Cloud External Key Manager

Esta página fornece uma vista geral do Cloud External Key Manager (Cloud EKM).

Terminologia

  • External key manager (EKM)

    O gestor de chaves usado fora do Google Cloud para gerir as suas chaves.

  • Cloud External Key Manager (Cloud EKM)

    Um Google Cloud serviço para usar as suas chaves externas que são geridas num EKM suportado.

  • Cloud EKM através da Internet

    Uma versão do Cloud EKM em que Google Cloud comunica com o seu gestor de chaves externo através da Internet.

  • Cloud EKM através de uma VPC

    Uma versão do Cloud EKM em que Google Cloud comunica com o seu gestor de chaves externo através de uma nuvem virtual privada (VPC). Para mais informações, consulte o artigo Vista geral da rede VPC.

  • Gestão de chaves EKM a partir do Cloud KMS

    Quando usa o Cloud EKM através de uma VPC com um parceiro de gestão de chaves externo que suporta o plano de controlo do Cloud EKM, pode usar o modo de gestão do Cloud KMS EKM para simplificar o processo de manutenção de chaves externas no seu parceiro de gestão de chaves externo e no Cloud EKM. Para mais informações, consulte as secções Chaves externas coordenadas e Gestão de chaves EKM a partir do Cloud KMS nesta página.

  • Espaço cripto

    Um contentor para os seus recursos no parceiro de gestão de chaves externo. O seu espaço de criptomoedas é identificado por um caminho de espaço de criptomoedas exclusivo. O formato do caminho do espaço de encriptação varia consoante o parceiro de gestão de chaves externo. Por exemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.

  • EKM gerido por parceiros

    Um acordo em que a sua GCE é gerida por um parceiro fidedigno. Para mais informações, consulte o artigo EKM gerido pelo parceiro nesta página.

  • Justificações de acesso às chaves

    Quando usa o Cloud EKM com as Justificações de acesso às chaves, cada pedido ao seu parceiro de gestão de chaves externas inclui um campo que identifica o motivo de cada pedido. Pode configurar o seu parceiro de gestão de chaves externo para permitir ou recusar pedidos com base no código das Justificações de acesso às chaves fornecido. Para mais informações sobre as justificações de acesso a chaves, consulte a vista geral das justificações de acesso a chaves.

Vista geral

Com o Cloud EKM, pode usar chaves que gere num parceiro de gestão de chaves externo suportado para proteger dados no Google Cloud. Pode proteger os dados em repouso nos serviços de integração de CMEK suportados ou chamando diretamente a API Cloud Key Management Service.

O Cloud EKM oferece várias vantagens:

  • Origem das chaves: controla a localização e a distribuição das suas chaves geridas externamente. As chaves geridas externamente nunca são colocadas em cache nem armazenadas no Google Cloud. Em alternativa, o Cloud EKM comunica diretamente com o parceiro de gestão de chaves externo para cada pedido.

  • Controlo de acesso: gere o acesso às suas chaves geridas externamente no seu gestor de chaves externo. Não pode usar uma chave gerida externamente em Google Cloud sem primeiro conceder ao projeto Google Cloud acesso à chave no seu gestor de chaves externo. Pode revogar este acesso em qualquer altura.

  • Gestão de chaves centralizada: pode gerir as suas chaves e políticas de acesso a partir de uma única interface do utilizador, quer os dados que protegem residam na nuvem ou nas suas instalações.

Em todos os casos, a chave reside no sistema externo e nunca é enviada para a Google.

Pode comunicar com o seu gestor de chaves externo através da Internet ou através de uma nuvem virtual privada (VPC).

Como funciona o Cloud EKM

As versões das chaves do Cloud EKM são compostas por estas partes:

  • Material de chaves externo: o material de chaves externo de uma chave do Cloud EKM é material criptográfico criado e armazenado no seu EKM. Este material não sai da sua GCE e nunca é partilhado com a Google.
  • Referência da chave: cada versão da chave do Cloud EKM contém um URI da chave ou um caminho da chave. Este é um identificador exclusivo para o material de chaves externo que o Cloud EKM usa quando pede operações criptográficas com a chave.
  • Material de chave interno: quando é criada uma chave simétrica do Cloud EKM, o Cloud KMS cria material de chave adicional no Cloud KMS, que nunca sai do Cloud KMS. Este material de chaves é usado como uma camada adicional de encriptação quando comunica com o seu GKM. Este material de chave interno não se aplica a chaves de assinatura assimétricas.

Para usar as suas chaves do Cloud EKM, o Cloud EKM envia pedidos de operações criptográficas para o seu EKM. Por exemplo, para encriptar dados com uma chave de encriptação simétrica, o Cloud EKM encripta primeiro os dados com o material da chave interna. Os dados encriptados são incluídos num pedido ao EKM. O EKM envolve os dados encriptados noutra camada de encriptação através do material de chaves externas e, em seguida, devolve o texto cifrado resultante. Não é possível desencriptar dados encriptados com uma chave do Cloud EKM sem o material da chave externa e o material da chave interna.

Se a sua organização tiver ativado as Justificações de acesso às chaves, o parceiro de gestão de chaves externo regista a justificação de acesso fornecida e conclui o pedido apenas para códigos de motivo de justificação permitidos pela sua política de Justificações de acesso às chaves no parceiro de gestão de chaves externo.

A criação e a gestão de chaves do Cloud EKM requerem alterações correspondentes no Cloud KMS e no EKM. Estas alterações correspondentes são processadas de forma diferente para chaves externas geridas manualmente e para chaves externas coordenadas. Todas as chaves externas acedidas através da Internet são geridas manualmente. As chaves externas acedidas através de uma rede VPC podem ser geridas ou coordenadas manualmente, consoante o modo de gestão do EKM da ligação EKM. O modo de gestão de EKM Manual é usado para chaves geridas manualmente. O modo de gestão do EKM do Cloud KMS é usado para chaves externas coordenadas. Para mais informações sobre os modos de gestão de EKM, consulte as secções Chaves externas geridas manualmente e Chaves externas coordenadas nesta página.

O diagrama seguinte mostra como o Cloud KMS se enquadra no modelo de gestão de chaves. Este diagrama usa o Compute Engine e o BigQuery como dois exemplos; também pode ver a lista completa dos serviços que suportam chaves do Cloud EKM.

Diagrama que ilustra a encriptação e a desencriptação com o EKM na nuvem

Pode saber mais acerca das considerações e das restrições quando usar o EKM do Google Cloud.

Chaves externas geridas manualmente

Esta secção oferece uma vista geral de como o Cloud EKM funciona com uma chave externa gerida manualmente.

  1. Cria ou usa uma chave existente num sistema de gestão de chaves externo suportado. Esta chave tem um URI ou um caminho da chave exclusivo.
  2. Concede ao seu Google Cloud projeto acesso para usar a chave no sistema de parceiros de gestão de chaves externas.
  3. No seu Google Cloud projeto, cria uma versão da chave do Cloud EKM através do URI ou do caminho da chave para a chave gerida externamente.
  4. As operações de manutenção, como a rotação de chaves, têm de ser geridas manualmente entre o EKM e o Cloud EKM. Por exemplo, as operações de rotação da versão da chave ou de destruição da versão da chave têm de ser concluídas diretamente no EKM e no Cloud KMS.

No Google Cloud, a chave é apresentada juntamente com as outras chaves do Cloud KMS e do Cloud HSM, com o nível de proteção EXTERNAL ou EXTERNAL_VPC. A chave do Cloud EKM e a chave do parceiro de gestão de chaves externo funcionam em conjunto para proteger os seus dados. O material da chave externa nunca é exposto à Google.

Chaves externas coordenadas

Esta secção fornece uma vista geral de como o Cloud EKM funciona com chaves externas coordenadas.

  1. Configura uma ligação EKM, definindo o modo de gestão EKM como Cloud KMS. Durante a configuração, tem de autorizar o seu EKM a aceder à sua rede VPC e autorizar aGoogle Cloud conta de serviço do projeto a aceder ao seu espaço de encriptação no seu EKM. A sua ligação EKM usa o nome do anfitrião do EKM e um caminho do espaço criptográfico que identifica os seus recursos no EKM.

  2. Cria uma chave externa no Cloud KMS. Quando cria uma chave do EKM do Google Cloud através de uma ligação EKM sobre VPC com o modo de gestão do EKM do Cloud KMS ativado, os passos seguintes ocorrem automaticamente:

    1. O Cloud EKM envia um pedido de criação de chaves para o seu EKM.
    2. O seu EKM cria o material de chaves pedido. Este material de chave externo permanece no EKM e nunca é enviado para a Google.
    3. O EKM devolve um caminho de chave ao Cloud EKM.
    4. O Cloud EKM cria a versão da chave do Cloud EKM através do caminho da chave fornecido pelo seu EKM.
  3. As operações de manutenção em chaves externas coordenadas podem ser iniciadas a partir do Cloud KMS. Por exemplo, as chaves externas coordenadas usadas para a encriptação simétrica podem ser rodadas automaticamente num horário definido. A criação de novas versões de chaves é coordenada no seu EKM pelo Cloud EKM. Também pode acionar a criação ou a destruição de versões de chaves no seu EKM a partir do Cloud KMS através daGoogle Cloud consola, da CLI gcloud, da API Cloud KMS ou das bibliotecas de cliente do Cloud KMS.

No Google Cloud, a chave aparece juntamente com as outras chaves do Cloud KMS e do Cloud HSM, com o nível de proteção EXTERNAL_VPC. A chave do Cloud EKM e a chave do parceiro de gestão de chaves externo funcionam em conjunto para proteger os seus dados. O material de chaves externo nunca é exposto à Google.

Gestão de chaves EKM a partir do Cloud KMS

As chaves externas coordenadas são possíveis através de ligações EKM que usam a gestão de chaves EKM do Cloud KMS. Se o seu EKM suportar o plano de controlo do Cloud EKM, pode ativar a gestão de chaves do EKM a partir do Cloud KMS para as suas ligações EKM de modo a criar chaves externas coordenadas. Com a gestão de chaves EKM do Cloud KMS ativada, o Cloud EKM pode pedir as seguintes alterações no seu EKM:

  • Criar uma chave: quando cria uma chave gerida externamente no Cloud KMS através de uma ligação EKM compatível, o Cloud EKM envia o seu pedido de criação de chave para o EKM. Quando bem-sucedido, o EKM cria a nova chave e o material da chave, e devolve o caminho da chave para o Cloud EKM usar para aceder à chave.

  • Rodar uma chave: quando roda uma chave gerida externamente no Cloud KMS através de uma ligação EKM compatível, o Cloud EKM envia o seu pedido de rotação para o EKM. Quando bem-sucedido, o seu EKM cria novo material de chaves e devolve o caminho da chave para o Cloud EKM usar para aceder à nova versão da chave.

  • Destruir uma chave: quando destrói uma versão de chave para uma chave gerida externamente no Cloud KMS através de uma ligação EKM compatível, o Cloud KMS agenda a versão de chave para destruição no Cloud KMS. Se a versão da chave não for restaurada antes do período agendado para destruição terminar, o Cloud EKM destrói a respetiva parte do material criptográfico da chave e envia um pedido de destruição para o seu EKM.

    Os dados encriptados com esta versão da chave não podem ser desencriptados depois de a versão da chave ser destruída no Cloud KMS, mesmo que o EKM ainda não tenha destruído a versão da chave. Pode ver se o EKM destruiu com êxito a versão da chave, consultando os detalhes da chave no Cloud KMS.

Quando as chaves no EKM são geridas a partir do Cloud KMS, o material da chave continua a residir no EKM. A Google não pode fazer pedidos de gestão de chaves ao seu EKM sem autorização explícita. A Google não pode alterar as autorizações nem as políticas de justificações de acesso às chaves no seu sistema de parceiros de gestão de chaves externo. Se revogar as autorizações da Google no seu EKM, as operações de gestão de chaves tentadas no Cloud KMS falham.

Compatibilidade

Gestores de chaves suportados

Pode armazenar chaves externas nos seguintes sistemas de parceiros de gestão de chaves externas:

Serviços que suportam CMEK com o Cloud EKM

Os seguintes serviços suportam a integração com o Cloud KMS para chaves externas (Cloud EKM):

Considerações

  • Quando usa uma chave do Cloud EKM, a Google não tem controlo sobre a disponibilidade da sua chave gerida externamente no sistema de parceiros de gestão de chaves externas. Se perder chaves que gere fora do Google Cloud, a Google não pode recuperar os seus dados.

  • Reveja as diretrizes sobre parceiros e regiões de gestão de chaves externas quando escolher as localizações para as suas chaves do Cloud EKM.

  • Reveja o Contrato de Nível de Serviço (SLA) do EKM na nuvem.

  • A comunicação com um serviço externo através da Internet pode originar problemas de fiabilidade, disponibilidade e latência. Para aplicações com baixa tolerância a estes tipos de riscos, considere usar o Cloud HSM ou o Cloud KMS para armazenar o seu material de chaves.

    • Se uma chave externa não estiver disponível, o Cloud KMS devolve um erro FAILED_PRECONDITION e fornece detalhes no detalhe do erro PreconditionFailure.

      Ative o registo de auditoria de dados para manter um registo de todos os erros relacionados com o EKM na nuvem. As mensagens de erro contêm informações detalhadas para ajudar a identificar a origem do erro. Um exemplo de um erro comum é quando um parceiro de gestão de chaves externo não responde a um pedido dentro de um prazo razoável.

    • Precisa de um contrato de apoio técnico com o parceiro de gestão de chaves externo. Google Cloud O apoio técnico só pode ajudar com problemas nos Google Cloud serviços e não pode ajudar diretamente com problemas em sistemas externos. Por vezes, tem de trabalhar com o apoio técnico de ambos os lados para resolver problemas de interoperabilidade.

  • O EKM da nuvem pode ser usado com o HSM de rack de metal não revestido para criar uma solução de HSM de inquilino único integrada com o Cloud KMS. Para saber mais, escolha um parceiro de EKM na nuvem que suporte HSMs de inquilino único e reveja os requisitos para HSMs de rack de metal sem revestimento.

  • Ative o registo de auditoria no seu gestor de chaves externo para capturar o acesso e a utilização das suas chaves EKM.

Restrições

  • Quando cria uma chave do EKM do Google Cloud através da API ou da CLI do Google Cloud, esta não pode ter uma versão inicial da chave. Isto não se aplica às chaves EKM da nuvem criadas através daGoogle Cloud consola.
  • A rotação automática não é suportada para chaves externas geridas manualmente.
  • As operações do Cloud EKM estão sujeitas a quotas específicas, além das quotas nas operações do Cloud KMS.

Chaves de encriptação simétrica

Chaves de assinatura assimétricas

Gestores de chaves e regiões externos

O Cloud EKM tem de conseguir aceder rapidamente às suas chaves para evitar um erro. Ao criar uma chave EKM da nuvem, escolha uma Google Cloud localização geograficamente próxima da localização da chave do parceiro de gestão de chaves externo. Consulte a documentação do seu parceiro de gestão de chaves externa para determinar as localizações que suporta.

  • EKM na nuvem através da Internet: disponível na maioria das Google Cloud localizações onde o Cloud KMS está disponível, incluindo localizações regionais e multirregionais.
  • EKM na nuvem através de uma VPC: disponível na maioria das localizações regionais onde o Cloud KMS está disponível. O EKM na nuvem através de uma VPC não está disponível em localizações multirregionais.

Algumas localizações, incluindo global e nam-eur-asia1, não estão disponíveis para o Cloud EKM. Para saber que localizações suportam o EKM na nuvem, consulte as localizações do Cloud KMS.

Utilização em várias regiões

Quando usa uma chave gerida externamente com uma multirregião, os metadados da chave estão disponíveis em vários centros de dados na multirregião. Estes metadados incluem as informações necessárias para comunicar com o parceiro de gestão de chaves externo. Se a sua aplicação fizer failover de um centro de dados para outro na multirregião, o novo centro de dados inicia pedidos de chaves. O novo centro de dados pode ter características de rede diferentes do centro de dados anterior, incluindo a distância do parceiro de gestão de chaves externo e a probabilidade de limites de tempo. Recomendamos que use apenas uma multirregião com o EKM da nuvem se o gestor de chaves externo escolhido fornecer baixa latência a todas as áreas dessa multirregião.

EKM gerido pelo parceiro

O EKM gerido pelo parceiro permite-lhe usar o Cloud EKM através de um parceiro soberano fidedigno que gere o seu sistema EKM por si. Com o EKM gerido pelo parceiro, o parceiro cria e gere as chaves que usa no Cloud EKM. O parceiro garante que a sua GCE cumpre os requisitos de soberania.

Quando faz a integração com o seu parceiro soberano, o parceiro aprovisiona recursos na Google Cloud e no seu GKM. Estes recursos incluem um projeto do Cloud KMS para gerir as suas chaves do Cloud EKM e uma ligação do EKM configurada para a gestão de chaves do EKM a partir do Cloud KMS. O parceiro cria recursos em Google Cloud localizações de acordo com os seus requisitos de residência dos dados.

Cada chave do Cloud EKM inclui metadados do Cloud KMS, que permitem ao Cloud EKM enviar pedidos para o seu EKM para realizar operações criptográficas usando o material de chave externo que nunca sai do seu EKM. As chaves simétricas do Cloud EKM também incluem material de chave interno do Cloud KMS que nunca sai do Google Cloud. Para mais informações sobre os lados interno e externo das chaves do Cloud EKM, consulte a secção Como funciona o Cloud EKM nesta página.

Para mais informações sobre a GCE de gestão de parceiros, consulte o artigo Configure o Cloud KMS gerido por parceiros.

Monitorize a utilização do Cloud EKM

Pode usar o Cloud Monitoring para monitorizar a sua ligação EKM. As seguintes métricas podem ajudar a compreender a sua utilização da GCE:

  • cloudkms.googleapis.com/ekm/external/request_latencies
  • cloudkms.googleapis.com/ekm/external/request_count

Para mais informações sobre estas métricas, consulte o artigo Métricas do cloudkms. Pode criar um painel de controlo para acompanhar estas métricas. Para saber como configurar um painel de controlo para monitorizar a sua ligação EKM, consulte o artigo Monitorize a utilização do EKM.

Receber apoio técnico

Se tiver um problema com o EKM do Google Cloud, contacte o apoio técnico.

O que se segue?