Neste tópico, comparamos os diferentes níveis de proteção compatíveis com o Cloud KMS:
- Software
- As chaves do Cloud KMS com o nível de proteção
SOFTWARE
são usadas para operações criptográficas executadas no software. As chaves do Cloud KMS podem ser geradas pelo Google ou importadas. - Hardware
- As chaves do Cloud HSM com o nível de proteção
HARDWARE
são armazenadas em um módulo de segurança de hardware (HSM, na sigla em inglês) do Google. As operações criptográficas com essas chaves são realizadas nos HSMs. É possível usar as chaves do Cloud HSM da mesma forma que as chaves do Cloud KMS. As chaves do Cloud HSM podem ser geradas pelo Google ou importadas. - Externo pela Internet
- As chaves do Cloud EKM com o nível de proteção
EXTERNAL
são geradas e armazenadas no sistema de gerenciamento de chaves externo (EKM, na sigla em inglês). O Cloud EKM armazena material criptográfico extra e um caminho para sua chave exclusiva, usada para acessar a chave pela Internet. - Externo via VPC
- As chaves do Cloud EKM com o nível de proteção
EXTERNAL_VPC
são geradas e armazenadas no sistema de gerenciamento de chaves externo (EKM, na sigla em inglês). O Cloud EKM armazena material criptográfico extra e um caminho para a chave exclusiva, que é usado para acessar a chave em uma rede de nuvem privada virtual (VPC).
As chaves com todos esses níveis de proteção compartilham os seguintes recursos:
Use suas chaves para chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) integradas a serviços do Google Cloud.
Use suas chaves com as APIs do Cloud KMS ou as bibliotecas de cliente sem nenhum código especializado com base no nível de proteção da chave.
Controle o acesso às suas chaves usando os papéis do Identity and Access Management (IAM).
Controle se cada versão da chave está Ativada ou Desativada no Cloud KMS.
As operações de chaves são capturadas nos registros de auditoria. A geração de registros de acesso a dados pode ser ativada.
Nível de proteção de software
O Cloud KMS usa o módulo BoringCrypto (BCM) em todas as operações criptográficas para chaves de software. O BCM é validado pelo FIPS 140-2. As chaves de software do Cloud KMS usam os primitivos criptográficos validados do BCM, validados pelo FIPS 140-2.
As versões de chaves de software são muito mais baratas do que as versões de hardware ou de chaves externas. As chaves de software são uma boa opção para casos de uso que não têm requisitos regulamentares específicos para um nível de validação FIPs 140-2 mais alto.
Nível de proteção de hardware
O Cloud HSM ajuda a aplicar a conformidade regulatória para suas cargas de trabalho no Google Cloud. Com o Cloud HSM, é possível gerar chaves de criptografia e executar operações criptográficas em HSMs validados por FIPS 140-2 Nível 3. O serviço é totalmente gerenciado para que você possa proteger suas cargas de trabalho mais confidenciais sem se preocupar com a sobrecarga operacional de gerenciar um cluster de HSM. O Cloud HSM fornece uma camada de abstração sobre os módulos do HSM. Essa abstração permite usar suas chaves em integrações de CMEK, nas APIs do Cloud KMS ou bibliotecas de cliente sem código específico do HSM.
As versões de chaves de hardware são mais caras, mas oferecem benefícios de segurança significativos em relação às chaves de software. Cada chave do Cloud HSM tem uma declaração de atestado que contém informações certificadas sobre a chave. É possível usar esse atestado e as cadeias de certificados associadas a ele para verificar a autenticidade da instrução e dos atributos da chave e do HSM.
Níveis de proteção externa
As chaves do gerenciador de chaves externas do Cloud (Cloud EKM) são gerenciadas em um serviço de parceiro de gerenciamento de chaves externo (EKM, na sigla em inglês) compatível e usadas nos serviços do Google Cloud e nas APIs e bibliotecas de cliente do Cloud KMS. As chaves do Cloud EKM podem ser protegidas por software ou hardware, dependendo do provedor do EKM. É possível usar suas chaves do Cloud EKM em serviços integrados à CMEK ou usar as APIs e bibliotecas de cliente do Cloud KMS.
As versões de chave do Cloud EKM são mais caras do que as versões de chave de hardware ou software hospedados pelo Google. Ao usar chaves do Cloud EKM, você tem certeza de que o Google não terá acesso ao material da chave.
Para ver quais serviços integrados à CMEK aceitam chaves do Cloud EKM, consulte Integrações de CMEK e aplique o filtro Mostrar apenas serviços compatíveis com EKM.
Externo usando o nível de proteção da Internet
É possível usar chaves do Cloud EKM pela Internet em todos os locais compatíveis
com o Cloud KMS, exceto nam-eur-asia1
e global
.
Externo via nível de proteção da VPC
É possível usar as chaves do Cloud EKM em uma rede VPC para melhorar a disponibilidade das chaves externas. Essa melhor disponibilidade significa que há menos chances de suas chaves do Cloud EKM e os recursos que elas protegem ficarem indisponíveis.
É possível usar as chaves do Cloud EKM em uma rede VPC em todos os locais regionais compatíveis com o Cloud KMS. O Cloud EKM por uma rede VPC não está disponível em locais multirregionais.
A seguir
- Saiba mais sobre serviços compatíveis que permitem usar suas chaves no Google Cloud.
- Saiba como criar keyrings e chaves de criptografia.
- Saiba mais sobre como importar chaves de software ou hardware.
- Saiba mais sobre chaves externas.
- Conheça outras considerações para usar o Cloud EKM.