Niveaux de protection

Cet article compare les différents niveaux de protection acceptés dans Cloud KMS:

Logiciels: Les clés Cloud KMS dotées du niveau de protection SOFTWARE sont utilisées pour les opérations de chiffrement effectuées dans des logiciels. Les clés Cloud KMS peuvent être générées par Google ou importées.
Matériel: Les clés Cloud HSM dotées du niveau de protection HARDWARE sont stockées dans un module de sécurité matériel (HSM) appartenant à Google. Les opérations de chiffrement utilisant ces clés sont effectuées dans nos HSM. Vous pouvez utiliser les clés Cloud HSM de la même manière que les clés Cloud KMS. Les clés Cloud HSM peuvent être générées par Google ou importées.
Externe via Internet: Les clés Cloud EKM dotées du niveau de protection EXTERNAL sont générées et stockées dans votre système externe de gestion des clés (EKM). Cloud EKM stocke du matériel cryptographique supplémentaire ainsi qu'un chemin d'accès à votre clé unique, qui permet d'y accéder via Internet.
Externe via VPC: Les clés Cloud EKM dotées du niveau de protection EXTERNAL_VPC sont générées et stockées dans votre système externe de gestion des clés (EKM). Cloud EKM stocke du matériel cryptographique supplémentaire ainsi qu'un chemin d'accès à votre clé unique, qui permet d'accéder à votre clé via un réseau cloud privé virtuel (VPC).

Les clés avec tous ces niveaux de protection partagent les caractéristiques suivantes:

Utilisez vos clés pour les services Google Cloud intégrés avec des clés de chiffrement gérées par le client (CMEK).

Remarque :Certains services intégrés à CMEK ne sont pas compatibles avec les clés Cloud EKM. Pour savoir quels services intégrés à CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations CMEK.
Utilisez vos clés avec les bibliothèques clientes ou les API Cloud KMS, sans code spécialisé en fonction du niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles IAM (Identity and Access Management).
Déterminez si chaque version de clé est activée ou désactivée dans Cloud KMS.
Les opérations de clé sont enregistrées dans les journaux d'audit. Vous pouvez activer la journalisation des accès aux données.

Niveau de protection des logiciels

Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent des primitives cryptographiques du système BCM, certifiées FIPS 140-2 de niveau 1.

Les versions de clé logicielle sont beaucoup moins chères que les versions de clé matérielle ou externe. Les clés logicielles sont un bon choix pour les cas d'utilisation qui ne sont pas soumis à des exigences réglementaires spécifiques pour un niveau de validation FIP 140-2 plus élevé.

Niveau de protection du matériel

Cloud HSM vous aide à assurer la conformité réglementaire de vos charges de travail dans Google Cloud. Avec Cloud HSM, vous pouvez générer des clés de chiffrement et effectuer des opérations de cryptographie dans des HSM validés FIPS 140-2 de niveau 3. Ce service étant entièrement géré, vous pouvez protéger vos charges de travail les plus sensibles sans vous soucier des coûts opérationnels liés à la gestion d'un cluster HSM. Cloud HSM fournit une couche d'abstraction en plus des modules HSM. Cette abstraction vous permet d'utiliser vos clés dans des intégrations CMEK, des bibliothèques clientes ou des API Cloud KMS sans code spécifique à HSM.

Les versions de clé matérielle sont plus chères, mais elles offrent des avantages de sécurité importants par rapport aux clés logicielles. Chaque clé Cloud HSM possède une déclaration d'attestation qui contient des informations certifiées la concernant. Cette attestation et les chaînes de certificats associées peuvent être utilisées pour vérifier l'authenticité de l'instruction et des attributs de la clé et du HSM.

Niveaux de protection externe

Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externe (EKM) compatible et que vous utilisez dans les services Google Cloud, les API et les bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être reposant sur un logiciel ou sur du matériel, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans les services intégrés à CMEK ou avec les API et les bibliothèques clientes Cloud KMS.

Les versions de clé Cloud EKM sont plus chères que les versions de clé logicielle ou matérielle hébergées par Google. Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Google ne peut pas accéder au matériel de vos clés.

Pour savoir quels services intégrés à CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.

Externe via le niveau de protection Internet

Vous pouvez utiliser des clés Cloud EKM via Internet dans tous les emplacements compatibles avec Cloud KMS, à l'exception de nam-eur-asia1 et de global.

Externe via le niveau de protection VPC

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC pour améliorer la disponibilité de vos clés externes. Avec cette meilleure disponibilité, vous avez moins de chances que vos clés Cloud EKM et les ressources qu'elles protègent deviennent indisponibles.

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans tous les emplacements régionaux compatibles avec Cloud KMS. Cloud EKM sur un réseau VPC n'est pas disponible dans les emplacements multirégionaux.

Étapes suivantes

Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Google Cloud.
Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
Découvrez comment importer des clés logicielles ou matérielles.
Apprenez-en plus sur les clés externes.
Découvrez les autres considérations liées à l'utilisation de Cloud EKM.