Tingkat perlindungan

Topik ini membandingkan berbagai tingkat perlindungan yang didukung dalam Cloud KMS:

Software: Kunci Cloud KMS dengan tingkat perlindungan SOFTWARE digunakan untuk operasi kriptografi yang dilakukan dalam software. Kunci Cloud KMS dapat dibuat oleh Google atau diimpor.
Perangkat Keras: Kunci Cloud HSM dengan tingkat perlindungan HARDWARE disimpan di Hardware Security Module (HSM) milik Google. Operasi kriptografi yang menggunakan kunci ini dilakukan di HSM kami. Anda dapat menggunakan kunci Cloud HSM dengan cara yang sama seperti menggunakan kunci Cloud KMS. Kunci Cloud HSM dapat dibuat oleh Google atau diimpor.
Eksternal melalui internet: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL dibuat dan disimpan di sistem pengelolaan kunci (EKM) eksternal Anda. Cloud EKM menyimpan materi kriptografi tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui internet.
Eksternal melalui VPC: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL_VPC dibuat dan disimpan di sistem pengelolaan kunci (EKM) eksternal Anda. Cloud EKM menyimpan materi kriptografi tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui jaringan virtual private cloud (VPC).

Kunci dengan semua tingkat perlindungan ini memiliki fitur berikut:

Menggunakan kunci Anda untuk layanan Google Cloud yang terintegrasi dengan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK).

Catatan: Beberapa layanan terintegrasi CMEK tidak mendukung kunci Cloud EKM. Untuk mempelajari layanan terintegrasi CMEK mana yang mendukung kunci Cloud EKM, lihat Integrasi CMEK.
Gunakan kunci Anda dengan Cloud KMS API atau library klien, tanpa kode khusus apa pun berdasarkan tingkat perlindungan kunci.
Kontrol akses ke kunci Anda menggunakan peran Identity and Access Management (IAM).
Kontrol apakah setiap versi kunci disetel ke Enabled atau Disabled dari Cloud KMS.
Operasi kunci dicatat dalam log audit. Logging akses data dapat diaktifkan.

Tingkat perlindungan software

Cloud KMS menggunakan modul BoringCrypto (BCM) untuk semua operasi kriptografi untuk kunci software. BCM telah divalidasi FIPS 140-2. Kunci software Cloud KMS menggunakan Primitif Kriptografi BCM yang divalidasi FIPS 140-2 Level 1.

Versi kunci software jauh lebih murah daripada versi kunci hardware atau eksternal. Kunci software adalah pilihan bagus untuk kasus penggunaan yang tidak memiliki persyaratan peraturan khusus untuk level validasi FIP 140-2 yang lebih tinggi.

Tingkat perlindungan hardware

Cloud HSM membantu Anda menegakkan kepatuhan terhadap peraturan untuk workload Anda di Google Cloud. Dengan Cloud HSM, Anda dapat menghasilkan kunci enkripsi dan melakukan operasi kriptografi di HSM yang divalidasi FIPS 140-2 Level 3. Layanan ini terkelola sepenuhnya, sehingga Anda dapat melindungi workload Anda yang paling sensitif tanpa perlu mengkhawatirkan overhead operasional pengelolaan cluster HSM. Cloud HSM menyediakan lapisan abstraksi selain modul HSM. Abstraksi ini memungkinkan Anda menggunakan kunci dalam integrasi CMEK atau Cloud KMS API atau library klien tanpa kode khusus HSM.

Versi kunci hardware lebih mahal, tetapi memberikan manfaat keamanan yang besar dibandingkan dengan kunci software. Setiap kunci Cloud HSM memiliki pernyataan pengesahan yang berisi informasi tersertifikasi tentang kunci Anda. Pengesahan ini dan rantai sertifikat yang terkait dapat digunakan untuk memverifikasi keaslian pernyataan dan atribut kunci dan HSM.

Tingkat perlindungan eksternal

Kunci Cloud External Key Manager (Cloud EKM) adalah kunci yang Anda kelola di layanan partner pengelolaan kunci eksternal (EKM) yang didukung dan digunakan di layanan Google Cloud serta Cloud KMS API dan library klien. Kunci Cloud EKM dapat berupa kunci yang didukung software atau hardware, bergantung pada penyedia EKM Anda. Anda dapat menggunakan kunci Cloud EKM dalam layanan yang terintegrasi dengan CMEK atau menggunakan Cloud KMS API dan library klien.

Versi kunci Cloud EKM lebih mahal daripada versi kunci software atau hardware yang dihosting Google. Saat menggunakan kunci Cloud EKM, Anda dapat memastikan bahwa Google tidak dapat mengakses materi kunci Anda.

Untuk melihat layanan terintegrasi CMEK yang mendukung kunci Cloud EKM, lihat Integrasi CMEK dan terapkan filter Hanya tampilkan layanan yang kompatibel dengan EKM.

Eksternal melalui tingkat perlindungan internet

Anda dapat menggunakan kunci Cloud EKM melalui internet di semua lokasi yang didukung oleh Cloud KMS kecuali nam-eur-asia1 dan global.

Eksternal melalui tingkat perlindungan VPC

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC untuk ketersediaan kunci eksternal yang lebih baik. Ketersediaan yang lebih baik ini berarti mengurangi peluang kunci Cloud EKM dan resource yang dilindunginya akan menjadi tidak tersedia.

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC di semua lokasi regional yang didukung oleh Cloud KMS. Cloud EKM melalui jaringan VPC tidak tersedia di lokasi multi-region.

Langkah selanjutnya

Pelajari layanan kompatibel yang memungkinkan Anda menggunakan kunci di Google Cloud.
Pelajari cara membuat key ring dan membuat kunci enkripsi.
Pelajari cara mengimpor kunci software atau hardware.
Pelajari kunci eksternal.
Pelajari pertimbangan lainnya untuk menggunakan Cloud EKM.