Administración de claves con Cloud

Administra las claves de encriptación en Google Cloud.

Probar Google Cloud gratis
  • action/check_circle_24pxCreado con Sketch.

    Ofrece administración de claves en la nube rápida, centralizada y escalable.

  • action/check_circle_24pxCreado con Sketch.

    Satisface las necesidades de seguridad, privacidad y cumplimiento.

  • action/check_circle_24pxCreado con Sketch.

    Aplica fácilmente módulos de seguridad de hardware (HSM) a tus datos más sensibles.

  • action/check_circle_24pxCreado con Sketch.

    Usa un KMS externo para proteger tus datos en Google Cloud y separa los datos de las claves.

  • action/check_circle_24pxCreado con Sketch.

    Aprueba o rechaza cualquier solicitud de tus claves de encriptación en función de justificaciones claras y precisas.

Escala tu seguridad en todo el mundo

Escala tus aplicaciones al alcance global de Google y deja que nosotros nos encarguemos de los desafíos asociados con la administración de claves, como el manejo de la redundancia y la latencia.

Satisface tus requisitos de cumplimiento

Encripta con facilidad tus datos en la nube mediante claves de encriptación respaldadas por software, HSM certificados con el Nivel 3 del estándar FIPS 140-2, claves proporcionadas por el cliente o External Key Manager.

Aprovecha la integración con los productos de Google Cloud

Usa claves de encriptación administradas por el cliente (CMEK) para controlar la encriptación de los datos en los productos de Google Cloud y, al mismo tiempo, aprovecha características de seguridad adicionales como Google Cloud IAM y los registros de auditoría.

Características clave

Administra de manera centralizada las claves de encriptación

Disfruta un servicio de administración de claves alojado en la nube que te permite administrar claves criptográficas simétricas y asimétricas para tus servicios en la nube de la misma manera que lo haces localmente. Puedes generar, usar, rotar y destruir claves criptográficas AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 y EC P384.

Ofrece seguridad para las claves de hardware con HSM

Alterna entre claves de encriptación protegidas por software o hardware con solo presionar un botón. Aloja claves de encriptación y realiza operaciones criptográficas en los HSM certificados con el nivel 3 del estándar FIPS 140-2. Con este servicio completamente administrado, puedes proteger las cargas de trabajo más sensibles sin tener que preocuparte por la sobrecarga operacional de administrar un clúster de HSM.

Proporciona asistencia para claves externas con EKM

Encripta datos en BigQuery y Compute Engine con las claves de encriptación almacenadas y administradas en un sistema de administración de terceros implementados fuera de la infraestructura de Google. External Key Manager te permite mantener la separación entre tus datos en reposo y tus claves de encriptación y, al mismo tiempo, aprovechar la potencia de la nube para el procesamiento y las estadísticas.

Toma las decisiones finales de acceso a tus datos

Key Access Justifications es compatible con Cloud EKM, lo que aumenta considerablemente el control que tienes sobre tus datos. Es el único producto que te ofrece visibilidad de todas las solicitudes de claves de encriptación, justificaciones para ellas y un mecanismo para aprobar o rechazar la desencriptación según el contexto de las solicitudes. Estos controles se incluyen en los compromisos de integridad de Google y, actualmente, se encuentran en etapa Beta.

Ver todas las características

Documentación

Conceptos básicos de Google Cloud
Documentación de Cloud Key Management Service

Aprende a crear, importar y administrar claves criptográficas, así como realizar operaciones criptográficas en un único servicio en la nube.

Conceptos básicos de Google Cloud
Documentación de Cloud HSM

Obtén una descripción general de Cloud HSM y aprende a crear y usar claves de encriptación protegidas por HSM en Cloud Key Management Service.

Conceptos básicos de Google Cloud
Documentación de Cloud External Key Manager

Obtén una descripción general de Cloud External Key Manager (Cloud EKM).

Conceptos básicos de Google Cloud
Usa claves de encriptación administradas por el cliente (CMEK) con Dataproc

Aprende a utilizar CMEK para encriptar datos en los PD asociados con las VM en tu clúster de Dataproc o en los metadatos del clúster.

Práctica recomendada
Usa claves de encriptación administradas por el cliente (CMEK) con GKE

Aprende a usar claves de encriptación administradas por el cliente (CMEK) en Google Kubernetes Engine (GKE).

Conceptos básicos de Google Cloud
Usa claves de encriptación administradas por el cliente con Cloud SQL

La función de CMEK te permite usar tus claves criptográficas para los datos en reposo en Cloud SQL (incluidos MySQL, PostgreSQL y SQL Server).

Conceptos básicos de Google Cloud
Usa claves de encriptación administradas por el cliente con Data Fusion

Descubre cómo las claves de encriptación administradas por el cliente proporcionan control de usuario sobre los datos que escriben las canalizaciones de Cloud Data Fusion.

Instructivo
Seguridad en Google Cloud

En este curso los participantes estudian en detalle los controles y las técnicas de seguridad de Google Cloud.

Casos de uso

Caso de uso
Respalda el cumplimiento de las normativas

Cloud KMS, junto con Cloud HSM y Cloud EKM, es compatible con una amplia variedad de mandatos de cumplimiento que requieren tecnología y procedimientos de administración de claves específicos. Lo hace de manera escalable y nativa de la nube, sin perjudicar la agilidad de la implementación en ella. Varios mandatos requieren encriptación de hardware (HSM), claves separadas de los datos (EKM) o claves controladas de manera segura (KMS general). La administración de claves cumple con el estándar FIPS 140-2.

Caso de uso
Administra las claves de encriptación a través de hardware seguro

Es posible que los clientes que están sujetos a regulaciones de cumplimiento deban almacenar sus claves y realizar operaciones criptográficas en un dispositivo certificado con el nivel 3 del estándar FIPS 140-2. Si permites que los clientes almacenen sus claves en un HSM certificado con FIPS, podrán satisfacer las demandas de sus reguladores y garantizar el cumplimiento en la nube. Esto es fundamental para los clientes que buscan un nivel de seguridad que impida al proveedor de servicios en la nube ver o exportar el material de claves.

Caso de uso
Administra las claves de encriptación fuera de la nube

Los clientes sujetos a requisitos de seguridad regionales o regulatorios deben adoptar la computación en la nube y, al mismo tiempo, conservar las claves de encriptación en su poder. External Key Manager les permite mantener la separación entre los datos en reposo y las claves de encriptación, a la vez que aprovechan la potencia de la nube para el procesamiento y las estadísticas. Esto se logra mediante una visibilidad total sobre quién tiene acceso a las claves, cuándo se usaron y dónde se ubican.

Arquitectura de referencia de EKM
Caso de uso
Key Access Justifications y flujo de datos de EKM

Key Access Justifications les ofrece a los clientes visibilidad de todas las solicitudes de claves de encriptación, justificaciones para ellas y un mecanismo para aprobar o rechazar la desencriptación según el contexto de las solicitudes. Los casos de uso se enfocan en la aplicación y la visibilidad del acceso a los datos.

Diagrama de KAJ

Todas las características

Asistencia para claves simétricas y asimétricas Cloud KMS es una API de REST que puede usar una clave con el fin de encriptar, desencriptar o firmar datos (como los secretos) para el almacenamiento.
Crea claves externas con EKM Cloud KMS te permite crear, usar, rotar de forma manual o automática y borrar las claves criptográficas AES256 simétricas y RSA 2048, RSA 3072, RSA 4096, EC P256 y EC P384 asimétricas. Usa HSM para encriptar, desencriptar y acceder mediante claves criptográficas simétricas AES-256 y asimétricas RSA 2048, RSA 3072, RSA 4096, EC P256 y EC P384.
Retraso para la destrucción de claves Con Cloud HSM verifica que se creó una clave en el HSM mediante los tokens de certificación generados para las operaciones de creación de claves.
Encripta y desencripta mediante API Cloud KMS está disponible en muchas ubicaciones del mundo y en varias regiones, lo que te permite ubicar tu servicio en donde quieras para obtener baja latencia y alta disponibilidad.
Alta disponibilidad mundial Cloud KMS te permite configurar un programa de rotación de claves simétricas para generar de manera automática una nueva versión de la clave en un intervalo de tiempo fijo. Puede haber diferentes versiones activas de una clave simétrica para la desencriptación, pero solo se usa una versión de clave primaria a fin de encriptar los datos nuevos. Con EKM crea una clave con administración externa directamente desde la consola de Cloud KSM.
Rotación automatizada y a voluntad Cloud KMS tiene un retraso integrado de 24 horas para la destrucción del material de las claves, con el fin de evitar pérdidas de datos accidentales o maliciosas.
Certificación de declaraciones con HSM Encripta los secretos de Kubernetes en la capa de aplicación en GKE mediante las claves que administras en Cloud KMS. Además, puedes almacenar claves de API, contraseñas, certificados y otros datos sensibles con el sistema de almacenamiento del Administrador de secretos
Integración en GKE Genera tu clave externa mediante uno de estos administradores de claves externas: Equinix, Fortanix, Ionic, Thales y Unbound. Una vez que vincules tu clave externa con Cloud KMS, puedes usarla para proteger los datos en reposo en BigQuery y Compute Engine.
Mantén separados los datos y las claves Con EKM, mantén la separación entre tus datos en reposo y claves de encriptación, a la vez que aprovechas la potencia de la nube para el procesamiento y las estadísticas.
Residencia de datos clave Si usas Cloud KMS, se almacenarán tus claves criptográficas en la región en la que implementaste el recurso. También puedes almacenar esas claves en un módulo de seguridad de hardware físico en la región que elijas con Cloud HSM.
Importación de claves Es posible que uses claves criptográficas existentes que se crearon en tu entorno local o en un sistema de administración de claves externo.Puedes importarlas a claves de Cloud HSM, o bien importar claves de software a Cloud KMS.
Acceso justificado Obtén una razón clara para cada solicitud de desencriptación que cause que cambie el estado de tus datos de “en reposo” a “en uso” con Key Access Justifications (Beta).
Política automatizada Key Access Justifications (Beta) te permite configurar políticas automatizadas que aprueban o rechazan el acceso a claves en función de justificaciones específicas. Permite que tu administrador de claves externo (proporcionado por los socios de tecnología de Google Cloud) se haga cargo del resto.
Compromiso con la integridad Los controles que proporciona Key Access Justifications se incluyen en los compromisos de integridad de Google, por lo que puedes tener la certeza de que son confiables.

Precios

Cloud Key Management Service cobra por el uso y varía en función de los siguientes productos: Cloud Key Management Service, Cloud External Key Manager y Cloud HSM.

Producto Precios (US$)
Cloud KMS: versiones de claves activas $0.06 por mes
Cloud KMS: operaciones de uso de claves (encriptar/desencriptar) $0.03 cada 10,000 operaciones
Cloud KMS: operaciones de administración de claves gratis
Cloud HSM: versiones de claves (AES256, RSA2048) $1.00 por mes
Cloud HSM: versiones de claves (RSA 3072, RSA 4096)

De 0 a 2,000 versiones de claves: $2.50 por mes

Más de 2,001 versiones de claves: $1.00 por mes

Cloud HSM: versiones de claves (EC P256, EC P384)

De 0 a 2,000 versiones de claves: $2.50 por mes

Más de 2,001 versiones de claves: $1.00 por mes

Cloud EKM: versiones de claves $3.00 por mes
Cloud EKM: operaciones de uso de claves $0.03 cada 10,000 operaciones

Si pagas en una moneda distinta del dólar estadounidense, se aplican los precios que aparecen en tu moneda en los SKU de Google Cloud.

Socios

Para habilitar Key Access Justifications, implementa External Key Manager con uno de estos proveedores de administración de claves líderes en el sector.