Panoramica di Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) consente di creare e gestire le chiavi di crittografia da utilizzare nei servizi Google Cloud compatibili e nelle tue applicazioni. Con Cloud KMS puoi:

Scegli la crittografia più adatta alle tue esigenze

Puoi utilizzare la seguente tabella per identificare il tipo di crittografia che soddisfa le tue esigenze per ogni caso d'uso. La soluzione migliore per le tue esigenze potrebbe includere una combinazione di approcci di crittografia. Ad esempio, puoi utilizzare chiavi software per i dati meno sensibili e hardware o chiavi esterne per i dati più sensibili. Per ulteriori informazioni sulle opzioni di crittografia descritte in questa sezione, consulta Protezione dei dati in Google Cloud in questa pagina.

Tipo di crittografia Costo Servizi compatibili Funzionalità
Crittografia predefinita di Google Cloud Inclusa Tutti i servizi Google Cloud che archiviano i dati dei clienti
  • Nessuna configurazione richiesta.
  • Cripta automaticamente i dati dei clienti salvati in qualsiasi servizio Google Cloud.
  • Ruota automaticamente le chiavi e cripta nuovamente i dati.
  • Supporta la crittografia con l'algoritmo AES-256.
  • FIPS 140-2 Livello 1 convalidato.
Chiavi di crittografia gestite dal cliente - Software
(chiavi Cloud KMS)
Bassa: 0,06 $ per versione della chiave Oltre 30 servizi
Chiavi di crittografia gestite dal cliente - Hardware
(chiavi Cloud HSM)
Medio: da 1,00 $ a 2,50 $per versione della chiave al mese Oltre 30 servizi
Chiavi di crittografia gestite dal cliente - esterne
(chiavi Cloud EKM)
Alta: 3,00 $ per versione della chiave al mese Oltre 20 servizi
Crittografia lato client con l'utilizzo di chiavi Cloud KMS Il costo delle versioni attive della chiave dipende dal livello di protezione della chiave. Utilizza le librerie client nelle tue applicazioni
  • Puoi controllare la pianificazione della rotazione automatica delle chiavi e i ruoli e le autorizzazioni IAM; abilitare, disabilitare o eliminare le versioni delle chiavi.
  • Supporta chiavi simmetriche e asimmetriche per crittografia, decriptazione, firma e convalida della firma.
  • La funzionalità varia in base al livello di protezione della chiave.
Chiavi di crittografia fornite dal cliente Potrebbero aumentare i costi associati a Compute Engine o Cloud Storage
  • Tu fornisci i materiali chiave quando necessario.
  • Il materiale delle chiavi risiede in memoria: Google non memorizza le chiavi in modo permanente sui suoi server.
Confidential Computing Costo aggiuntivo per ogni Confidential VM; potrebbe aumentare l'utilizzo dei log e i costi associati
  • Fornisce la crittografia in uso per le VM che gestiscono dati o carichi di lavoro sensibili.
  • Google non può accedere alle chiavi.

Protezione dei dati in Google Cloud

Crittografia predefinita di Google Cloud

Per impostazione predefinita, i dati at-rest in Google Cloud sono protetti da chiavi in Keystore, il Key Management Service interno di Google. Le chiavi nell'archivio chiavi vengono gestite automaticamente da Google, senza necessità di configurazione da parte tua. La maggior parte dei servizi ruota automaticamente le chiavi al posto tuo. L'archivio chiavi supporta una versione della chiave primaria e un numero limitato di versioni precedenti della chiave. La versione della chiave primaria viene utilizzata per criptare le nuove chiavi di crittografia dei dati. Le versioni precedenti delle chiavi possono ancora essere utilizzate per decriptare le chiavi di crittografia dei dati esistenti.

Questa crittografia predefinita utilizza moduli crittografici convalidati come conformi allo standard FIPS 140-2 livello 1. Se non hai requisiti specifici per un livello di protezione superiore, l'utilizzo della crittografia predefinita può soddisfare le tue esigenze senza costi aggiuntivi.

Chiavi di crittografia gestite dal cliente (CMEK)

Per i casi d'uso che richiedono un livello più elevato di controllo o protezione, puoi utilizzare le chiavi Cloud KMS gestite dal cliente nei servizi compatibili. Quando utilizzi le chiavi Cloud KMS nelle integrazioni CMEK, puoi utilizzare i criteri dell'organizzazione per garantire che le chiavi CMEK vengano utilizzate come specificato nei criteri. Ad esempio, puoi impostare un criterio dell'organizzazione che garantisca che le risorse Google Cloud compatibili utilizzino le chiavi Cloud KMS per la crittografia. I criteri dell'organizzazione possono anche specificare in quale progetto devono risiedere le risorse chiave.

Le funzionalità e il livello di protezione forniti dipendono dal livello di protezione della chiave:

  • Chiavi software: puoi generare chiavi software in Cloud KMS e utilizzarle in tutte le località di Google Cloud. Puoi creare chiavi simmetriche con rotazione automatica o chiavi asimmetriche con rotazione manuale. Le chiavi software gestite dal cliente utilizzano moduli di crittografia software convalidati FIPS 140-2 Livello 1. Hai inoltre il controllo sul periodo di rotazione, sui ruoli e sulle autorizzazioni IAM (Identity and Access Management) e sui criteri dell'organizzazione che regolano le tue chiavi. Puoi utilizzare le tue chiavi software con oltre 30 risorse Google Cloud compatibili.

  • Chiavi software importate: puoi importare le chiavi software che hai creato altrove per utilizzarle in Cloud KMS. Puoi importare nuove versioni delle chiavi per ruotare manualmente le chiavi importate. Puoi utilizzare ruoli, autorizzazioni e criteri dell'organizzazione IAM per gestire l'utilizzo delle chiavi importate.

  • Chiavi hardware e Cloud HSM: puoi generare chiavi hardware in un cluster di moduli di sicurezza hardware (HSM) di FIPS 140-2 livello 3. Sei tu ad avere il controllo sul periodo di rotazione, sui ruoli e sulle autorizzazioni IAM e sui criteri dell'organizzazione che regolano le tue chiavi. Quando crei chiavi HSM utilizzando Cloud HSM, Google gestisce i cluster HSM al posto tuo. Puoi utilizzare le chiavi HSM con oltre 30 risorse Google Cloud compatibili, gli stessi servizi che supportano le chiavi software. Per il massimo livello di conformità di sicurezza, utilizza chiavi hardware.

  • Chiavi esterne e Cloud EKM: puoi utilizzare le chiavi che risiedono in un gestore di chiavi esterno (EKM). Cloud EKM consente di utilizzare le chiavi conservate in un gestore chiavi supportato per proteggere le risorse Google Cloud. Puoi connetterti al tuo EKM tramite internet o tramite un Virtual Private Cloud (VPC). Alcuni servizi Google Cloud che supportano chiavi software o hardware non supportano le chiavi Cloud EKM.

Chiavi Cloud KMS

Puoi utilizzare le chiavi Cloud KMS in applicazioni personalizzate mediante le librerie client di Cloud KMS o l'API Cloud KMS. Le librerie client e l'API consentono di criptare e decriptare i dati, firmare i dati e convalidare le firme.

Chiavi di crittografia fornite dal cliente (CSEK)

Cloud Storage e Compute Engine possono utilizzare chiavi di crittografia fornite dal cliente (CSEK). Con le chiavi di crittografia fornite dal cliente, puoi archiviare il materiale della chiave e fornirlo a Cloud Storage o Compute Engine quando necessario. Google non memorizza le tue CSEK in nessun modo.

Confidential Computing

In Compute Engine, GKE e Dataproc puoi utilizzare la piattaforma Confidential Computing per criptare i dati in uso. Confidential Computing garantisce che i tuoi dati rimangano privati e criptati anche durante l'elaborazione.