Ringkasan Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) memungkinkan Anda membuat dan mengelola kunci kriptografis untuk digunakan dalam layanan Google Cloud yang kompatibel dan dalam aplikasi Anda sendiri. Dengan Cloud KMS, Anda dapat melakukan hal berikut:

  • Buat kunci software atau hardware, impor kunci yang ada ke Cloud KMS, atau tautkan kunci eksternal di sistem pengelolaan kunci eksternal (EKM) yang kompatibel.
  • Gunakan kunci enkripsi yang dikelola pelanggan (CMEK) di produk Google Clouddengan integrasi CMK. Integrasi CMEK menggunakan kunci Cloud KMS Anda untuk mengenkripsi atau "menggabungkan" kunci enkripsi data (DEK). Menggabungkan DEK dengan kunci enkripsi kunci (KEK) disebut enkripsi amplop.
  • Gunakan Cloud KMS Autokey untuk mengotomatiskan penyediaan dan penetapan. Dengan Autokey, Anda tidak perlu menyediakan ring kunci, kunci, dan akun layanan terlebih dahulu. Sebagai gantinya, resource tersebut dibuat sesuai permintaan sebagai bagian dari pembuatan resource.
  • Gunakan kunci Cloud KMS untuk operasi enkripsi dan dekripsi. Misalnya, Anda dapat menggunakan Cloud KMS API atau library klien untuk menggunakan kunci Cloud KMS untuk enkripsi sisi klien.
  • Gunakan kunci Cloud KMS untuk membuat atau memverifikasi tanda tangan digital atau tanda tangan message authentication code (MAC).

Memilih enkripsi yang tepat untuk kebutuhan Anda

Anda dapat menggunakan tabel berikut untuk mengidentifikasi jenis enkripsi yang memenuhi kebutuhan Anda untuk setiap kasus penggunaan. Solusi terbaik untuk kebutuhan Anda mungkin mencakup gabungan pendekatan enkripsi. Misalnya, Anda dapat menggunakan kunci software untuk data yang paling tidak sensitif dan kunci hardware atau eksternal untuk data yang paling sensitif. Untuk informasi tambahan tentang opsi enkripsi yang dijelaskan di bagian ini, lihat Melindungi data di Google Cloud di halaman ini.

Jenis enkripsi Biaya Layanan yang kompatibel Fitur
Google-owned and Google-managed encryption keys (Google Cloud enkripsi default) Disertakan Semua Google Cloud layanan yang menyimpan data pelanggan
  • Tidak memerlukan konfigurasi.
  • Otomatis mengenkripsi data pelanggan yang disimpan di layanan Google Cloud apa pun.
  • Sebagian besar layanan otomatis memutar kunci.
  • Mendukung enkripsi menggunakan AES-256.
  • FIPS 140-2 Level 1 divalidasi.
Kunci enkripsi yang dikelola pelanggan - software
(kunci Cloud KMS)		 $0,06 per versi kunci Lebih dari 40 layanan
Kunci enkripsi yang dikelola pelanggan - hardware
(Kunci Cloud HSM)		 $1,00 hingga $2,50 per versi kunci per bulan Lebih dari 40 layanan
  • Dapat dikelola secara opsional melalui Autokey Cloud KMS.
  • Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci.
  • Mendukung kunci simetris dan asimetris untuk enkripsi dan dekripsi.
  • Otomatis memutar kunci simetris.
  • Mendukung beberapa algoritma umum.
  • FIPS 140-2 Level 3 divalidasi.
  • Kunci bersifat unik untuk pelanggan.
Kunci enkripsi yang dikelola pelanggan - eksternal
(Kunci Cloud EKM)		 $3,00 per versi kunci per bulan 30 layanan
  • Anda mengontrol peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci.
  • Kunci tidak pernah dikirim ke Google.
  • Materi kunci berada di penyedia pengelolaan kunci eksternal (EKM) yang kompatibel.
  • Layanan Google Cloud yang kompatibel terhubung ke penyedia EKM Anda melalui internet atau Virtual Private Cloud (VPC).
  • Mendukung kunci simetris untuk enkripsi dan dekripsi.
  • Putar kunci secara manual dengan berkoordinasi dengan Cloud EKM dan penyedia EKM Anda.
  • FIPS 140-2 Level 2 atau FIPS 140-2 Level 3 yang divalidasi, bergantung pada EKM.
  • Kunci bersifat unik untuk pelanggan.
Enkripsi sisi klien menggunakan kunci Cloud KMS Biaya versi kunci aktif bergantung pada tingkat perlindungan kunci. Menggunakan library klien dalam aplikasi Anda
Kunci enkripsi yang disediakan pelanggan Dapat meningkatkan biaya yang terkait dengan Compute Engine atau Cloud Storage
  • Anda menyediakan materi utama jika diperlukan.
  • Materi kunci berada dalam memori - Google tidak menyimpan kunci Anda secara permanen di server kami.
Confidential Computing Biaya tambahan untuk setiap VM rahasia; dapat meningkatkan penggunaan log dan biaya terkait
  • Menyediakan enkripsi saat digunakan untuk VM yang menangani data atau workload sensitif.
  • Kunci tidak dapat diakses oleh Google.

Melindungi data di Google Cloud

Google-owned and Google-managed encryption keys (Google Cloud enkripsi default)

Secara default, data dalam keadaan nonaktif di Google Cloud dilindungi oleh kunci di Keystore,layanan pengelolaan kunci internal Google Cloud. Kunci di Keystore dikelola secara otomatis oleh Google Cloud, tanpa memerlukan konfigurasi dari Anda. Sebagian besar layanan otomatis memutar kunci untuk Anda. Keystore mendukung versi kunci utama dan sejumlah terbatas versi kunci lama. Versi kunci utama digunakan untuk mengenkripsi kunci enkripsi data baru. Versi kunci yang lebih lama masih dapat digunakan untuk mendekripsi kunci enkripsi data yang ada. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci yang sama.

Enkripsi default ini menggunakan modul kriptografis yang divalidasi agar mematuhi FIPS 140-2 Level 1.

Kunci enkripsi yang dikelola pelanggan (CMEK)

Kunci Cloud KMS yang digunakan untuk melindungi resource Anda di layanan terintegrasi dengan CMK adalah kunci enkripsi yang dikelola pelanggan (CMEK). Anda dapat memiliki dan mengontrol CMEK, sekaligus mendelegasikan tugas pembuatan dan penetapan kunci ke Cloud KMS Autokey. Untuk mempelajari lebih lanjut cara mengotomatiskan penyediaan untuk CMEK, lihat Cloud Key Management Service dengan Autokey.

Anda dapat menggunakan kunci Cloud KMS di layanan yang kompatibel untuk membantu Anda mencapai sasaran berikut:

  • Memiliki kunci enkripsi Anda sendiri.

  • Mengontrol dan mengelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan pemusnahan.

  • Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi offboarding atau untuk memperbaiki peristiwa keamanan (crypto-shredding).

  • Buat kunci khusus satu tenant yang menetapkan batas kriptografis di sekitar data Anda.

  • Mencatat akses administratif dan data ke kunci enkripsi.

  • Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.

Saat menggunakan kunci Cloud KMS dengan layanan terintegrasi CMEK, Anda dapat menggunakan kebijakan organisasi untuk memastikan bahwa CMEK digunakan seperti yang ditentukan dalam kebijakan. Misalnya, Anda dapat menetapkan kebijakan organisasi yang memastikan bahwa resource Google Cloud yang kompatibel menggunakan kunci Cloud KMS untuk enkripsi. Kebijakan organisasi juga dapat menentukan project tempat resource utama harus berada.

Fitur dan tingkat perlindungan yang diberikan bergantung pada tingkat perlindungan kunci:

  • Kunci software - Anda dapat membuat kunci software di Cloud KMS dan menggunakannya di semua lokasi Google Cloud . Anda dapat membuat kunci simetris dengan rotasi otomatis atau kunci asimetris dengan rotasi manual. Kunci software yang dikelola pelanggan menggunakan modul kriptografi software yang divalidasi FIPS 140-2 Level 1. Anda juga memiliki kontrol atas periode rotasi, peran dan izin Identity and Access Management (IAM), serta kebijakan organisasi yang mengatur kunci Anda. Anda dapat menggunakan kunci software dengan banyak resource Google Cloud yang kompatibel.

  • Kunci software yang diimpor - Anda dapat mengimpor kunci software yang dibuat di tempat lain untuk digunakan di Cloud KMS. Anda dapat mengimpor versi kunci baru untuk memutar kunci yang diimpor secara manual. Anda dapat menggunakan peran dan izin IAM serta kebijakan organisasi untuk mengatur penggunaan kunci yang diimpor.

  • Kunci hardware dan Cloud HSM - Anda dapat membuat kunci hardware di cluster Modul Keamanan Hardware (HSM) FIPS 140-2 Level 3. Anda memiliki kontrol atas periode rotasi, peran dan izin IAM, serta kebijakan organisasi yang mengatur kunci Anda. Saat Anda membuat kunci HSM menggunakan Cloud HSM, Google Cloudakan mengelola cluster HSM sehingga Anda tidak perlu melakukannya. Anda dapat menggunakan kunci HSM dengan banyak resource Google Cloudyang kompatibel—layanan yang sama dengan yang mendukung kunci software. Untuk kepatuhan keamanan tingkat tertinggi, gunakan kunci hardware.

  • Kunci eksternal dan Cloud EKM - Anda dapat menggunakan kunci yang berada di pengelola kunci eksternal (EKM). Cloud EKM memungkinkan Anda menggunakan kunci yang disimpan di pengelola kunci yang didukung untuk mengamankan resourceGoogle Cloud . Anda dapat terhubung ke EKM melalui internet atau melalui Virtual Private Cloud (VPC). Beberapa Google Cloud layanan yang mendukung kunci Cloud KMS tidak mendukung kunci Cloud EKM.

Untuk mempelajari lebih lanjut lokasi Cloud KMS yang mendukung tingkat perlindungan tertentu, lihat Lokasi Cloud KMS.

Kunci Cloud KMS

Anda dapat menggunakan kunci Cloud KMS di aplikasi kustom menggunakan library klien Cloud KMS atau Cloud KMS API. Library klien dan API memungkinkan Anda mengenkripsi dan mendekripsi data, menandatangani data, dan memvalidasi tanda tangan.

Kunci enkripsi yang disediakan pelanggan (CSEK)

Cloud Storage dan Compute Engine dapat menggunakan kunci enkripsi yang disediakan pelanggan (CSEK). Dengan kunci enkripsi yang disediakan pelanggan, Anda menyimpan materi kunci dan menyediakannya ke Cloud Storage atau Compute Engine jika diperlukan. Google Cloud tidak menyimpan CSEK Anda dengan cara apa pun.

Confidential Computing

Di Compute Engine, GKE, dan Dataproc, Anda dapat menggunakan platform Confidential Computing untuk mengenkripsi data yang sedang digunakan. Confidential Computing memastikan bahwa data Anda tetap bersifat pribadi dan terenkripsi bahkan saat sedang diproses.