Dengan Cloud Key Management Service (Cloud KMS), Anda dapat membuat dan mengelola kunci enkripsi untuk digunakan dalam layanan Google Cloud yang kompatibel dan dalam aplikasi Anda sendiri. Dengan Cloud KMS, Anda dapat melakukan hal berikut:
Membuat kunci software atau hardware, mengimpor kunci yang ada ke Cloud KMS, atau menautkan kunci eksternal di sistem pengelolaan kunci eksternal (EKM) yang kompatibel.
Gunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) di produk Google Cloud dengan integrasi CMEK. Integrasi CMEK menggunakan kunci CMEK untuk mengenkripsi atau "menggabungkan" kunci enkripsi data (DEK) Anda. Menggabungkan DEK dengan kunci enkripsi kunci (KEK) disebut enkripsi envelope.
Menggunakan kunci Cloud KMS untuk operasi enkripsi dan dekripsi. Misalnya, Anda dapat menggunakan Cloud KMS API atau library klien untuk menggunakan kunci Cloud KMS untuk enkripsi sisi klien.
Gunakan kunci Cloud KMS untuk membuat atau memverifikasi tanda tangan digital atau tanda tangan kode autentikasi pesan (MAC).
Pilih enkripsi yang tepat untuk kebutuhan Anda
Anda dapat menggunakan tabel berikut untuk mengidentifikasi jenis enkripsi yang sesuai dengan kebutuhan Anda untuk setiap kasus penggunaan. Solusi terbaik untuk kebutuhan Anda mungkin mencakup campuran pendekatan enkripsi. Misalnya, Anda dapat menggunakan kunci software untuk data yang paling tidak sensitif dan hardware atau kunci eksternal untuk data yang paling sensitif. Untuk informasi tambahan tentang opsi enkripsi yang dijelaskan di bagian ini, lihat Melindungi data di Google Cloud di halaman ini.
| Jenis enkripsi | Biaya | Layanan yang kompatibel | Fitur |
|---|---|---|---|
| Enkripsi default Google Cloud | Disertakan | Semua layanan Google Cloud yang menyimpan data pelanggan |
|
| Kunci enkripsi yang dikelola pelanggan - software (kunci Cloud KMS) |
Rendah - $0,06 per versi kunci | 30+ layanan |
|
| Kunci enkripsi yang dikelola pelanggan - hardware (kunci Cloud HSM) |
Medium - $1,00 hingga $2,50 per versi kunci per bulan | 30+ layanan |
|
| Kunci enkripsi yang dikelola pelanggan -
eksternal (kunci Cloud EKM) |
Tinggi - $3,00 per versi kunci per bulan | 20+ layanan |
|
| Enkripsi sisi klien menggunakan kunci Cloud KMS | Biaya versi kunci yang aktif bergantung pada tingkat perlindungan kunci. | Menggunakan library klien di aplikasi Anda |
|
| Kunci enkripsi yang disediakan pelanggan | Dapat meningkatkan biaya yang terkait dengan Compute Engine atau Cloud Storage |
|
|
| Confidential Computing | Biaya tambahan untuk setiap Confidential VM; dapat meningkatkan penggunaan log dan biaya terkait |
|
Melindungi data di Google Cloud
Enkripsi default Google Cloud
Secara default, data dalam penyimpanan di Google Cloud dilindungi oleh kunci di Keystore, yaitu key management service internal Google. Kunci di Keystore dikelola secara otomatis oleh Google, tanpa memerlukan konfigurasi dari Anda. Sebagian besar layanan merotasi kunci secara otomatis untuk Anda. Keystore mendukung versi kunci utama dan versi kunci yang lebih lama dalam jumlah terbatas. Versi kunci utama digunakan untuk mengenkripsi kunci enkripsi data baru. Versi kunci yang lebih lama masih dapat digunakan untuk mendekripsi kunci enkripsi data yang sudah ada.
Enkripsi default ini menggunakan modul kriptografis yang divalidasi agar mematuhi FIPS 140-2 Level 1. Jika Anda tidak memiliki persyaratan khusus untuk tingkat perlindungan yang lebih tinggi, penggunaan enkripsi default dapat memenuhi kebutuhan Anda tanpa biaya tambahan.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Untuk kasus penggunaan yang memerlukan tingkat kontrol atau perlindungan yang lebih tinggi, Anda dapat menggunakan kunci Cloud KMS yang dikelola pelanggan di layanan yang kompatibel. Saat menggunakan kunci Cloud KMS dalam integrasi CMEK, Anda dapat menggunakan kebijakan organisasi untuk memastikan bahwa kunci CMEK digunakan seperti yang ditentukan dalam kebijakan. Misalnya, Anda dapat menetapkan kebijakan organisasi yang memastikan resource Google Cloud yang kompatibel menggunakan kunci Cloud KMS untuk enkripsi. Kebijakan organisasi juga dapat menentukan project tempat resource utama harus berada.
Fitur dan tingkat perlindungan yang diberikan bergantung pada tingkat perlindungan kunci:
Kunci software - Anda dapat membuat kunci software di Cloud KMS dan menggunakannya di semua lokasi Google Cloud. Anda dapat membuat kunci simetris dengan rotasi otomatis atau kunci asimetris dengan rotasi manual. Kunci software yang dikelola pelanggan menggunakan modul kriptografi software yang divalidasi FIPS 140-2 Level 1. Anda juga dapat mengontrol periode rotasi, peran dan izin Identity and Access Management (IAM), serta kebijakan organisasi yang mengatur kunci Anda. Anda dapat menggunakan kunci software dengan lebih dari 30 resource Google Cloud yang kompatibel.
Kunci software yang diimpor - Anda dapat mengimpor kunci software yang Anda buat di tempat lain untuk digunakan di Cloud KMS. Anda dapat mengimpor versi kunci baru untuk merotasi kunci yang diimpor secara manual. Anda dapat menggunakan peran dan izin IAM serta kebijakan organisasi untuk mengatur penggunaan kunci yang diimpor.
Kunci hardware dan Cloud HSM - Anda dapat membuat kunci hardware dalam cluster FIPS 140-2 Level 3 Hardware Security Modules (HSM). Anda memiliki kontrol atas periode rotasi, peran dan izin IAM, serta kebijakan organisasi yang mengatur kunci Anda. Saat Anda membuat kunci HSM menggunakan Cloud HSM, Google akan mengelola cluster HSM sehingga Anda tidak perlu melakukannya. Anda dapat menggunakan kunci HSM dengan lebih dari 30 resource Google Cloud yang kompatibel—layanan yang sama yang mendukung kunci software. Untuk tingkat kepatuhan keamanan tertinggi, gunakan kunci hardware.
Kunci eksternal dan Cloud EKM - Anda dapat menggunakan kunci yang berada di pengelola kunci eksternal (EKM). Dengan Cloud EKM, Anda dapat menggunakan kunci yang tersimpan di pengelola kunci yang didukung untuk mengamankan resource Google Cloud Anda. Anda dapat terhubung ke EKM melalui internet atau melalui Virtual Private Cloud (VPC). Beberapa layanan Google Cloud yang mendukung kunci software atau hardware tidak mendukung kunci Cloud EKM.
Kunci Cloud KMS
Anda dapat menggunakan kunci Cloud KMS di aplikasi kustom menggunakan library klien Cloud KMS atau Cloud KMS API. Library klien dan API memungkinkan Anda mengenkripsi dan mendekripsi data, menandatangani data, dan memvalidasi tanda tangan.
Kunci enkripsi yang disediakan pelanggan (CSEK)
Cloud Storage dan Compute Engine dapat menggunakan kunci enkripsi yang disediakan pelanggan (CSEK). Dengan kunci enkripsi yang disediakan pelanggan, Anda menyimpan materi kunci dan memberikannya ke Cloud Storage atau Compute Engine saat diperlukan. Google tidak menyimpan CSEK Anda dengan cara apa pun.
Confidential Computing
Di Compute Engine, GKE, dan Dataproc, Anda dapat menggunakan platform Confidential Computing untuk mengenkripsi data aktif Anda. Confidential Computing memastikan data Anda tetap bersifat pribadi dan terenkripsi bahkan saat sedang diproses.