Niveles de protección

En este tema, se comparan los diferentes niveles de protección admitidos en Cloud KMS:

Software: Las claves de Cloud KMS con el nivel de protección SOFTWARE se usan para operaciones criptográficas que se realizan en software. Google puede generar o importar las claves de Cloud KMS.
Hardware: Las claves de Cloud HSM con el nivel de protección HARDWARE se almacenan en un módulo de seguridad de hardware (HSM) de Google. Las operaciones criptográficas con estas claves se realizan en nuestros HSM. Puedes usar las claves de Cloud HSM de la misma manera que usas las claves de Cloud KMS. Google puede generar o importar las claves de Cloud HSM.
Externo a través de Internet: Las claves de Cloud EKM con el nivel de protección EXTERNAL se generan y almacenan en tu sistema de administración de claves externo (EKM). Cloud EKM almacena material criptográfico adicional y una ruta de acceso a tu clave única, que se usa para acceder a tu clave a través de Internet.
Externa a través de VPC: Las claves de Cloud EKM con el nivel de protección EXTERNAL_VPC se generan y se almacenan en tu sistema de administración de claves externo (EKM). Cloud EKM almacena material criptográfico adicional y una ruta de acceso a tu clave única, que se usa para acceder a tu clave a través de una red de nube privada virtual (VPC).

Las claves con todos estos niveles de protección comparten las siguientes características:

Usa tus claves para los servicios de Google Cloud integrados en las claves de encriptación administradas por el cliente (CMEK).

Nota: Algunos servicios integrados con CMEK no son compatibles con las claves de Cloud EKM. Para saber qué servicios integrados con CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK.
Usa tus claves con las bibliotecas cliente o las API de Cloud KMS, sin ningún código especializado basado en el nivel de protección de la clave.
Controla el acceso a tus claves mediante roles de Identity and Access Management (IAM).
Controla si cada versión de clave está Habilitada o Inhabilitada desde Cloud KMS.
Las operaciones clave se capturan en los registros de auditoría. Se puede habilitar el registro de acceso a los datos.

Nivel de protección de software

Cloud KMS usa el módulo BoringCrypto (BCM) en todas las operaciones criptográficas de las claves de software. El BCM cuenta con la validación FIPS 140-2. Las claves de software de Cloud KMS usan primitivos criptográficos validados por FIPS 140-2 de nivel 1 de BCM.

Las versiones de claves de software son mucho más económicas que las versiones de claves externas o de hardware. Las claves de software son una buena opción para los casos de uso que no tienen requisitos regulatorios específicos para un nivel de validación del FIP 140-2 superior.

Nivel de protección del hardware

Cloud HSM te ayuda a aplicar el cumplimiento de las normativas en tus cargas de trabajo en Google Cloud. Con Cloud HSM, puedes generar claves de encriptación y realizar operaciones criptográficas en HSM validados con el nivel 3 del estándar FIPS 140-2. El servicio está completamente administrado, por lo que puedes proteger tus cargas de trabajo más sensibles sin preocuparte por la sobrecarga operativa de administrar un clúster de HSM. Cloud HSM proporciona una capa de abstracción sobre los módulos de HSM. Esta abstracción te permite usar tus claves en integraciones de CMEK o las APIs de Cloud KMS o bibliotecas cliente sin código específico de HSM.

Las versiones de claves de hardware son más costosas, pero ofrecen beneficios de seguridad sustanciales en relación con las claves de software. Cada clave de Cloud HSM tiene una declaración de certificación que contiene información certificada sobre tu clave. Esta certificación y sus cadenas de certificados asociadas se pueden usar para verificar la autenticidad de la declaración y los atributos de la clave y el HSM.

Niveles de protección externos

Las claves de Cloud External Key Manager (Cloud EKM) son claves que administras en un servicio de socio de administración de claves externas (EKM) compatible y que usas en los servicios de Google Cloud y en las bibliotecas cliente y las APIs de Cloud KMS. Las claves de Cloud EKM se pueden respaldar en software o en hardware, según tu proveedor de EKM. Puedes usar tus claves de Cloud EKM en servicios integrados con CMEK o mediante las API y las bibliotecas cliente de Cloud KMS.

Las versiones de clave de Cloud EKM son más costosas que las versiones de claves de hardware o software alojadas en Google. Cuando usas las claves de Cloud EKM, puedes estar seguro de que Google no puede acceder al material de tu clave.

Para ver qué servicios integrados con CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK y aplica el filtro Mostrar solo servicios compatibles con EKM.

Externo a través del nivel de protección de Internet

Puedes usar las claves de Cloud EKM a través de Internet en todas las ubicaciones compatibles con Cloud KMS, excepto nam-eur-asia1 y global.

Externo a través del nivel de protección de VPC

Puedes usar las claves de Cloud EKM en una red de VPC para mejorar la disponibilidad de tus claves externas. Esta mejor disponibilidad significa que hay menos posibilidades de que tus claves de Cloud EKM y los recursos que protegen dejen de estar disponibles.

Puedes usar las claves de Cloud EKM a través de una red de VPC en todas las ubicaciones regionales compatibles con Cloud KMS. Cloud EKM mediante una red de VPC no está disponible en ubicaciones multirregionales.

¿Qué sigue?

Obtén más información sobre los servicios compatibles que te permiten usar tus claves en Google Cloud.
Obtén más información sobre cómo crear llaveros de claves y crear claves de encriptación.
Obtén más información sobre la importación de claves de software o hardware.
Obtén más información sobre las claves externas.
Obtén más información sobre otras consideraciones para usar Cloud EKM.