Descripción general de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) te permite crear y administrar claves CMEK para que puedes usar en servicios compatibles de Google Cloud y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:

  • Genera claves de software o hardware, importa claves existentes a Cloud KMS o vincula las claves externas en tu clave externa compatible (EKM).

  • Usar claves de encriptación administradas por el cliente (CMEK) en Google Cloud productos con integración con CMEK. Las integraciones de CMEK usan tus claves CMEK para encriptar o “unir” tus claves de encriptación de datos (DEK). La unión de DEK con claves de encriptación de claves (KEK) se denomina encriptación de sobre.

  • Usar Autokey de Cloud KMS (Vista previa) para automatizar el aprovisionamiento asignación. Con Autokey, no necesitas aprovisionar llaveros de claves, claves y cuentas de servicio con anticipación. sino que se generan demanda como parte de la creación de recursos.

  • Usar claves de Cloud KMS para operaciones de encriptación y desencriptación. Para ejemplo, puedes usar la API de Cloud KMS o las bibliotecas cliente para usar tus claves de Cloud KMS para las operaciones del cliente encriptación.

  • Usa claves de Cloud KMS para crear o verificar firmas digitales o firmas de código de autenticación de mensajes (MAC).

Elige la encriptación adecuada para tus necesidades

Puedes usar la siguiente tabla para identificar qué tipo de encriptación cumple con tus las necesidades de cada caso de uso. La mejor solución para tus necesidades podría incluir una combinación de enfoques de encriptación. Por ejemplo, puedes usar claves de software para los datos y el hardware menos sensibles o las claves externas de datos no estructurados. Para obtener información adicional sobre las opciones de encriptación descritas en este consulta Protección de datos en Google Cloud en esta página.

Tipo de encriptación Costo Servicios compatibles Funciones
Claves de propiedad y administradas por Google (encriptación predeterminada de Google Cloud) Incluida Todos los servicios de Google Cloud que almacenan datos del cliente
  • No se requiere configuración.
  • Encripta automáticamente los datos del cliente guardados en servicio de Google Cloud.
  • La mayoría de los servicios rotan las claves automáticamente.
  • Admite la encriptación mediante AES-256.
  • Con validación de nivel 1 del estándar FIPS 140‐2.
Claves de encriptación administradas por el cliente: software
(claves de Cloud KMS)		 $0.06 por versión de clave Más de 40 servicios
Administrada por el cliente claves de encriptación: hardware
(claves de Cloud HSM)		 De $1.00 a $2.50 por versión de clave al mes Más de 40 servicios
Administrada por el cliente claves de encriptación externas
(claves de Cloud EKM)		 $3.00 por versión de clave, por mes Más de 30 servicios
  • Controlas los roles y permisos de IAM. habilitar, inhabilitar o destruir versiones de claves.
  • Las claves nunca se envían a Google.
  • El material de claves se encuentra en un clave externa compatible (EKM).
  • Los servicios de Google Cloud compatibles se conectan a tu proveedor de EKM mediante la a Internet o una Privado virtual Cloud (VPC).
  • Admite claves simétricas para la encriptación y desencriptación.
  • Rota las claves manualmente de manera coordinada con Cloud EKM y tu proveedor de EKM.
  • Validación FIPS 140-2 Nivel 2 o FIPS 140-2 Nivel 3, según en el EKM.
  • Las claves son únicas para cada cliente.
Encriptación del cliente con claves de Cloud KMS El costo de las versiones de claves activas depende del nivel de protección de la . Usar bibliotecas cliente en tus aplicaciones
Claves de encriptación proporcionadas por el cliente Podrían aumentar los costos asociados con Compute Engine o Cloud Storage
  • Proporcionas materiales clave cuando es necesario.
  • El material de claves reside en la memoria. Google no lo hace de forma permanente. almacenar tus claves en nuestros servidores.
Confidential Computing Costo adicional por cada VM confidencial podría aumentar el uso de registros y los costos asociados
  • Proporciona encriptación en uso para VMs que manejan datos sensibles o de las cargas de trabajo.
  • Google no puede acceder a las claves.

Protección de datos en Google Cloud

Claves de propiedad y administradas por Google (encriptación predeterminada de Google Cloud)

De forma predeterminada, los datos en reposo en Google Cloud están protegidos Keystore, el servicio de administración de claves internas de Google Se administran las claves del almacén de claves automáticamente sin que debas configurar nada. Más probable de Google automáticamente rotan las claves por ti. El almacén de claves admite una clave primaria y una cantidad limitada de versiones de claves anteriores. La versión de clave primaria es para encriptar nuevas claves de encriptación de datos. Aún se pueden usar versiones de clave más antiguas para desencriptar claves de encriptación de datos existentes. No puedes ver o administrar estas claves ni revisar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave clave de encriptación.

Esta encriptación predeterminada usa módulos criptográficos que están validados para Cumple con el nivel 1 del estándar FIPS.

Claves de encriptación administradas por el cliente (CMEK)

de Google Cloud KMS que se usan para proteger tus recursos Los servicios integrados con CMEK son claves de encriptación administradas por el cliente (CMEK). Puedes posee y controla CMEK, y delega tareas de creación y asignación de claves a Autokey de Cloud KMS (vista previa) Para aprender Para obtener más información sobre el aprovisionamiento automático de CMEK, consulta Cloud Key Management Service con Autokey

Puedes usar tus claves de Cloud KMS servicios compatibles para ayudarlo a alcanzar los siguientes objetivos:

  • Sé el propietario de tus claves de encriptación.

  • Controlar y administrar tus claves de encriptación, incluida la elección de ubicación, nivel de protección, creación, control de acceso, rotación, uso y destrucción.

  • Borrar de forma selectiva los datos protegidos por tus claves en el caso de desvinculación o para solucionar eventos de seguridad (destrucción criptográfica).

  • Crea claves dedicadas de usuario único que establezcan un límite criptográfico. en torno a tus datos.

  • Registra el acceso administrativo y a los datos a las claves de encriptación.

  • Cumplir con las reglamentaciones actuales o futuras que requieran alguno de estos objetivos

Cuando usas claves de Cloud KMS con servicios integrados con CMEK, puedes usar políticas de la organización para garantizar que las CMEK se usen como se especifica en el y políticas de seguridad. Por ejemplo, puedes establecer una política de la organización que garantice que tu recursos compatibles de Google Cloud usan tu claves para la encriptación. Las políticas de la organización también pueden especificar deben residir los recursos de claves.

Las funciones y el nivel de protección proporcionados dependen del nivel de protección de la clave:

  • Claves de software: Puedes generar claves de software en Cloud KMS y usarlos en todas las ubicaciones de Google Cloud. Tú puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software administradas por el cliente usan Software validado por FIPS 140‐2 nivel 1 módulos de criptografía. También puedes controlar el período de rotación, Roles y permisos de Identity and Access Management (IAM), además de políticas de la organización que rigen tus claves. Puedes usar tus claves de software con más de 40 recursos de Google Cloud compatibles.

  • Claves de software importadas: Puedes importar claves de software que creaste. en otro lugar para usar en Cloud KMS. Puedes importar versiones de claves nuevas y rotar manualmente las claves importadas. Puedes usar los roles de IAM y permisos y políticas de la organización para controlar el uso de tus claves importadas.

  • Claves de hardware y Cloud HSM: Puedes generar claves de hardware un clúster de hardware FIPS 140-2 Nivel 3 Módulos de seguridad de Google Cloud (HSM). Tú controlas el período de rotación, roles y permisos de IAM, y políticas de la organización que que controlan tus claves. Cuando creas claves de HSM con Cloud HSM, administra los clústeres de HSM para que tú no tengas que hacerlo. Puedes usar tus claves de HSM con más de 40 cuentas de Google Cloud compatibles recursos, los mismos que admiten claves de software. Para lograr el más alto nivel de cumplimiento de seguridad, usa hardware claves.

  • Claves externas y Cloud EKM: puedes usar claves que residen en en un administrador de claves externo (EKM). Cloud EKM te permite usar claves que se conservan un administrador de claves compatible para proteger recursos de Google Cloud. Puedes conectarte a tu EKM por Internet o a través de un Nube privada virtual (VPC). Algunos servicios de Google Cloud los servicios que admiten claves de software o hardware no lo admiten claves de Cloud EKM.

Claves de Cloud KMS

Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas con el Bibliotecas cliente de Cloud KMS API de Cloud KMS. Las bibliotecas cliente y APIs te permiten encriptar y desencriptar datos, firmar datos y validar firmas.

Claves de encriptación proporcionadas por el cliente (CSEK)

Cloud Storage y Compute Engine pueden usar Claves de encriptación proporcionadas por el cliente (CSEK). Con proveedores del cliente de encriptación, almacenas el material de las claves y lo proporcionas Cloud Storage o Compute Engine cuando sea necesario. Google no almacenar tus CSEK de ninguna manera.

Confidential Computing

En Compute Engine, GKE y Dataproc, puedes hacer lo siguiente: usar la plataforma de Confidential Computing para encriptar tus datos en uso. Confidential Computing garantiza que tus datos se mantengan privados y encriptados incluso mientras se procesan.