Livelli di protezione

Questo argomento mette a confronto i diversi livelli di protezione supportati in Cloud KMS:

Software: Le chiavi Cloud KMS con livello di protezione SOFTWARE vengono utilizzate per le operazioni crittografiche eseguite nel software. Le chiavi Cloud KMS possono essere generate da Google o importate.
Articoli di ferramenta: Le chiavi Cloud HSM con livello di protezione HARDWARE vengono archiviate in un modulo di sicurezza hardware (HSM) di proprietà di Google. Le operazioni di crittografia che utilizzano queste chiavi vengono eseguite nei nostri HSM. Puoi utilizzare le chiavi Cloud HSM nello stesso modo in cui utilizzi le chiavi Cloud KMS. Le chiavi Cloud HSM possono essere generate da Google o importate.
Sorgenti di traffico esterne tramite Internet: Le chiavi Cloud EKM con livello di protezione EXTERNAL vengono generate e archiviate nel sistema di gestione delle chiavi esterno (EKM). Cloud EKM memorizza materiale crittografico aggiuntivo e un percorso alla tua chiave univoca, che viene utilizzato per accedere alla chiave tramite internet.
Esterna tramite VPC: Le chiavi Cloud EKM con livello di protezione EXTERNAL_VPC vengono generate e archiviate nel sistema di gestione delle chiavi esterno (EKM). Cloud EKM archivia materiale crittografico aggiuntivo e un percorso alla tua chiave univoca, che viene utilizzato per accedere alla chiave su una rete Virtual Private Cloud (VPC).

Le chiavi con tutti questi livelli di protezione condividono le seguenti funzionalità:

Utilizza le tue chiavi per i servizi Google Cloud integrati delle chiavi di crittografia gestite dal cliente (CMEK).

Nota: alcuni servizi integrati con CMEK non supportano le chiavi Cloud EKM. Per sapere quali servizi integrati con CMEK supportano le chiavi Cloud EKM, consulta Integrazioni CMEK.
Utilizza le tue chiavi con le API o le librerie client di Cloud KMS, senza alcun codice specializzato basato sul livello di protezione della chiave.
Controlla l'accesso alle tue chiavi utilizzando i ruoli IAM (Identity and Access Management).
Stabilisci se ogni versione della chiave è Abilitata o Disabilitata in Cloud KMS.
Le operazioni relative alle chiavi vengono acquisite negli audit log. Il logging degli accessi ai dati può essere abilitato.

Livello di protezione del software

Cloud KMS utilizza il modulo BoringCrypto (BCM) per tutte le operazioni crittografiche per le chiavi software. Il BCM è convalidato FIPS 140-2. Le chiavi software Cloud KMS utilizzano primitive crittografiche di livello 1 convalidate FIPS 140-2 livello 1.

Le versioni delle chiavi software sono molto più economiche delle versioni dell'hardware o delle chiavi esterne. Le chiavi software sono una buona scelta per i casi d'uso che non hanno requisiti normativi specifici per un livello di convalida 140-2 FIP più elevato.

Livello di protezione hardware

Cloud HSM consente di applicare la conformità normativa per i carichi di lavoro in Google Cloud. Con Cloud HSM puoi generare chiavi di crittografia ed eseguire operazioni crittografiche con HSM convalidati FIPS 140-2 livello 3. Il servizio è completamente gestito, quindi puoi proteggere i carichi di lavoro più sensibili senza preoccuparti del sovraccarico operativo connesso alla gestione di un cluster HSM. Cloud HSM offre un livello di astrazione sopra i moduli HSM. Questa astrazione consente di utilizzare le chiavi nelle integrazioni CMEK oppure nelle API Cloud KMS o nelle librerie client senza codice specifico per HSM.

Le versioni delle chiavi hardware sono più costose, ma offrono notevoli vantaggi in termini di sicurezza rispetto alle chiavi software. Ogni chiave Cloud HSM ha una dichiarazione di attestazione che contiene informazioni certificate sulla chiave. Questa attestazione e le catene di certificati associate possono essere utilizzate per verificare l'autenticità dell'affermazione e gli attributi della chiave e dell'HSM.

Livelli di protezione esterna

Le chiavi Cloud External Key Manager (Cloud EKM) sono chiavi che gestisci in un servizio di partner di gestione delle chiavi esterno (EKM) supportato e che utilizzi nei servizi Google Cloud, nelle API Cloud KMS e nelle librerie client. Le chiavi Cloud EKM possono essere supportate da software o hardware, a seconda del provider EKM. Puoi utilizzare le tue chiavi Cloud EKM nei servizi integrati con CMEK o tramite le API e le librerie client di Cloud KMS.

Le versioni delle chiavi Cloud EKM sono più costose delle versioni delle chiavi hardware o software ospitate da Google. Quando utilizzi chiavi Cloud EKM, hai la certezza che Google non possa accedere al materiale della tua chiave.

Per vedere quali servizi integrati con CMEK supportano le chiavi Cloud EKM, consulta le integrazioni CMEK e applica il filtro Mostra solo servizi compatibili EKM.

Esterno tramite livello di protezione da internet

Puoi utilizzare le chiavi Cloud EKM su internet in tutte le località supportate da Cloud KMS, ad eccezione di nam-eur-asia1 e global.

Esterno tramite livello di protezione VPC

Puoi utilizzare le chiavi Cloud EKM su una rete VPC per una migliore disponibilità delle chiavi esterne. Questa migliore disponibilità riduce la possibilità che le tue chiavi Cloud EKM e le risorse protette non diventino disponibili.

Puoi utilizzare le chiavi Cloud EKM su una rete VPC in tutte le località a livello di regione supportate da Cloud KMS. Cloud EKM su una rete VPC non è disponibile in località con più regioni.

Passaggi successivi

Scopri di più sui servizi compatibili che ti consentono di utilizzare le chiavi in Google Cloud.
Scopri come creare keyring e creare chiavi di crittografia.
Scopri di più sull'importazione di chiavi software o hardware.
Scopri di più sulle chiavi esterne.
Scopri altre considerazioni per l'utilizzo di Cloud EKM.