Questa pagina è stata tradotta dall'API Cloud Translation.

Livelli di protezione

Questo argomento mette a confronto i diversi livelli di protezione supportati in Cloud KMS:

Software: Le chiavi Cloud KMS con il livello di protezione SOFTWARE vengono utilizzate per le operazioni di crittografia eseguite in software. Le chiavi Cloud KMS possono essere generate da Google o importate.
Hardware: chiavi Cloud HSM con il livello di protezione HARDWARE sono archiviate in un modulo di sicurezza hardware (HSM) di proprietà di Google. Le operazioni di crittografia che utilizzano queste chiavi vengono eseguite nei nostri HSM. Puoi utilizzare le chiavi Cloud HSM come le chiavi Cloud KMS. Le chiavi Cloud HSM possono essere generate da Google o importate.
Esterno tramite internet: chiavi Cloud EKM con il livello di protezione EXTERNAL vengono generate e archiviate nel tuo sistema di gestione delle chiavi esterne (EKM). Cloud EKM immagazzina materiale crittografico aggiuntivo e un percorso per la tua chiave univoca, che viene utilizzata per accedere alla chiave tramite internet.
Esterno tramite VPC: chiavi Cloud EKM con il livello di protezione EXTERNAL_VPC vengono generate e archiviate nel tuo sistema di gestione delle chiavi esterne (EKM). Cloud EKM memorizza materiale crittografico aggiuntivo e un percorso per la tua chiave univoca, che viene utilizzata per accedere alla chiave tramite una rete Virtual Private Cloud (VPC).

Le chiavi con tutti questi livelli di protezione condividono le seguenti funzionalità:

Utilizza le tue chiavi per le chiavi di crittografia gestite dal cliente (CMEK) integrate nei servizi Google Cloud.

Nota: alcuni servizi integrati con CMEK non supportano le chiavi Cloud EKM. Per scoprire quali servizi integrati con CMEK supportano le chiavi EKM di Cloud, consulta le integrazioni CMEK.
Utilizza le tue chiavi con le API Cloud KMS o le librerie client, senza alcun codice specializzato in base al livello di protezione della chiave.
Controlla l'accesso alle tue chiavi utilizzando i ruoli IAM (Identity and Access Management).
Controlla se ogni versione della chiave è Attivata o Disattivata da Cloud KMS.
Le operazioni con le chiavi vengono acquisite negli audit log. Il logging dell'accesso ai dati può essere attivato.

Livello di protezione del software

Cloud KMS utilizza il modulo BoringCrypto (BCM) per tutte le operazioni di crittografia per le chiavi software. Il BCM è convalidato secondo lo standard FIPS 140-2. Le chiavi software di Cloud KMS utilizzano le primitive crittografiche convalidate secondo lo standard FIPS 140-2 livello 1 del BCM.

Le versioni delle chiavi software sono molto più economiche rispetto alle versioni delle chiavi hardware o esterne. Le chiavi software sono una buona scelta per i casi d'uso che non prevedono requisiti normativi specifici per un livello di convalida FIPs 140-2 superiore.

Livello di protezione hardware

Cloud HSM ti aiuta a applicare la conformità alle normative per i tuoi carichi di lavoro in Google Cloud. Con Cloud HSM puoi generare chiavi di crittografia ed eseguire operazioni crittografiche con HSM convalidati FIPS 140-2 di livello 3. Il servizio è completamente gestito, quindi puoi proteggere i carichi di lavoro più sensibili senza preoccuparti del sovraccarico operativo connesso alla gestione di un cluster HSM. Cloud HSM fornisce un livello di astrazione sopra i moduli HSM. Questa astrazione ti consente di utilizzare le tue chiavi nelle integrazioni CMEK o nelle API Cloud KMS o nelle librerie client senza codice specifico per HSM.

Le versioni con chiave hardware sono più costose, ma offrono vantaggi sostanziali in termini di sicurezza rispetto alle chiavi software. Ogni chiave Cloud HSM ha una dichiarazione di attestazione che contiene informazioni certificate sulla chiave. Questa attestazione e le relative catene di certificati associati possono essere utilizzate per verificare l'autenticità della dichiarazione e degli attributi della chiave e dell'HSM.

Livelli di protezione esterni

Le chiavi Cloud External Key Manager (Cloud EKM) sono chiavi che gestisci in un servizio di partner di gestione delle chiavi esterne (EKM) supportato e utilizzi nei servizi Google Cloud, nelle API Cloud KMS e nelle librerie client. Le chiavi Cloud EKM possono essere basate su software o hardware, a seconda del fornitore di EKM. Puoi utilizzare le tue chiavi Cloud EKM nei servizi integrati con CMEK o utilizzando le API e le librerie client di Cloud KMS.

Le versioni delle chiavi Cloud EKM sono più costose delle versioni delle chiavi hardware o software ospitate da Google. Quando utilizzi le chiavi Cloud EKM, puoi stare certo che Google non può accedere al materiale della chiave.

Per sapere quali servizi integrati con CMEK supportano le chiavi Cloud EKM, consulta le integrazioni CMEK e applica il filtro Mostra solo servizi compatibili con EKM.

Livello di protezione esterno tramite internet

Puoi utilizzare le chiavi Cloud EKM tramite internet in tutte le località supportate da Cloud KMS, ad eccezione di nam-eur-asia1 e global.

Livello di protezione esterno tramite VPC

Puoi utilizzare le chiavi EKM di Cloud su una rete VPC per una migliore disponibilità delle tue chiavi esterne. Questa maggiore disponibilità significa che è meno probabile che le chiavi Cloud EKM e le risorse che proteggono diventino non disponibili.

Puoi utilizzare le chiavi Cloud EKM su una rete VPC in tutte le località regionali supportate da Cloud KMS. Cloud EKM su una rete VPC non è disponibile in località di più aree geografiche.

Passaggi successivi

Scopri i servizi compatibili che ti consentono di utilizzare le tue chiavi in Google Cloud.
Scopri come creare keyring e chiavi di crittografia.
Scopri di più sull'importazione di chiavi hardware o software.
Scopri di più sulle chiavi esterne.
Scopri altri aspetti da considerare per l'utilizzo di Cloud EKM.