Esta página foi traduzida pela API Cloud Translation.

Níveis de proteção

Neste tópico, comparamos os diferentes níveis de proteção com suporte no Cloud KMS:

Software: com o nível de proteção SOFTWARE são usadas para operações criptográficas que são realizadas no software. As chaves do Cloud KMS podem ser geradas pelo Google ou importadas.
Hardware: As chaves do Cloud HSM com o nível de proteção HARDWARE são armazenadas em um módulo de segurança de hardware (HSM) do Google. As operações criptográficas que usam essas chaves são realizadas nos nossos HSMs. É possível usar as chaves do Cloud HSM da mesma forma que as chaves do Cloud KMS. As chaves do Cloud HSM podem ser geradas pelo Google ou importadas.
Externo pela Internet: com o nível de proteção EXTERNAL são geradas e armazenadas no seu sistema de gerenciamento de chaves externo (EKM). O Cloud EKM armazena material criptográfico adicional e um caminho para sua chave exclusiva, que é usado para acessar a chave pela Internet.
Externo por VPC: com o nível de proteção EXTERNAL_VPC são geradas e armazenadas no sistema de gerenciamento de chaves externo (EKM). O Cloud EKM armazena material criptográfico adicional e um caminho para sua chave exclusiva, que é usada para acessar a chave em uma rede de nuvem privada virtual (VPC).

As chaves com todos esses níveis de proteção compartilham os seguintes recursos:

Use suas chaves para chaves de criptografia gerenciadas pelo cliente (CMEK) integradas aos serviços do Google Cloud.

Observação: alguns serviços integrados ao CMEK não são compatíveis com as chaves do Cloud EKM. Para saber quais serviços integrados ao CMEK são compatíveis com as chaves do Cloud EKM, consulte Integrações do CMEK.
Use suas chaves com as APIs do Cloud KMS ou as bibliotecas de cliente sem nenhum código especializado com base no nível de proteção da chave.
Controle o acesso às suas chaves usando papéis do Identity and Access Management (IAM).
Controle se cada versão da chave está Ativada ou Desativada no Cloud KMS.
As operações principais são capturadas nos registros de auditoria. A geração de registros de acesso a dados pode ser ativada.

Nível de proteção do software

O Cloud KMS usa o módulo BoringCrypto (BCM) para todas as operações criptográficas de chaves de software. O BCM é validado por FIPS 140-2. As chaves de software do Cloud KMS usam primitivos criptográficos validados pelo FIPS 140-2 Nível 1 do BCM.

As versões de chaves de software são muito mais baratas do que as versões de chaves de hardware ou externas. As chaves de software são uma boa escolha para casos de uso que não têm requisitos regulatórios específicos para um nível de validação mais alto do FIPs 140-2.

Nível de proteção de hardware

O Cloud HSM ajuda você a aplicar a conformidade regulatória para suas cargas de trabalho no Google Cloud. Com o Cloud HSM, é possível gerar chaves de criptografia e executar operações criptográficas em HSMs validados pelo FIPS 140-2 nível 3. O serviço é totalmente gerenciado, para que você possa proteger suas cargas de trabalho mais confidenciais sem se preocupar com a sobrecarga operacional de gerenciar um cluster do HSM. O Cloud HSM oferece uma camada de abstração sobre os módulos do HSM. Essa abstração permite usar as chaves em integrações CMEK ou nas APIs Cloud KMS ou bibliotecas de cliente sem código específico do HSM.

As versões de chaves de hardware são mais caras, mas oferecem benefícios de segurança substanciais em relação às chaves de software. Cada chave do Cloud HSM tem uma declaração de atestado que contém informações certificadas sobre a chave. Esse atestado e as cadeias de certificados associadas podem ser usados para verificar a autenticidade da declaração e os atributos da chave e do HSM.

Níveis de proteção externos

As chaves do Cloud External Key Manager (Cloud EKM) são chaves gerenciadas em um serviço de parceiro de gerenciamento de chaves externo (EKM) compatível e usadas em serviços do Google Cloud, APIs do Cloud KMS e bibliotecas de clientes. As chaves do Cloud EKM podem ser protegidas por software ou hardware, dependendo do provedor do EKM. É possível usar as chaves do Cloud EKM em serviços integrados a CMEKs ou usando as APIs do Cloud KMS e as bibliotecas de cliente.

As versões de chave do Cloud EKM são mais caras do que as versões de chave de software ou hardware hospedadas pelo Google. Ao usar chaves do Cloud EKM, você tem a certeza de que o Google não pode acessar seu material de chave.

Para saber quais serviços integrados ao CMEK são compatíveis com as chaves do Cloud EKM, consulte Integrações do CMEK e aplique o filtro Mostrar apenas serviços compatíveis com EKM.

Nível de proteção externo pela Internet

É possível usar chaves do Cloud EKM pela Internet em todos os locais compatíveis com o Cloud KMS, exceto nam-eur-asia1 e global.

Nível de proteção externo por VPC

É possível usar chaves do Cloud EKM em uma rede VPC para melhorar a disponibilidade das chaves externas. Essa melhor disponibilidade significa que há menos chances de as chaves do Cloud EKM e os recursos que elas protegem ficarem indisponíveis.

É possível usar chaves do Cloud EKM em uma rede VPC em todos os locais regionais com suporte do Cloud KMS. O Cloud EKM em uma rede VPC não está disponível em locais com várias regiões.

A seguir

Saiba mais sobre os serviços compatíveis que permitem usar suas chaves no Google Cloud.
Saiba como criar chaves e criar chaves de criptografia.
Saiba mais sobre como importar chaves de software ou hardware.
Saiba mais sobre chaves externas.
Saiba mais sobre outras considerações para usar o Cloud EKM.