Halaman ini diterjemahkan oleh Cloud Translation API.

Level perlindungan

Topik ini membandingkan berbagai tingkat perlindungan yang didukung di Cloud KMS:

Software: Kunci Cloud KMS dengan tingkat perlindungan SOFTWARE digunakan untuk operasi kriptografis yang dilakukan di software. Kunci Cloud KMS dapat dihasilkan oleh Google atau diimpor.
Hardware: Kunci Cloud HSM dengan tingkat perlindungan HARDWARE disimpan di Modul Keamanan Hardware (HSM) milik Google. Operasi kriptografis menggunakan kunci ini dilakukan di HSM kami. Anda dapat menggunakan kunci Cloud HSM dengan cara yang sama seperti menggunakan kunci Cloud KMS. Kunci Cloud HSM dapat dibuat oleh Google atau diimpor.
Eksternal melalui internet: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL dibuat dan disimpan di sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografis tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui internet.
Eksternal melalui VPC: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL_VPC dibuat dan disimpan di sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografis tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui jaringan virtual private cloud (VPC).

Kunci dengan semua tingkat perlindungan ini memiliki fitur berikut:

Gunakan kunci Anda untuk layanan Google Cloud yang terintegrasi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Catatan: Beberapa layanan yang terintegrasi dengan CMEK tidak mendukung kunci Cloud EKM. Untuk mempelajari layanan terintegrasi CMEK yang mendukung kunci Cloud EKM, lihat integrasi CMEK.
Gunakan kunci Anda dengan Cloud KMS API atau library klien, tanpa kode khusus berdasarkan tingkat perlindungan kunci.
Kontrol akses ke kunci Anda menggunakan peran Identity and Access Management (IAM).
Kontrol apakah setiap versi kunci Diaktifkan atau dinonaktifkan dari Cloud KMS.
Operasi kunci dicatat dalam log audit. Logging akses data dapat diaktifkan.

Tingkat perlindungan software

Cloud KMS menggunakan modul BoringCrypto (BCM) untuk semua operasi kriptografis untuk kunci software. BCM divalidasi FIPS 140-2. Kunci software Cloud KMS menggunakan Primitif Kriptografis BCM yang divalidasi FIPS 140-2 Level 1.

Versi kunci software jauh lebih murah daripada versi kunci hardware atau eksternal. Kunci software adalah pilihan yang tepat untuk kasus penggunaan yang tidak memiliki persyaratan peraturan tertentu untuk tingkat validasi FIPs 140-2 yang lebih tinggi.

Tingkat perlindungan hardware

Cloud HSM membantu Anda menegakkan kepatuhan terhadap peraturan untuk workload Anda di Google Cloud. Dengan Cloud HSM, Anda dapat membuat kunci enkripsi dan melakukan operasi kriptografi di HSM yang divalidasi FIPS 140-2 Level 3. Layanan ini terkelola sepenuhnya, sehingga Anda dapat melindungi workload yang paling sensitif tanpa perlu mengkhawatirkan beban operasional pengelolaan cluster HSM. Cloud HSM menyediakan lapisan abstraksi di atas modul HSM. Abstraksi ini memungkinkan Anda menggunakan kunci dalam integrasi CMEK atau Cloud KMS API atau library klien tanpa kode khusus HSM.

Versi kunci hardware lebih mahal, tetapi memberikan manfaat keamanan yang substansial dibandingkan dengan kunci software. Setiap kunci Cloud HSM memiliki pernyataan pengesahan yang berisi informasi tersertifikasi tentang kunci Anda. Pengesahan ini dan rantai sertifikat terkaitnya dapat digunakan untuk memverifikasi keaslian pernyataan dan atribut kunci serta HSM.

Tingkat perlindungan eksternal

Kunci Cloud External Key Manager (Cloud EKM) adalah kunci yang Anda kelola di layanan partner pengelolaan kunci eksternal (EKM) yang didukung dan digunakan di layanan Google Cloud serta API dan library klien Cloud KMS. Kunci Cloud EKM dapat didukung software atau hardware, bergantung pada penyedia EKM Anda. Anda dapat menggunakan kunci Cloud EKM di layanan yang terintegrasi dengan CMEK atau menggunakan Cloud KMS API dan library klien.

Versi kunci Cloud EKM lebih mahal daripada versi kunci software atau hardware yang dihosting Google. Saat menggunakan kunci Cloud EKM, Anda dapat yakin bahwa Google tidak dapat mengakses materi kunci Anda.

Untuk melihat layanan terintegrasi CMEK yang mendukung kunci Cloud EKM, lihat Integrasi CMEK dan terapkan filter Hanya tampilkan layanan yang kompatibel dengan EKM.

Tingkat perlindungan eksternal melalui internet

Anda dapat menggunakan kunci Cloud EKM melalui internet di semua lokasi yang didukung oleh Cloud KMS, kecuali nam-eur-asia1 dan global.

Eksternal melalui tingkat perlindungan VPC

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC untuk ketersediaan kunci eksternal yang lebih baik. Ketersediaan yang lebih baik ini berarti ada lebih sedikit kemungkinan kunci Cloud EKM Anda dan resource yang dilindunginya menjadi tidak tersedia.

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC di semua lokasi regional yang didukung oleh Cloud KMS. Cloud EKM melalui jaringan VPC tidak tersedia di lokasi multi-region.

Langkah selanjutnya

Pelajari layanan yang kompatibel yang memungkinkan Anda menggunakan kunci di Google Cloud.
Pelajari cara membuat key ring dan membuat kunci enkripsi.
Pelajari cara mengimpor kunci software atau hardware.
Pelajari kunci eksternal.
Pelajari pertimbangan lainnya untuk menggunakan Cloud EKM.