Esta página descreve a utilização de chaves de encriptação geridas pelo cliente (CMEK) para gerir volumes do Google Cloud NetApp.
Acerca das CMEK
Os volumes da NetApp encriptam sempre os seus dados com chaves específicas do volume. Os volumes da NetApp encriptam sempre os seus dados em repouso.
Com as CMEK, o Cloud Key Management Service envolve as suas chaves de volume armazenadas. Esta funcionalidade dá-lhe maior controlo sobre as chaves de encriptação que usa e a segurança adicional de armazenar as chaves num sistema ou numa localização diferente dos dados. Os volumes da NetApp são compatíveis com capacidades do Cloud Key Management Service, como módulos de segurança de hardware, e o ciclo de vida completo de gestão de chaves de geração, utilização, rotação e destruição.
Os volumes NetApp suportam uma política CMEK por região. Uma política de CMEK é anexada a um conjunto de armazenamento e todos os volumes criados nesse conjunto usam-na. Pode ter uma combinação de pools de armazenamento com e sem políticas de CMEK numa região. Se tiver pools sem CMEK numa região específica, pode convertê-los para CMEK através da ação de migração da política de CMEK de uma região.
A utilização das CMEK é opcional. Se forem usadas, as políticas de CMEK são específicas da região. Só pode configurar uma política por região.
Considerações
As secções seguintes incluem limitações da CMEK a ter em consideração.
Gestão de chaves
A utilização de CMEK torna-o o único responsável pelas suas chaves e dados.
Configurações do Cloud KMS
As CMEK usam chaves simétricas para encriptação e desencriptação.
Depois de todos os volumes serem eliminados numa região para um projeto, a configuração do Cloud KMS volta ao estado Ready criado. É usado novamente quando criar o volume seguinte nessa região.
Conjuntos de chaves regionais
Os volumes NetApp só suportam conjuntos de chaves KMS regionais e têm de residir na mesma região que a política CMEK.
Nível de serviço
A CMEK suporta os pools de armazenamento dos níveis de serviço Flex, Standard, Premium e Extreme.
VPC Service Controls
Quando usar os VPC Service Controls, certifique-se de que tem em consideração as Limitações dos VPC Service Controls para volumes NetApp.
Política da organização de CMEK
A política da organização CMEK para volumes NetApp dá às organizações controlo sobre as chaves de encriptação de dados e restringe as chaves que podem ser usadas para CMEK. Isto é conseguido através da aplicação da utilização de CMEK para encriptar dados em repouso em novos conjuntos de armazenamento e permitir que as organizações geram chaves de encriptação através do Cloud KMS. A política de organização é aplicada na criação do conjunto de armazenamento e não afeta os conjuntos de armazenamento existentes.
As políticas da organização permitem que os administradores apliquem e façam cumprir restrições consistentes em todos os projetos e recursos. Isto é importante para as organizações que gerem vários projetos e recursos para aplicar políticas padronizadas.
Existem dois tipos de restrições de políticas de organização que podem ser aplicadas à CMEK:
Restringir serviços não CMEK: permite especificar que serviços numa organização, num projeto ou numa pasta podem ser configurados sem CMEK. Se adicionar um serviço à lista de recusa ou excluí-lo na lista de autorização, os recursos desse serviço vão exigir a CMEK. Por predefinição, esta restrição permite a criação de recursos não CMEK.
Restringir projetos CryptoKey CMEK: permite-lhe definir que projetos podem fornecer chaves do KMS para CMEK quando configurar recursos na organização, no projeto ou na pasta. Se esta restrição estiver definida, só é possível usar chaves do KMS dos projetos especificados para recursos protegidos por CMEK. Se a restrição não estiver definida, podem ser usadas CryptoKeys de qualquer projeto.
Para mais informações sobre como aplicar uma política da organização, consulte o artigo Aplique uma política da organização de CMEK.
Opções de CMEK
Os volumes NetApp oferecem suporte para CMEKs, que podem ser armazenadas como chaves de software, chaves de hardware num cluster de HSM ou como chaves externas armazenadas no Cloud External Key Manager (Cloud EKM).
Para mais informações, consulte o Serviço de gestão de chaves na nuvem.
Impacto operacional dos erros principais
Os recursos e as operações de volumes do NetApp podem ser afetados se uma chave do Cloud KMS usada numa política de CMEK estiver desativada ou se o acesso a uma chave externa for perdido.
As chaves externas são geridas por terceiros e a Google Google Cloud não é responsável pela disponibilidade das chaves.
Se o External Key Manager (EKM) notificar o Cloud Key Management Service de que uma chave externa está inacessível, os volumes que usam essa chave são colocados offline, o que impede as operações de leitura e escrita. O mesmo resultado ocorre se uma chave do Cloud KMS estiver desativada.
Os utilizadores também recebem um erro com detalhes sobre o estado atual da chave se for tentada qualquer uma das seguintes operações enquanto o EKM estiver inacessível ou a chave do Cloud KMS estiver desativada nas regiões de origem ou de destino para replicação: