Ringkasan Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) memungkinkan Anda membuat dan mengelola kunci CMEK untuk digunakan di layanan Google Cloud yang kompatibel dan di aplikasi Anda sendiri. Dengan Cloud KMS, Anda dapat melakukan hal berikut:

  • Buat kunci software atau hardware, impor kunci yang ada ke Cloud KMS, atau tautkan kunci eksternal di sistem pengelolaan kunci eksternal (EKM) yang kompatibel.

  • Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di produk Google Cloud dengan integrasi CMK. Integrasi CMEK menggunakan kunci CMEK Anda untuk mengenkripsi atau "menggabungkan" kunci enkripsi data (DEK) Anda. Menggabungkan DEK dengan kunci enkripsi kunci (KEK) disebut enkripsi amplop.

  • Gunakan Cloud KMS Autokey untuk mengotomatiskan penyediaan dan penetapan. Dengan Autokey, Anda tidak perlu menyediakan ring kunci, kunci, dan akun layanan terlebih dahulu. Sebagai gantinya, resource ini dibuat berdasarkan permintaan sebagai bagian dari pembuatan resource.

  • Gunakan kunci Cloud KMS untuk operasi enkripsi dan dekripsi. Misalnya, Anda dapat menggunakan Cloud KMS API atau library klien untuk menggunakan kunci Cloud KMS untuk enkripsi sisi klien.

  • Gunakan kunci Cloud KMS untuk membuat atau memverifikasi tanda tangan digital atau tanda tangan kode autentikasi pesan (MAC).

Memilih enkripsi yang tepat untuk kebutuhan Anda

Anda dapat menggunakan tabel berikut untuk mengidentifikasi jenis enkripsi yang memenuhi kebutuhan Anda untuk setiap kasus penggunaan. Solusi terbaik untuk kebutuhan Anda mungkin mencakup gabungan pendekatan enkripsi. Misalnya, Anda dapat menggunakan kunci software untuk data yang paling tidak sensitif dan kunci hardware atau eksternal untuk data yang paling sensitif. Untuk informasi tambahan tentang opsi enkripsi yang dijelaskan di bagian ini, lihat Melindungi data di Google Cloud di halaman ini.

Jenis enkripsi Biaya Layanan yang kompatibel Fitur
Kunci milik dan dikelola Google (enkripsi default Google Cloud) Disertakan Semua layanan Google Cloud yang menyimpan data pelanggan
  • Tidak memerlukan konfigurasi.
  • Secara otomatis mengenkripsi data pelanggan yang disimpan di layanan Google Cloud apa pun.
  • Sebagian besar layanan otomatis memutar kunci.
  • Mendukung enkripsi menggunakan AES-256.
  • FIPS 140-2 Level 1 divalidasi.
Kunci enkripsi yang dikelola pelanggan - software
(kunci Cloud KMS)		 $0,06 per versi kunci Lebih dari 40 layanan
Kunci enkripsi yang dikelola pelanggan - hardware
(Kunci Cloud HSM)		 $1,00 hingga $2,50 per versi kunci per bulan Lebih dari 40 layanan
  • Dapat dikelola secara opsional melalui Autokey Cloud KMS.
  • Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci.
  • Mendukung kunci simetris dan asimetris untuk enkripsi dan dekripsi.
  • Otomatis memutar kunci simetris.
  • Mendukung beberapa algoritma umum.
  • FIPS 140-2 Level 3 divalidasi.
  • Kunci bersifat unik untuk pelanggan.
Kunci enkripsi yang dikelola pelanggan - eksternal
(Kunci Cloud EKM)		 $3,00 per versi kunci per bulan 30 layanan
  • Anda mengontrol peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci.
  • Kunci tidak pernah dikirim ke Google.
  • Materi kunci berada di penyedia pengelolaan kunci eksternal (EKM) yang kompatibel.
  • Layanan Google Cloud yang kompatibel terhubung ke penyedia EKM Anda melalui internet atau Virtual Private Cloud (VPC).
  • Mendukung kunci simetris untuk enkripsi dan dekripsi.
  • Putar kunci secara manual dengan berkoordinasi dengan Cloud EKM dan penyedia EKM Anda.
  • FIPS 140-2 Level 2 atau FIPS 140-2 Level 3 yang divalidasi, bergantung pada EKM.
  • Kunci bersifat unik untuk pelanggan.
Enkripsi sisi klien menggunakan kunci Cloud KMS Biaya versi kunci aktif bergantung pada tingkat perlindungan kunci. Menggunakan library klien di aplikasi Anda
Kunci enkripsi yang disediakan pelanggan Dapat meningkatkan biaya yang terkait dengan Compute Engine atau Cloud Storage
  • Anda menyediakan materi utama jika diperlukan.
  • Materi kunci berada dalam memori - Google tidak menyimpan kunci Anda secara permanen di server kami.
Confidential Computing Biaya tambahan untuk setiap VM rahasia; dapat meningkatkan penggunaan log dan biaya terkait
  • Menyediakan enkripsi saat digunakan untuk VM yang menangani data atau workload sensitif.
  • Kunci tidak dapat diakses oleh Google.

Melindungi data di Google Cloud

Kunci milik dan dikelola Google (enkripsi default Google Cloud)

Secara default, data dalam penyimpanan di Google Cloud dilindungi oleh kunci di Keystore, layanan pengelolaan kunci internal Google. Kunci di Keystore dikelola secara otomatis oleh Google, tanpa memerlukan konfigurasi dari Anda. Sebagian besar layanan otomatis memutar kunci untuk Anda. Keystore mendukung versi kunci utama dan sejumlah terbatas versi kunci lama. Versi kunci utama digunakan untuk mengenkripsi kunci enkripsi data baru. Versi kunci yang lebih lama masih dapat digunakan untuk mendekripsi kunci enkripsi data yang ada. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci yang sama.

Enkripsi default ini menggunakan modul kriptografis yang divalidasi agar mematuhi FIPS 140-2 Level 1.

Kunci enkripsi yang dikelola pelanggan (CMEK)

Kunci Cloud KMS yang digunakan untuk melindungi resource Anda di layanan terintegrasi dengan CMK adalah kunci enkripsi yang dikelola pelanggan (CMEK). Anda dapat memiliki dan mengontrol CMEK, sekaligus mendelegasikan tugas pembuatan dan penetapan kunci ke Cloud KMS Autokey. Untuk mempelajari lebih lanjut cara mengotomatiskan penyediaan untuk CMEK, lihat Cloud Key Management Service dengan Autokey.

Anda dapat menggunakan kunci Cloud KMS di layanan yang kompatibel untuk membantu Anda mencapai sasaran berikut:

  • Memiliki kunci enkripsi Anda sendiri.

  • Mengontrol dan mengelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan pemusnahan.

  • Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi offboarding atau untuk memperbaiki peristiwa keamanan (crypto-shredding).

  • Buat kunci khusus satu tenant yang menetapkan batas kriptografis di sekitar data Anda.

  • Mencatat akses administratif dan data ke kunci enkripsi.

  • Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.

Saat menggunakan kunci Cloud KMS dengan layanan terintegrasi CMEK, Anda dapat menggunakan kebijakan organisasi untuk memastikan bahwa CMEK digunakan seperti yang ditentukan dalam kebijakan. Misalnya, Anda dapat menetapkan kebijakan organisasi yang memastikan bahwa resource Google Cloud yang kompatibel menggunakan kunci Cloud KMS untuk enkripsi. Kebijakan organisasi juga dapat menentukan project tempat resource utama harus berada.

Fitur dan tingkat perlindungan yang diberikan bergantung pada tingkat perlindungan kunci:

  • Kunci software - Anda dapat membuat kunci software di Cloud KMS dan menggunakannya di semua lokasi Google Cloud. Anda dapat membuat kunci simetris dengan rotasi otomatis atau kunci asimetris dengan rotasi manual. Kunci software yang dikelola pelanggan menggunakan modul kriptografi software yang divalidasi FIPS 140-2 Level 1. Anda juga memiliki kontrol atas periode rotasi, peran dan izin Identity and Access Management (IAM), serta kebijakan organisasi yang mengatur kunci Anda. Anda dapat menggunakan kunci software dengan lebih dari 40 resource Google Cloud yang kompatibel.

  • Kunci software yang diimpor - Anda dapat mengimpor kunci software yang dibuat di tempat lain untuk digunakan di Cloud KMS. Anda dapat mengimpor versi kunci baru untuk memutar kunci yang diimpor secara manual. Anda dapat menggunakan peran dan izin IAM serta kebijakan organisasi untuk mengatur penggunaan kunci yang diimpor.

  • Kunci hardware dan Cloud HSM - Anda dapat membuat kunci hardware di cluster Modul Keamanan Hardware (HSM) FIPS 140-2 Level 3. Anda memiliki kontrol atas periode rotasi, peran dan izin IAM, serta kebijakan organisasi yang mengatur kunci Anda. Saat Anda membuat kunci HSM menggunakan Cloud HSM, Google akan mengelola cluster HSM sehingga Anda tidak perlu melakukannya. Anda dapat menggunakan kunci HSM dengan lebih dari 40 resource Google Cloud yang kompatibel—layanan yang sama dengan yang mendukung kunci software. Untuk kepatuhan keamanan tingkat tertinggi, gunakan kunci hardware.

  • Kunci eksternal dan Cloud EKM - Anda dapat menggunakan kunci yang berada di pengelola kunci eksternal (EKM). Cloud EKM memungkinkan Anda menggunakan kunci yang disimpan di pengelola kunci yang didukung untuk mengamankan resource Google Cloud Anda. Anda dapat terhubung ke EKM melalui internet atau melalui Virtual Private Cloud (VPC). Beberapa layanan Google Cloud yang mendukung kunci software atau hardware tidak mendukung kunci Cloud EKM.

Kunci Cloud KMS

Anda dapat menggunakan kunci Cloud KMS di aplikasi kustom menggunakan library klien Cloud KMS atau Cloud KMS API. Library klien dan API memungkinkan Anda mengenkripsi dan mendekripsi data, menandatangani data, dan memvalidasi tanda tangan.

Kunci enkripsi yang disediakan pelanggan (CSEK)

Cloud Storage dan Compute Engine dapat menggunakan kunci enkripsi yang disediakan pelanggan (CSEK). Dengan kunci enkripsi yang disediakan pelanggan, Anda menyimpan materi kunci dan memberikannya ke Cloud Storage atau Compute Engine jika diperlukan. Google tidak menyimpan CSEK Anda dengan cara apa pun.

Confidential Computing

Di Compute Engine, GKE, dan Dataproc, Anda dapat menggunakan platform Confidential Computing untuk mengenkripsi data yang sedang digunakan. Confidential Computing memastikan bahwa data Anda tetap bersifat pribadi dan terenkripsi bahkan saat sedang diproses.