Schutzniveaus

In diesem Thema werden die verschiedenen in Cloud KMS unterstützten Schutzniveaus verglichen:

Software: Cloud KMS-Schlüssel mit dem Schutzniveau SOFTWARE werden für kryptografische Vorgänge verwendet, die in der Software ausgeführt werden. Cloud KMS-Schlüssel können von Google generiert oder importiert werden.
Hardware: Cloud HSM-Schlüssel mit dem Schutzniveau HARDWARE werden in einem Google-eigenen Hardwaresicherheitsmodul (HSM) gespeichert. Kryptografische Vorgänge mit diesen Schlüsseln werden in unseren HSMs ausgeführt. Sie können Cloud HSM-Schlüssel auf die gleiche Weise verwenden wie Cloud KMS-Schlüssel. Cloud HSM-Schlüssel können von Google generiert oder importiert werden.
Extern über Internet: Cloud EKM-Schlüssel mit dem Schutzniveau EXTERNAL werden in Ihrem System zur externen Schlüsselverwaltung (EKM) generiert und gespeichert. Cloud EKM speichert zusätzliches kryptografisches Material und einen Pfad zu Ihrem eindeutigen Schlüssel, der für den Zugriff auf Ihren Schlüssel über das Internet verwendet wird.
Extern über VPC: Cloud EKM-Schlüssel mit dem Schutzniveau EXTERNAL_VPC werden in Ihrem System zur externen Schlüsselverwaltung (EKM) generiert und gespeichert. Cloud EKM speichert zusätzliches kryptografisches Material und einen Pfad zu Ihrem eindeutigen Schlüssel, der für den Zugriff auf Ihren Schlüssel über ein VPC-Netzwerk (Virtual Private Cloud) verwendet wird.

Schlüssel mit allen diesen Schutzstufen haben die folgenden Funktionen:

Verwenden Sie Ihre Schlüssel für von Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) in Google Cloud-Diensten.

Hinweis: Einige CMEK-integrierte Dienste unterstützen keine Cloud EKM-Schlüssel. Informationen dazu, welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, finden Sie unter CMEK-Integrationen.
Verwenden Sie Ihre Schlüssel mit den Cloud KMS APIs oder Clientbibliotheken ohne speziellen Code, der auf dem Schutzniveau des Schlüssels basiert.
Sie können den Zugriff auf Ihre Schlüssel mit IAM-Rollen (Identity and Access Management) steuern.
Sie können in Cloud KMS festlegen, ob eine Schlüsselversion Aktiviert oder Deaktiviert ist.
Wichtige Vorgänge werden in Audit-Logs erfasst. Sie können das Datenzugriffs-Logging aktivieren.

Softwareschutzniveau

Cloud KMS verwendet das BoringCrypto-Modul (BCM) für alle kryptografischen Vorgänge für Softwareschlüssel. BCM ist FIPS 140-2 validiert. Cloud KMS-Softwareschlüssel verwenden nach FIPS 140-2 Level 1 validierte kryptografische Primitives des BCM.

Software-Schlüsselversionen sind viel günstiger als Hardware- oder externe Schlüsselversionen. Softwareschlüssel sind eine gute Wahl für Anwendungsfälle, die keine spezifischen regulatorischen Anforderungen für eine höhere FIP-Validierungsstufe 140-2 haben.

Hardwareschutzniveau

Mit Cloud HSM können Sie die Compliance mit gesetzlichen Vorschriften für Ihre Arbeitslasten in Google Cloud durchsetzen. Mit Cloud HSM können Sie Verschlüsselungsschlüssel generieren und kryptografische Vorgänge in gemäß FIPS 140-2 Level 3 validierten HSMs ausführen. Der Dienst ist vollständig verwaltet, sodass Sie Ihre sensibelsten Arbeitslasten schützen können, ohne sich über den operativen Aufwand der Verwaltung eines HSM-Clusters Gedanken machen zu müssen. Cloud HSM bietet eine Abstraktionsebene über den HSM-Modulen. Durch diese Abstraktion können Sie Ihre Schlüssel in CMEK-Integrationen oder in den Cloud KMS APIs oder Clientbibliotheken ohne HSM-spezifischen Code verwenden.

Hardwareschlüsselversionen sind teurer, bieten jedoch erhebliche Sicherheitsvorteile im Vergleich zu Softwareschlüsseln. Für jeden Cloud HSM-Schlüssel gibt es eine Attestierung mit zertifizierten Informationen zu Ihrem Schlüssel. Mit dieser Attestierung und den zugehörigen Zertifikatsketten können die Authentizität der Aussage und der Attribute des Schlüssels und des HSM überprüft werden.

Externe Schutzniveaus

Cloud External Key Manager-Schlüssel (Cloud EKM) sind Schlüssel, die Sie in einem unterstützten EKM-Partnerdienst verwalten und in Google Cloud-Diensten sowie in Cloud KMS APIs und Clientbibliotheken verwenden. Cloud EKM-Schlüssel können je nach EKM-Anbieter software- oder hardwaregestützte Schlüssel sein. Sie können Ihre Cloud EKM-Schlüssel in CMEK-integrierten Diensten oder mit den Cloud KMS APIs und Clientbibliotheken verwenden.

Cloud EKM-Schlüsselversionen sind teurer als von Google gehostete Software- oder Hardwareschlüsselversionen. Wenn Sie Cloud EKM-Schlüssel verwenden, können Sie sicher sein, dass Google nicht auf Ihr Schlüsselmaterial zugreifen kann.

Informationen dazu, welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, finden Sie unter CMEK-Integrationen. Wenden Sie den Filter Nur EKM-kompatible Dienste anzeigen an.

Schutzniveau für Extern über Internet

Sie können Cloud EKM-Schlüssel über das Internet an allen von Cloud KMS unterstützten Standorten mit Ausnahme von nam-eur-asia1 und global verwenden.

Extern über VPC-Schutzniveau

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk verwenden, um die Verfügbarkeit Ihrer externen Schlüssel zu verbessern. Diese bessere Verfügbarkeit bedeutet, dass Ihre Cloud EKM-Schlüssel und die Ressourcen, die sie schützen, nicht mehr verfügbar sind.

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk an allen regionalen Standorten verwenden, die von Cloud KMS unterstützt werden. Cloud EKM über ein VPC-Netzwerk ist an multiregionalen Standorten nicht verfügbar.

Nächste Schritte

Mehr über kompatible Dienste erfahren, mit denen Sie Ihre Schlüssel in Google Cloud verwenden können
Weitere Informationen zum Erstellen von Schlüsselbunden und zum Erstellen von Verschlüsselungsschlüsseln
Weitere Informationen zum Importieren von Software- oder Hardwareschlüsseln
Weitere Informationen zu externen Schlüsseln
Weitere Überlegungen zur Verwendung von Cloud EKM