diversi vantaggi:

Origine della chiave: puoi stabilire la località e la distribuzione delle chiavi gestite esternamente. Le chiavi gestite esternamente non vengono mai memorizzate nella cache o archiviate in Google Cloud. Invece, Cloud EKM comunica direttamente con il partner esterno per la gestione delle chiavi per ogni richiesta.
Controllo dell'accesso: puoi gestire l'accesso alle chiavi gestite esternamente nel gestore di chiavi esterno. Non puoi utilizzare una chiave gestita esternamente in Google Cloud senza prima aver concesso al progetto Google Cloud l'accesso alla chiave nel gestore di chiavi esterno. Puoi revocare l'accesso in qualsiasi momento.
Gestione delle chiavi centralizzata: puoi gestire le chiavi e i criteri di accesso da un'unica interfaccia utente, indipendentemente dal fatto che i dati protetti si trovino nel cloud o on-premise.

In tutti i casi, la chiave si trova sul sistema esterno e non viene mai inviata a Google.

Puoi comunicare con il tuo gestore di chiavi esterno tramite internet o tramite un VPC (Virtual Private Cloud).

Come funziona Cloud EKM

Le versioni delle chiavi Cloud EKM sono composte dai seguenti componenti:

Materiale della chiave esterna: il materiale della chiave esterna di una chiave Cloud EKM è il materiale crittografico creato e archiviato nel tuo EKM. Questo materiale non lascia il tuo EKM e non viene mai condiviso con Google.
Riferimento chiave: ogni versione della chiave Cloud EKM contiene un URI della chiave o un percorso della chiave. Si tratta di un identificatore univoco per il materiale delle chiavi esterne che Cloud EKM utilizza per richiedere operazioni crittografiche con la chiave.
Materiale della chiave interna: quando viene creata una chiave Cloud EKM simmetrica, Cloud KMS crea materiale della chiave aggiuntivo in Cloud KMS, che non lascia mai Cloud KMS. Questo materiale della chiave viene utilizzato come ulteriore livello di crittografia durante la comunicazione con il tuo EKM. Questo materiale della chiave interna non si applica alle chiavi di firma asimmetriche.

Per utilizzare le chiavi Cloud EKM, Cloud EKM invia richieste per operazioni crittografiche al tuo EKM. Ad esempio, per criptare i dati con una chiave di crittografia simmetrica, Cloud EKM cripta prima i dati utilizzando il materiale della chiave interna. I dati criptati sono inclusi in una richiesta all'EKM. L'EKM inserisce i dati criptati in un altro livello di crittografia utilizzando il materiale della chiave esterno, quindi restituisce il testo crittografato risultante. I dati criptati mediante una chiave Cloud EKM non possono essere decriptati senza il materiale della chiave esterna e il materiale della chiave interna.

Se la tua organizzazione ha abilitato Key Access Justifications, il partner esterno per la gestione delle chiavi registra la giustificazione dell'accesso fornita e completa la richiesta solo per i codici dei motivi di giustificazione consentiti dal criterio Key Access Justifications sul partner esterno di gestione delle chiavi.

La creazione e la gestione delle chiavi Cloud EKM richiedono le modifiche corrispondenti sia in Cloud KMS che nell'EKM. Queste modifiche corrispondenti vengono gestite in modo diverso per le chiavi esterne gestite manualmente e per le chiavi esterne coordinate. Tutte le chiavi esterne a cui si accede via internet sono gestite manualmente. Le chiavi esterne accessibili su una rete VPC possono essere gestite o coordinate manualmente, a seconda della modalità di gestione EKM dell'EKM tramite connessione VPC. La modalità di gestione EKM Manuale viene utilizzata per le chiavi gestite manualmente. La modalità di gestione EKM di Cloud KMS viene utilizzata per le chiavi esterne coordinate. Per saperne di più sulle modalità di gestione EKM, consulta Chiavi esterne gestite manualmente e Chiavi esterne coordinate in questa pagina.

Il seguente diagramma mostra come Cloud KMS si inserisce nel modello di gestione delle chiavi. Questo diagramma utilizza Compute Engine e BigQuery come due esempi; puoi anche visualizzare l'elenco completo dei servizi che supportano le chiavi Cloud EKM.

Diagramma che illustra la crittografia e la decrittografia con Cloud EKM

Scopri le considerazioni e le limitazioni relative all'utilizzo di Cloud EKM.

Chiavi esterne gestite manualmente

Questa sezione fornisce un'ampia panoramica del funzionamento di Cloud EKM con una chiave esterna gestita manualmente.

Puoi creare o utilizzare una chiave esistente in un sistema partner di gestione delle chiavi esterno supportato. Questa chiave ha un URI o un percorso chiave univoci.
Concedi al progetto Google Cloud l'accesso per utilizzare la chiave nel sistema esterno di gestione delle chiavi del partner.
Nel tuo progetto Google Cloud, crei una versione della chiave Cloud EKM utilizzando l'URI o il percorso della chiave per la chiave gestita esternamente.
Le operazioni di manutenzione come rotazione della chiave devono essere gestite manualmente tra il tuo EKM e Cloud EKM. Ad esempio, le operazioni di rotazione della versione della chiave o di eliminazione della versione della chiave devono essere completate sia direttamente nel tuo EKM sia in Cloud KMS.

In Google Cloud, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con livello di protezione EXTERNAL o EXTERNAL_VPC. La chiave Cloud EKM e la chiave esterna del partner di gestione delle chiavi lavorano insieme per proteggere i tuoi dati. Il materiale della chiave esterno non viene mai esposto a Google.

Chiavi esterne coordinate

Questa sezione fornisce una panoramica del funzionamento di Cloud EKM con una chiave esterna coordinata.

Hai configurato un EKM tramite connessione VPC, impostando la modalità di gestione EKM su Cloud KMS. Durante la configurazione, devi autorizzare l'EKM ad accedere alla rete VPC e autorizzare l'account di servizio del progetto Google Cloud ad accedere al tuo spazio di crittografia nel tuo EKM. La connessione EKM utilizza il nome host del tuo EKM e un percorso spazio di crittografia che identifica le risorse all'interno del tuo EKM.
Puoi creare una chiave esterna in Cloud KMS. Quando crei una chiave Cloud EKM utilizzando una connessione EKM tramite VPC con la modalità di gestione EKM di Cloud KMS abilitata, i seguenti passaggi vengono eseguiti automaticamente:
1. Cloud EKM invia una richiesta di creazione di chiavi al tuo EKM.
2. Il tuo EKM crea il materiale della chiave richiesto. Questo materiale della chiave esterna rimane nell'EKM e non viene mai inviato a Google.
3. L'EKM restituisce un percorso chiave per Cloud EKM.
4. Cloud EKM crea la versione della chiave Cloud EKM utilizzando il percorso della chiave fornito dal tuo EKM.
Le operazioni di manutenzione sulle chiavi esterne coordinate possono essere avviate da Cloud KMS. Ad esempio, le chiavi esterne coordinate utilizzate per la crittografia simmetrica possono essere ruotate automaticamente in base a una pianificazione prestabilita. La creazione di nuove versioni della chiave è coordinata nel tuo EKM da Cloud EKM. Puoi anche attivare la creazione o l'eliminazione delle versioni delle chiavi nel tuo EKM da Cloud KMS utilizzando la console Google Cloud, gcloud CLI, l'API Cloud KMS o le librerie client di Cloud KMS.

In Google Cloud, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con livello di protezione EXTERNAL_VPC. La chiave Cloud EKM e la chiave del partner esterno per la gestione delle chiavi lavorano insieme per proteggere i tuoi dati. Il materiale della chiave esterna non viene mai esposto a Google.

Gestione delle chiavi EKM da Cloud KMS

Le chiavi esterne coordinate sono possibili grazie a EKM tramite connessioni VPC che utilizzano la gestione delle chiavi EKM da Cloud KMS. Se il tuo EKM supporta il piano di controllo Cloud EKM, puoi abilitare la gestione delle chiavi EKM da Cloud KMS per il tuo EKM tramite connessioni VPC in modo da creare chiavi esterne coordinate. Se la gestione delle chiavi EKM da Cloud KMS è abilitata, Cloud EKM può richiedere le seguenti modifiche al tuo EKM:

Creazione di una chiave: quando crei una chiave gestita esternamente in Cloud KMS utilizzando un EKM compatibile tramite connessione VPC, Cloud EKM invia la richiesta di creazione della chiave al tuo EKM. Se l'operazione va a buon fine, l'EKM crea la nuova chiave e il nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM può utilizzare per accedere alla chiave.
Ruota una chiave: quando ruoti una chiave gestita esternamente in Cloud KMS utilizzando un EKM compatibile tramite connessione VPC, Cloud EKM invia la tua richiesta di rotazione al tuo EKM. Se l'esito è positivo, l'EKM crea un nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM può utilizzare per accedere alla nuova versione della chiave.
Eliminazione di una chiave: quando elimini una versione della chiave per una chiave gestita esternamente in Cloud KMS utilizzando un EKM compatibile tramite connessione VPC, Cloud KMS pianifica l'eliminazione della versione della chiave in Cloud KMS. Se la versione della chiave non viene ripristinata prima del termine del periodo pianificato per l'eliminazione, Cloud EKM elimina la propria parte del materiale crittografico della chiave e invia una richiesta di eliminazione al tuo EKM.

I dati criptati con questa versione della chiave non possono essere decriptati dopo l'eliminazione della versione della chiave in Cloud KMS, anche se l'EKM non ha ancora eliminato la versione della chiave. Puoi verificare se l'EKM ha eliminato correttamente la versione della chiave visualizzando i dettagli della chiave in Cloud KMS.

Se le chiavi del tuo EKM sono gestite da Cloud KMS, il materiale della chiave continua a essere presente nell'EKM. Google non può effettuare richieste di gestione delle chiavi al tuo EKM senza autorizzazione esplicita. Google non può modificare le autorizzazioni o i criteri Key Access Justifications nel tuo sistema esterno di gestione delle chiavi del partner. Se revochi le autorizzazioni di Google nel tuo EKM, le operazioni di gestione delle chiavi tentate in Cloud KMS non andranno a buon fine.

Compatibilità

Gestori chiavi supportati

Puoi archiviare le chiavi esterne nei seguenti sistemi esterni dei partner di gestione delle chiavi:

Attualmente supportati:
- Fortanix
- futuro
- Thales
- Virtru

Servizi che supportano CMEK con Cloud EKM

I seguenti servizi supportano l'integrazione con Cloud KMS per le chiavi esterne (Cloud EKM):

AlloyDB per PostgreSQL
Artifact Registry
Backup per GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
Cloud Logging: Dati nel router dei log e Dati nell'archiviazione di Logging
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Dischi permanenti , Snapshot , Immagini personalizzate , e Immagini macchina
Approfondimenti di Contact Center AI
Database Migration Service: Migrazioni MySQL - dati scritti nei database , Migrazioni PostgreSQL - Dati scritti nei database , Migrazioni da PostgreSQL ad AlloyDB - Dati scritti nei database , e dati at-rest da Oracle a PostgreSQL
Dataflow
Dataproc: Dati dei cluster Dataproc su dischi VM e Dati serverless di Dataproc su dischi VM
Dataproc Metastore
Document AI
Eventarc
Filestore
Google Distributed Cloud Edge
Google Kubernetes Engine: Dati su dischi VM e Secret a livello di applicazione
Looker (Google Cloud core)
Memorystore for Redis
Migrate to Virtual Machines (anteprima): Dati di cui è stata eseguita la migrazione da origini VMware , Dati di cui è stata eseguita la migrazione da origini AWS , Dati migrati da origini Azure , Dischi sottoposti a migrazione , e VM migrate
Pub/Sub
Secret Manager
Gestore del codice sorgente
Spanner
Speaker ID (GA con restrizioni)
Speech-to-Text
Vertex AI
Istanze Vertex AI Workbench
Workflows

Considerazioni

Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema esterno di gestione delle chiavi del partner. Se perdi le chiavi che gestisci al di fuori di Google Cloud, Google non potrà recuperare i tuoi dati.
Leggi le linee guida relative a regioni e partner esterni alla gestione delle chiavi quando scegli le località per le chiavi Cloud EKM.
Esamina l'Accordo sul livello del servizio (SLA) di Cloud EKM.
La comunicazione su internet con un servizio esterno può causare problemi di affidabilità, disponibilità e latenza. Per le applicazioni con una bassa tolleranza per questi tipi di rischi, valuta l'utilizzo di Cloud HSM o Cloud KMS per archiviare il materiale della chiave.
- Se una chiave esterna non è disponibile, Cloud KMS restituisce un errore FAILED_PRECONDITION e fornisce dettagli nei dettagli dell'errore PreconditionFailure.
  
  Abilita l'audit logging dei dati per mantenere un record di tutti gli errori relativi a Cloud EKM. I messaggi di errore contengono informazioni dettagliate che consentono di individuarne l'origine. Un esempio di errore comune è quando un partner esterno per la gestione delle chiavi non risponde a una richiesta entro un periodo di tempo ragionevole.
- Devi avere un contratto di assistenza con il partner esterno per la gestione delle chiavi. L'assistenza Google Cloud può fornire assistenza solo per i problemi relativi ai servizi Google Cloud e non può fornire assistenza diretta per i problemi sui sistemi esterni. A volte, è necessario collaborare con l'assistenza di entrambi i lati per risolvere i problemi di interoperabilità.
Cloud EKM può essere utilizzato con Bare Metal Rack HSM per creare una soluzione HSM a tenant singolo integrata con Cloud KMS. Per saperne di più, scegli un partner Cloud EKM che supporti i moduli HSM single-tenant e rivedi i requisiti per i moduli HSM per Bare Metal Rack.
Abilita l'audit logging nel gestore di chiavi esterno per acquisire l'accesso e l'utilizzo delle chiavi EKM.

Attenzione: quando utilizzi le chiavi Cloud EKM su internet, esiste il rischio che la chiave diventi non disponibile. A seconda dei servizi in uso, questo può causare errori irreversibili o dati inaccessibili. Ad esempio, se utilizzi una chiave CMEK esterna per criptare i secret a livello di applicazione di Google Kubernetes Engine, i tuoi nodi potrebbero non essere più disponibili se non sono in grado di decriptarli. Anche l'impossibilità di accedere alla chiave esterna può causare la perdita permanente di dati. Ad esempio, se la chiave CMEK utilizzata per criptare un database Spanner rimane non disponibile per più di 30 giorni consecutivi, Spanner elimina automaticamente il database. Se la versione corrente della chiave non è disponibile, non puoi recuperare i dati ruotando a una nuova versione della chiave. Per migliorare la disponibilità, valuta l'utilizzo di Cloud EKM su chiavi VPC o Cloud HSM.

Limitazioni

La rotazione automatica non è supportata.
Quando crei una chiave Cloud EKM utilizzando l'API o Google Cloud CLI, non deve avere una versione iniziale della chiave. Questo non riguarda le chiavi Cloud EKM create utilizzando la console Google Cloud.
Le operazioni di Cloud EKM sono soggette a quote specifiche oltre a quelle per le operazioni di Cloud KMS.

Chiavi di crittografia simmetriche

Le chiavi di crittografia simmetriche sono supportate solo per quanto segue:
- Chiavi di crittografia gestite dal cliente (CMEK) nei servizi di integrazione supportati.
- Crittografia e decriptazione simmetriche direttamente mediante Cloud KMS.
I dati criptati da Cloud EKM mediante una chiave gestita esternamente non possono essere decriptati senza utilizzare Cloud EKM.

Chiavi di firma asimmetriche

Le chiavi di firma asimmetriche sono limitate a un sottoinsieme di algoritmi di Cloud KMS.
Le chiavi di firma asimmetriche sono supportate solo per:
- Firma asimmetrica utilizzando direttamente Cloud KMS.
- Chiave di firma personalizzata con Access Approval.
Quando un algoritmo di firma asimmetrica è impostato su una chiave Cloud EKM, non può essere modificato.
È necessario eseguire la firma sul campo data.

Gestori chiavi esterni e regioni

Cloud EKM deve essere in grado di raggiungere rapidamente le chiavi per evitare un errore. Quando crei una chiave Cloud EKM, scegli una località Google Cloud geograficamente vicina alla posizione della chiave esterna del partner per la gestione delle chiavi. Per informazioni dettagliate sulla disponibilità nelle località del partner, consulta la documentazione del partner.

Cloud EKM tramite internet: disponibile in qualsiasi località Google Cloud supportata per Cloud KMS, ad eccezione di global e nam-eur-asia1.
Cloud EKM tramite VPC: disponibile solo nelle località a livello di regione supportate per Cloud KMS

Consulta la documentazione del partner esterno per la gestione delle chiavi per stabilire quali località supporta.

Utilizzo in più regioni

Quando utilizzi una chiave gestita esternamente con una multiregione, i metadati della chiave sono disponibili in più data center all'interno della multiregione. Questi metadati includono le informazioni necessarie per comunicare con il partner esterno per la gestione delle chiavi. Se la tua applicazione esegue il failover da un data center all'altro all'interno di più regioni, il nuovo data center avvia le richieste chiave. Il nuovo data center potrebbe avere caratteristiche di rete diverse rispetto al data center precedente, tra cui la distanza dal partner esterno per la gestione delle chiavi e la probabilità di timeout. Ti consigliamo di utilizzare più regioni con Cloud EKM solo se il gestore di chiavi esterno che hai scelto offre una bassa latenza a tutte le aree della multiregione.

EKM gestito dal partner

L'EKM gestito dai partner ti consente di utilizzare Cloud EKM tramite un partner sovrano fidato che gestisce il tuo sistema EKM per te. Con l'EKM gestito dal partner, il partner crea e gestisce le chiavi che utilizzi in Cloud EKM. Il partner garantisce che il tuo EKM rispetti i requisiti di sovranità.

Durante l'onboarding con il partner sovrano, il partner esegue il provisioning delle risorse in Google Cloud e nel tuo EKM. Queste risorse includono un progetto Cloud KMS per gestire le chiavi Cloud EKM e una connessione EKM tramite VPC configurata per la gestione delle chiavi EKM da Cloud KMS. Il tuo partner crea risorse nelle località di Google Cloud in base ai tuoi requisiti di residenza dei dati.

Ogni chiave Cloud EKM include metadati di Cloud KMS, che consentono a Cloud EKM di inviare richieste al tuo EKM per eseguire operazioni crittografiche utilizzando il materiale della chiave esterno che non lascia mai il tuo EKM. Le chiavi simmetriche Cloud EKM includono anche il materiale delle chiavi interne di Cloud KMS che non lascia mai Google Cloud. Per ulteriori informazioni sui lati interni ed esterni delle chiavi Cloud EKM, consulta Come funziona Cloud EKM in questa pagina.

Per ulteriori informazioni sull'EKM gestito dai partner, consulta Configurare Cloud KMS gestito dai partner.

Monitoraggio dell'utilizzo di Cloud EKM

Puoi utilizzare Cloud Monitoring per monitorare la tua connessione EKM. Le seguenti metriche possono aiutarti a comprendere l'utilizzo dell'EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Per maggiori informazioni su queste metriche, consulta le metriche cloudkms. Puoi creare una dashboard per monitorare queste metriche. Per scoprire come configurare una dashboard per monitorare la connessione EKM, consulta Monitorare l'utilizzo dell'EKM.

Richiedere assistenza

Se riscontri un problema con Cloud EKM, contatta l'assistenza.

Passaggi successivi

Configura Cloud EKM tramite internet.
Crea una connessione EKM per utilizzare EKM tramite VPC.
Inizia a utilizzare l'API.
Leggi la documentazione di riferimento dell'API Cloud KMS.
Scopri di più su Logging in Cloud KMS. Il logging è basato sulle operazioni e si applica alle chiavi con livello di protezione sia HSM sia software.
Consulta Architetture di riferimento per un deployment affidabile dei servizi Cloud EKM per suggerimenti sulla configurazione del deployment di un servizio EKM (External Key Manager) integrato con Cloud EKM.