Mit dem Cloud Key Management Service (Cloud KMS) können Sie CMEK-Schlüssel für in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen nutzen. Mit Cloud KMS haben Sie folgende Möglichkeiten:
Software- oder Hardwareschlüssel generieren, vorhandene Schlüssel importieren in Cloud KMS verwenden oder externe Schlüssel in Ihrem kompatiblen externen Schlüssel verknüpfen Managementsystem (EKM).
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud verwenden Produkte mit CMEK-Integration. Verwendung von CMEK-Integrationen Ihre CMEK-Schlüssel zum Verschlüsseln oder „Verpacken“ Ihre DEKs. Das Wrapping von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung.
Cloud KMS Autokey verwenden (Vorschau), um die Nutzerverwaltung und zu übertragen. Mit Autokey müssen Sie keine Schlüsselbunde bereitstellen, Schlüssel und Dienstkonten berücksichtigen können. Stattdessen werden sie im Rahmen der Ressourcenerstellung zu erhalten.
Verwenden Sie Cloud KMS-Schlüssel für Ver- und Entschlüsselungsvorgänge. Für können Sie mithilfe der Cloud KMS API oder der Clientbibliotheken Verwenden Sie Ihre Cloud KMS-Schlüssel für clientseitige Verschlüsselung.
Cloud KMS-Schlüssel zum Erstellen oder Bestätigen verwenden digitale Signaturen oder MAC-Signaturen (Message Authentication Code).
Die richtige Verschlüsselung für Ihre Anforderungen
In der folgenden Tabelle können Sie sehen, welche Art der Verschlüsselung für jeden Anwendungsfall geeignet ist. Die beste Lösung für Ihre Anforderungen ist: verschiedenen Verschlüsselungsansätzen. Sie können beispielsweise Softwareschlüssel für die am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für die sensibelsten Daten. Weitere Informationen zu den in diesem Protecting data in Google Cloud (Daten in Google Cloud schützen) auf dieser Seite.
Verschlüsselungstyp | Kosten | Kompatible Dienste | Features |
---|---|---|---|
Von Google gehörende und von Google verwaltete Schlüssel (Standardverschlüsselung von Google Cloud) | Enthalten | Alle Google Cloud-Dienste, die Kundendaten speichern |
|
Vom Kunden verwaltete Verschlüsselungsschlüssel
software (Cloud KMS-Schlüssel) |
0,06 $ pro Schlüsselversion | > 40 Dienste |
|
Vom Kunden verwaltet
Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel) |
1,00 bis 2,50 $ pro Schlüsselversion und Monat | Mehr als 40 Dienste |
|
Vom Kunden verwaltet
Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel) |
3,00 $ pro Schlüsselversion und Monat | > 30 Dienste |
|
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln | Die Kosten der aktiven Schlüsselversionen hängen vom Schutzniveau der . | Clientbibliotheken verwenden in Ihren Anwendungen |
|
Vom Kunden bereitgestellte Verschlüsselungsschlüssel | Die Kosten für die Compute Engine oder Cloud Storage können steigen. |
|
|
Confidential Computing | Zusätzliche Kosten für jede vertrauliche VM kann die Lognutzung erhöhen und die damit verbundenen Kosten |
|
Daten in Google Cloud schützen
Zu Google gehörende und von Google verwaltete Schlüssel (Standardverschlüsselung von Google Cloud)
Standardmäßig werden inaktive Daten in Google Cloud durch Schlüssel in Keystore, dem internen Key Management Service von Google. Schlüssel im Schlüsselspeicher werden verwaltet automatisch von Google, ohne dass Ihrerseits eine Konfiguration erforderlich ist. Meiste automatisch Schlüssel für Sie rotieren. Der Schlüsselspeicher unterstützt eine Hauptschlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die Primärschlüsselversion ist zum Verschlüsseln neuer Datenverschlüsselungsschlüssel. Ältere Schlüsselversionen können weiter verwendet werden um vorhandene Datenverschlüsselungsschlüssel zu entschlüsseln. Sie können diese Schlüssel weder aufrufen noch verwalten. Schlüsselnutzungslogs überprüfen. Daten von mehreren Kunden können denselben Schlüssel verwenden Verschlüsselungsschlüssel.
Bei dieser Standardverschlüsselung werden kryptografische Module verwendet, die als FIPS 140-2 Level 1-konform.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)
Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in Diensten mit CMEK-Integration verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Sie können CMEKs besitzen und kontrollieren und gleichzeitig Schlüsselerstellungs- und -zuweisungsaufgaben an Cloud KMS Autokey (Vorschau). Weitere Informationen zur Automatisierung der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey.
Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten, mit denen Sie die folgenden Ziele erreichen können:
Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzebene, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei Offboarding oder zur Behebung von Sicherheitsvorfällen selektiv löschen (Crypto-Shredding).
Dedizierte Ein-Mandanten-Schlüssel erstellen, die eine kryptografische Grenze festlegen um Ihre Daten.
Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.
Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die sicherstellt, kompatible Google Cloud-Ressourcen nutzen Ihren Cloud KMS Schlüssel für die Verschlüsselung. In Organisationsrichtlinien kann auch festgelegt werden, in welchem Projekt sich die wichtigen Ressourcen befinden müssen.
Die Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:
Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und Sie können sie an allen Google Cloud-Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Vom Kunden verwaltete Softwareschlüssel nutzen Nach FIPS 140-2 Level 1 validierte Software Kryptografiemodule. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) sowie Organisationsrichtlinien die Ihre Schlüssel steuern. Sie können Ihre Softwareschlüssel mit über 40 kompatiblen Google Cloud-Ressourcen.
Importierte Softwareschlüssel: Sie können von Ihnen erstellte Softwareschlüssel importieren. an anderer Stelle zur Verwendung in Cloud KMS. Sie können neue Schlüsselversionen importierte Schlüssel manuell rotieren. Sie können IAM-Rollen und Berechtigungen und Organisationsrichtlinien, um die Verwendung der importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von FIPS 140-2 Level 3-zertifizierten Hardwaresicherheitsmodulen (HSMs) generieren. Sie haben die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien, regeln Ihre Schlüssel. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet die HSM-Cluster, damit Sie sich darum nicht kümmern müssen. Sie können Ihre HSM-Schlüssel verwenden mit über 40 kompatiblen Google Cloud- Ressourcen, also Dienste, die auch Software-Tasten. Verwenden Sie Hardware, um die höchste Sicherheitscompliance zu gewährleisten. Schlüssel.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in externen Schlüsselverwaltungssystem (External Key Manager, EKM). Mit Cloud EKM können Sie Schlüssel verwenden, die in einem unterstützten Schlüsselmanager gespeichert sind, um Ihre Google Cloud-Ressourcen zu schützen. Sie können eine Verbindung zu Ihrem EKM herstellen über das Internet oder Virtual Private Cloud (VPC): Einige Google Cloud-Dienste, die Software- oder Hardwareschlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.
Cloud KMS-Schüssel
Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen verwenden. Verwenden Sie dazu die Cloud KMS-Clientbibliotheken oder Cloud KMS API Clientbibliotheken und API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen überprüfen.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)
Cloud Storage und Compute Engine können Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs): Vom Kunden bereitgestellt Verschlüsselungsschlüssel speichern, speichern Sie das Schlüsselmaterial und stellen es Cloud Storage oder Compute Engine. Google tut Folgendes nicht: Ihre CSEKs irgendwie speichern können.
Confidential Computing
In Compute Engine, GKE und Dataproc können Sie nutzen Sie die Confidential Computing-Plattform, um Ihre aktiven Daten zu verschlüsseln. Confidential Computing sorgt dafür, dass Ihre Daten selbst bei während sie verarbeitet wird.