Mit dem Cloud Key Management Service (Cloud KMS) können Sie Verschlüsselungsschlüssel zur Verwendung in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen erstellen und verwalten. Mit Cloud KMS können Sie Folgendes tun:
Generieren Sie Software- oder Hardwareschlüssel, importieren Sie vorhandene Schlüssel in Cloud KMS oder verknüpfen Sie externe Schlüssel in Ihrem kompatiblen System zur externen Schlüsselverwaltung (EKM).
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud-Produkten mit CMEK-Integration. Bei CMEK-Integrationen werden Ihre CMEK-Schlüssel verwendet, um Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) zu verschlüsseln oder zu „verpacken“. Das Verpacken von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung bezeichnet.
Verwenden Sie Cloud KMS-Schlüssel zum Verschlüsseln und Entschlüsseln. Sie können beispielsweise die Cloud KMS API oder die Clientbibliotheken verwenden, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu nutzen.
Verwenden Sie Cloud KMS-Schlüssel, um digitale Signaturen oder MAC-Signaturen (Message Authentication Code) zu erstellen oder zu prüfen.
Die richtige Verschlüsselung für Ihre Anforderungen auswählen
In der folgenden Tabelle sehen Sie, welche Verschlüsselungsart Ihren Anforderungen für den jeweiligen Anwendungsfall entspricht. Die beste Lösung für Ihre Anforderungen könnte eine Mischung aus Verschlüsselungsansätzen umfassen. So können Sie beispielsweise Softwareschlüssel für Ihre am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für Ihre sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Google Cloud schützen.
| Verschlüsselungstyp | Kosten | Kompatible Dienste | Features |
|---|---|---|---|
| Google Cloud-Standardverschlüsselung | Eingeschlossen | Alle Google Cloud-Dienste, die Kundendaten speichern |
|
| Vom Kunden verwaltete Verschlüsselungsschlüssel – Software (Cloud KMS-Schlüssel) |
Niedrig – 0,06 $ pro Schlüsselversion | Mehr als 30 Dienstleistungen |
|
| Vom Kunden verwaltete Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel) |
Mittel – 1,00 bis 2,50 $ pro Schlüsselversion und Monat | Mehr als 30 Dienstleistungen |
|
| Vom Kunden verwaltete Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel) |
Hoch – 3,00 $ pro Schlüsselversion und Monat | Mehr als 20 Dienste |
|
| Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln | Die Kosten aktiver Schlüsselversionen hängen vom Schutzniveau des Schlüssels ab. | Clientbibliotheken in Ihren Anwendungen verwenden |
|
| Vom Kunden bereitgestellte Verschlüsselungsschlüssel | Kann die Kosten für Compute Engine oder Cloud Storage erhöhen. |
|
|
| Confidential Computing | Zusätzliche Kosten für jede Confidential VM; können die Lognutzung und die damit verbundenen Kosten erhöhen |
|
Daten in Google Cloud schützen
Google Cloud-Standardverschlüsselung
Inaktive Daten in Google Cloud werden standardmäßig durch Schlüssel im Keystore, dem internen Schlüsselverwaltungsdienst von Google, geschützt. Schlüssel im Schlüsselspeicher werden von Google automatisch verwaltet, ohne dass eine Konfiguration von Ihrer Seite erforderlich ist. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Der Schlüsselspeicher unterstützt eine Primärschlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die Primärschlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Ältere Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden.
Diese Standardverschlüsselung verwendet kryptografische Module, die mit FIPS 140-2 Level 1 konform sind. Wenn Sie keine spezifischen Anforderungen für ein höheres Schutzniveau haben, kann die Standardverschlüsselung Ihre Anforderungen ohne zusätzliche Kosten erfüllen.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)
Für Anwendungsfälle, die ein höheres Maß an Kontrolle oder Schutz erfordern, können Sie vom Kunden verwaltete Cloud KMS-Schlüssel in kompatiblen Diensten verwenden. Wenn Sie Cloud KMS-Schlüssel in CMEK-Integrationen verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEK-Schlüssel wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die dafür sorgt, dass Ihre kompatiblen Google Cloud-Ressourcen Ihre Cloud KMS-Schlüssel zur Verschlüsselung verwenden. In Organisationsrichtlinien kann auch angegeben werden, in welchem Projekt sich die Schlüsselressourcen befinden müssen.
Die verfügbaren Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:
Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Google Cloud-Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Kundenverwaltete Softwareschlüssel verwenden gemäß FIPS 140-2 Level 1 validierte Softwarekryptografiemodule. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen (Identity and Access Management) sowie Organisationsrichtlinien, die Ihre Schlüssel steuern. Sie können Ihre Softwareschlüssel mit über 30 kompatiblen Google Cloud-Ressourcen verwenden.
Importierte Softwareschlüssel – Sie können Softwareschlüssel importieren, die Sie an anderer Stelle erstellt haben, um sie in Cloud KMS zu verwenden. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von Hardware-Sicherheitsmodulen (HSMs) von FIPS 140-2 Level 3 generieren. Sie haben die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien, die Ihre Schlüssel steuern. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet Google die HSM-Cluster für Sie. Sie können HSM-Schlüssel mit über 30 kompatiblen Google Cloud-Ressourcen verwenden, also mit den Diensten, die auch Softwareschlüssel unterstützen. Für ein Höchstmaß an Sicherheitscompliance sollten Sie Hardwareschlüssel verwenden.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem External Key Manager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel in einem unterstützten Key Manager verwenden, um Ihre Google Cloud-Ressourcen zu schützen. Sie können eine Verbindung zu Ihrem EKM über das Internet oder über eine Virtual Private Cloud (VPC) herstellen. Einige Google Cloud-Dienste, die Software- oder Hardwareschlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.
Cloud KMS-Schüssel
Sie können Ihre Cloud KMS-Schlüssel mithilfe der Cloud KMS-Clientbibliotheken oder der Cloud KMS API in benutzerdefinierten Anwendungen verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen validieren.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)
Cloud Storage und Compute Engine können vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs) verwenden. Mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln speichern Sie das Schlüsselmaterial und stellen es Cloud Storage oder Compute Engine bei Bedarf zur Verfügung. Google speichert Ihre CSEKs in keiner Weise.
Confidential Computing
In Compute Engine, GKE und Dataproc können Sie Ihre aktiven Daten mit der Confidential Computing-Plattform verschlüsseln. Confidential Computing sorgt dafür, dass Ihre Daten auch während der Verarbeitung privat und verschlüsselt bleiben.