Visão geral do Cloud Key Management Service

Com o Cloud Key Management Service (Cloud KMS), é possível criar e gerenciar chaves de criptografia para uso em serviços compatíveis do Google Cloud e nos seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:

Escolha a criptografia certa para suas necessidades

Use a tabela a seguir para identificar que tipo de criptografia atende às suas necessidades em cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, é possível usar chaves de software para os dados menos confidenciais e hardware ou chaves externas para os dados mais sensíveis. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Como proteger dados no Google Cloud nesta página.

Tipo de criptografia Custo Serviços compatíveis Recursos
Criptografia padrão do Google Cloud Incluído Todos os serviços do Google Cloud que armazenam dados do cliente
  • Não é necessário configurar.
  • Criptografa automaticamente os dados de clientes salvos em qualquer serviço do Google Cloud.
  • Gira as chaves automaticamente e recriptografa dados.
  • Dá suporte à criptografia usando AES-256.
  • Certificado FIPS 140-2 Nível 1, validado.
Chaves de criptografia gerenciadas pelo cliente: software
(chaves do Cloud KMS)
Baixo: US$ 0,06 por versão de chave Mais de 30 serviços
Chaves de criptografia gerenciadas pelo cliente: hardware
(chaves do Cloud HSM)
Médio: US$ 1,00 a US $2,50 por versão de chave ao mês Mais de 30 serviços
Chaves de criptografia gerenciadas pelo cliente: externas
(chaves do Cloud EKM)
Alto - US$ 3,00 mensais por versão de chave Mais de 20 serviços
Criptografia do lado do cliente usando chaves do Cloud KMS O custo das versões ativas da chave depende do nível de proteção da chave. Usar bibliotecas de cliente nos seus aplicativos
  • Você controla a programação de rotação automática de chaves, os papéis e as permissões do IAM, além de ativar, desativar ou destruir versões de chaves.
  • Oferece suporte a chaves simétricas e assimétricas para criptografia, descriptografia, assinatura e validação de assinatura.
  • A funcionalidade varia de acordo com o nível de proteção da chave.
Chaves de criptografia fornecidas pelo cliente Pode aumentar os custos associados ao Compute Engine ou ao Cloud Storage
  • Você fornece os materiais-chave quando necessário.
  • O material da chave fica na memória. O Google não armazena as chaves permanentemente nos nossos servidores.
Computação confidencial Custo adicional para cada VM confidencial: pode aumentar o uso de registros e os custos associados
  • Fornece criptografia em uso para VMs que processam cargas de trabalho ou dados confidenciais.
  • As chaves não podem ser acessadas pelo Google.

Como proteger dados no Google Cloud

Criptografia padrão do Google Cloud

Por padrão, os dados em repouso no Google Cloud são protegidos por chaves no Keystore, o serviço interno de gerenciamento de chaves do Google. As chaves no Keystore são gerenciadas automaticamente pelo Google, sem que você precise configurar nada. A maioria dos serviços rotaciona as chaves automaticamente para você. O Keystore oferece suporte a uma versão de chave primária e um número limitado de versões de chave mais antigas. A versão da chave primária é usada para criptografar novas chaves de criptografia de dados. Versões mais antigas ainda podem ser usadas para descriptografar as chaves de criptografia de dados atuais.

Essa criptografia padrão usa módulos criptográficos validados para estar em conformidade com o FIPS 140-2 Nível 1. Se você não tiver requisitos específicos para um nível mais alto de proteção, o uso da criptografia padrão pode atender às suas necessidades sem custos extras.

Chaves de criptografia gerenciadas pelo cliente (CMEKs)

Para casos de uso que exigem um nível maior de controle ou proteção, é possível usar as chaves do Cloud KMS gerenciadas pelo cliente em serviços compatíveis. Ao usar chaves do Cloud KMS em integrações CMEK, é possível usar políticas da organização para garantir que as chaves CMEK sejam utilizadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que os recursos compatíveis do Google Cloud usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos de chave precisam estar.

Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:

  • Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os locais do Google Cloud. É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados FIPS 140-2 Nível 1. Você também tem controle sobre o período de rotação, os papéis e as permissões do Identity and Access Management (IAM) e as políticas da organização que regem suas chaves. É possível usar suas chaves de software com mais de 30 recursos compatíveis do Google Cloud.

  • Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. É possível importar novas versões de chave para fazer a rotação manual das chaves importadas. É possível usar os papéis e as permissões do IAM e as políticas da organização para controlar o uso das chaves importadas.

  • Chaves de hardware e Cloud HSM: é possível gerar chaves de hardware em um cluster de módulos de segurança de hardware (HSMs, na sigla em inglês) FIPS 140-2 Nível 3. Você tem controle sobre o período de rotação, os papéis e as permissões do IAM e as políticas da organização que regem suas chaves. Quando você cria chaves do HSM usando o Cloud HSM, o Google gerencia os clusters do HSM para que você não precise fazer isso. É possível usar as chaves de HSM com mais de 30 recursos compatíveis do Google Cloud, os mesmos serviços que aceitam chaves de software. Para ter o nível mais alto de conformidade de segurança, use chaves de hardware.

  • Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externo (EKM, na sigla em inglês). Com o Cloud EKM, é possível usar chaves mantidas em um gerenciador de chaves compatível para proteger seus recursos do Google Cloud. É possível se conectar ao EKM pela Internet ou por uma nuvem privada virtual (VPC). Alguns serviços do Google Cloud compatíveis com chaves de software ou hardware não aceitam chaves do Cloud EKM.

Chaves do Cloud KMS

É possível utilizar as chaves do Cloud KMS em aplicativos personalizados com as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. Com a API e as bibliotecas de cliente, é possível criptografar e descriptografar dados, assinar dados e validar assinaturas.

Chaves de criptografia fornecidas pelo cliente (CSEKs)

O Cloud Storage e o Compute Engine podem usar chaves de criptografia fornecidas pelo cliente (CSEKs). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage ou ao Compute Engine, quando necessário. O Google não armazena suas CSEKs de maneira alguma.

Computação confidencial

No Compute Engine, no GKE e no Dataproc, é possível usar a plataforma de Computação confidencial para criptografar os dados em uso. A Computação confidencial garante que os dados permaneçam privados e criptografados, mesmo durante o processamento.