Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) consente di creare e gestire le chiavi CMEK da utilizzare nei servizi Google Cloud compatibili e nelle tue applicazioni. Con Cloud KMS, puoi:

Genera chiavi hardware o software, importa chiavi esistenti in Cloud KMS o collega chiavi esterne nel tuo sistema di gestione delle chiavi esterne (EKM) compatibile.
Utilizza le chiavi di crittografia gestite dal cliente (CMEK) nei prodotti Google Cloud con l'integrazione CMEK. Le integrazioni CMEK utilizzano le tue chiavi CMEK per criptare o "eseguire il wrapping" delle chiavi di crittografia dei dati (DEK). L'wrapping delle DEK con chiavi di crittografia della chiave (KEK) prende il nome di crittografia envelope.
Utilizza Cloud KMS Autokey (anteprima) per automatizzare il provisioning e l'assegnazione. Con Autokey, non è necessario eseguire in anticipo il provisioning di keyring, chiavi e account di servizio. Vengono invece generati on demand nell'ambito della creazione delle risorse.
Utilizza le chiavi Cloud KMS per le operazioni di crittografia e decriptazione. Ad esempio, puoi utilizzare l'API Cloud KMS o le librerie client per utilizzare le tue chiavi Cloud KMS per la crittografia lato client.
Utilizza le chiavi Cloud KMS per creare o verificare firme digitali o firme con codice di autenticazione dei messaggi (MAC).

Scegli la crittografia adatta alle tue esigenze

Puoi utilizzare la seguente tabella per identificare il tipo di crittografia che soddisfa le tue esigenze per ogni caso d'uso. La soluzione migliore per le tue esigenze potrebbe includere un mix di approcci di crittografia. Ad esempio, potresti utilizzare chiavi software per i dati meno sensibili e chiavi hardware o esterne per i dati più sensibili. Per ulteriori informazioni sulle opzioni di crittografia descritte in questa sezione, consulta Protezione dei dati in Google Cloud in questa pagina.

Tipo di crittografia	Costo	Servizi compatibili	Funzionalità
Chiavi di proprietà di Google e gestite da Google (crittografia predefinita di Google Cloud)	Inclusa	Tutti i servizi Google Cloud che archiviano i dati dei clienti	Nessuna configurazione richiesta. Cripta automaticamente i dati dei clienti salvati in qualsiasi servizio Google Cloud. La maggior parte dei servizi ruota automaticamente le chiavi. Supporta la crittografia utilizzando AES-256. FIPS 140-2 Livello 1 convalidato.
Chiavi di crittografia gestite dal cliente - software (chiavi Cloud KMS)	0,06 $ per versione della chiave	Oltre 40 servizi	Puoi controllare la pianificazione automatica rotazione della chiave, i ruoli e le autorizzazioni IAM, nonché abilitare, disabilitare o eliminare le versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per crittografia e decriptazione. Ruota automaticamente le chiavi simmetriche. Supporta diversi algoritmi comuni. FIPS 140-2 Livello 1 convalidato. Le chiavi sono univoche per ogni cliente.
Chiavi di crittografia gestite dal cliente - Hardware (Chiavi Cloud HSM)	Da $ 1,00 a $2,50 per versione della chiave al mese	Oltre 40 servizi	Gestito facoltativamente tramite Cloud KMS Autokey (anteprima). Puoi controllare la pianificazione automatica rotazione della chiave, i ruoli e le autorizzazioni IAM, nonché abilitare, disabilitare o eliminare le versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per crittografia e decriptazione. Ruota automaticamente le chiavi simmetriche. Supporta diversi algoritmi comuni. Certificato FIPS 140-2 Livello 3. Le chiavi sono univoche per ogni cliente.
Chiavi di crittografia gestite dal cliente - esterne (chiavi Cloud EKM)	3,00 $ per versione della chiave al mese	Oltre 30 servizi	Puoi controllare i ruoli e le autorizzazioni IAM; abilitare, disabilitare o eliminare le versioni delle chiavi. Le chiavi non vengono mai inviate a Google. Il materiale delle chiavi si trova in un provider di gestione delle chiavi esterno (EKM) compatibile. I servizi Google Cloud compatibili si connettono al tuo provider EKM tramite internet o Virtual Private Cloud (VPC). Supporta chiavi simmetriche per crittografia e decriptazione. Ruota manualmente le chiavi in coordinamento con Cloud EKM e il tuo provider EKM. FIPS 140-2 livello 2 o FIPS 140-2 livello 3 convalidato, a seconda dell'EKM. Le chiavi sono univoche per ogni cliente.
Crittografia lato client mediante chiavi Cloud KMS	Il costo delle versioni attive delle chiavi dipende dal livello di protezione della chiave.	Utilizza le librerie client nelle tue applicazioni	Puoi controllare la pianificazione automatica rotazione della chiave, i ruoli e le autorizzazioni IAM, nonché abilitare, disabilitare o eliminare le versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per crittografia, decriptazione, firma e convalida della firma. La funzionalità varia in base al livello di protezione della chiave.
Chiavi di crittografia fornite dal cliente	Potrebbe aumentare i costi associati a Compute Engine o Cloud Storage	Compute Engine Cloud Storage	Fornisci i materiali chiave quando necessario. Il materiale delle chiavi risiede in memoria. Google non memorizza in modo permanente le chiavi sui suoi server.
Confidential Computing	Costo aggiuntivo per ogni Confidential VM; potrebbe aumentare l'utilizzo dei log e i costi associati	Compute Engine GKE Dataproc	Fornisce la crittografia in uso per le VM che gestiscono dati o carichi di lavoro sensibili. Google non può accedere alle chiavi.

Protezione dei dati in Google Cloud

Chiavi di proprietà di Google e gestite da Google (crittografia predefinita di Google Cloud)

Per impostazione predefinita, i dati at-rest in Google Cloud sono protetti da chiavi in Keystore, il servizio interno di gestione delle chiavi di Google. Le chiavi nell'archivio chiavi vengono gestite automaticamente da Google, senza bisogno di configurazione da parte tua. La maggior parte dei servizi ruota automaticamente le chiavi. L'archivio chiavi supporta una versione della chiave primaria e un numero limitato di versioni precedenti della chiave. La versione della chiave primaria viene utilizzata per criptare le nuove chiavi di crittografia dei dati. Le versioni precedenti delle chiavi possono ancora essere utilizzate per decriptare le chiavi di crittografia dei dati esistenti. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero usare la stessa chiave di crittografia della chiave.

Questa crittografia predefinita utilizza moduli crittografici convalidati per essere conformi allo standard FIPS 140-2 livello 1.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi Cloud KMS utilizzate per proteggere le risorse nei servizi integrati con CMEK sono chiavi di crittografia gestite dal cliente (CMEK). Puoi possedere e controllare le CMEK e delegare le attività di creazione e assegnazione delle chiavi a Cloud KMS Autokey (anteprima). Per scoprire di più sull'automazione del provisioning per CMEK, vedi Cloud Key Management Service con Autokey.

Puoi utilizzare le chiavi Cloud KMS in servizi compatibili per raggiungere i seguenti obiettivi:

Possiedi le tue chiavi di crittografia.
Controlla e gestisci le tue chiavi di crittografia, compresi la scelta della posizione, il livello di protezione, la creazione, controllo dell'accesso dell'accesso, la rotazione, l'utilizzo e l'eliminazione.
Elimina in modo selettivo i dati protetti dalle chiavi in caso di off-boarding o per risolvere gli eventi di sicurezza (crypto-shredding).
Crea chiavi dedicate a singolo tenant che stabiliscono un confine crittografico intorno ai tuoi dati.
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.
Rispettare le normative attuali o future che richiedono uno di questi obiettivi.

Quando utilizzi le chiavi Cloud KMS con i servizi integrati con CMEK, puoi utilizzare i criteri dell'organizzazione per garantire che le CMEK vengano utilizzate come specificato nei criteri. Ad esempio, puoi impostare un criterio dell'organizzazione per garantire che le risorse Google Cloud compatibili utilizzino le chiavi Cloud KMS per la crittografia. I criteri dell'organizzazione possono specificare anche in quale progetto devono trovarsi le risorse chiave.

Le funzionalità e il livello di protezione forniti dipendono dal livello di protezione della chiave:

Chiavi software: puoi generare chiavi software in Cloud KMS e utilizzarle in tutte le località di Google Cloud. Puoi creare chiavi simmetriche con rotazione automatica o chiavi asimmetriche con rotazione manuale. Le chiavi software gestite dal cliente utilizzano moduli di crittografia software convalidati secondo lo standard FIPS 140-2 di livello 1. Hai inoltre il controllo sul periodo di rotazione, sui ruoli e sulle autorizzazioni di Identity and Access Management (IAM) e sui criteri dell'organizzazione che regolano le tue chiavi. Puoi utilizzare le tue chiavi software con oltre 40 risorse Google Cloud compatibili.
Chiavi software importate - Puoi importare le chiavi software che hai creato altrimenti per utilizzarle in Cloud KMS. Puoi importare nuove versioni della chiave per ruotare manualmente le chiavi importate. Puoi utilizzare ruoli, autorizzazioni e criteri dell'organizzazione IAM per gestire l'utilizzo delle chiavi importate.
Chiavi hardware e Cloud HSM: puoi generare chiavi hardware in un cluster di moduli di sicurezza hardware (HSM) FIPS 140-2 di livello 3. Hai il controllo del periodo di rotazione, dei ruoli e delle autorizzazioni IAM e dei criteri dell'organizzazione che regolano le tue chiavi. Quando crei chiavi HSM con Cloud HSM, Google gestisce i cluster HSM al posto tuo. Puoi utilizzare le chiavi HSM con oltre 40 risorse Google Cloud compatibili, gli stessi servizi che supportano le chiavi software. Per il massimo livello di conformità della sicurezza, utilizza chiavi hardware.
Chiavi esterne e Cloud EKM: puoi utilizzare le chiavi che si trovano in un gestore di chiavi esterno (EKM). Cloud EKM consente di utilizzare le chiavi conservate in un gestore delle chiavi supportato per proteggere le tue risorse Google Cloud. Puoi connetterti al tuo EKM tramite internet o tramite un Virtual Private Cloud (VPC). Alcuni servizi Google Cloud che supportano le chiavi software o hardware non supportano le chiavi Cloud EKM.

Chiavi Cloud KMS

Puoi utilizzare le chiavi Cloud KMS in applicazioni personalizzate utilizzando le librerie client di Cloud KMS o l'API Cloud KMS. Le librerie client e l'API consentono di criptare e decriptare i dati, firmare i dati e convalidare le firme.

Chiavi di crittografia fornite dal cliente (CSEK)

Cloud Storage e Compute Engine possono utilizzare chiavi di crittografia fornite dal cliente (CSEK). Con le chiavi di crittografia fornite dal cliente, puoi archiviare il materiale della chiave e fornirlo a Cloud Storage o Compute Engine quando necessario. Google non memorizza in nessun modo le tue CSEK.

Confidential Computing

In Compute Engine, GKE e Dataproc puoi utilizzare la piattaforma Confidential Computing per criptare i dati in uso. Confidential Computing garantisce che i tuoi dati rimangano privati e criptati anche durante l'elaborazione.