Gestion de clés cloud

Gérez vos clés de chiffrement sur Google Cloud.

Profiter d'un essai gratuit de Google Cloud
  • action/check_circle_24pxCréé avec Sketch.

    Gérez les clés cloud de manière évolutive, centralisée et rapide.

  • action/check_circle_24pxCréé avec Sketch.

    Contribuez à répondre aux besoins de conformité, de confidentialité et de sécurité.

  • action/check_circle_24pxCréé avec Sketch.

    Appliquez facilement des modules de sécurité matériels (HSM) à vos données les plus sensibles.

  • action/check_circle_24pxCréé avec Sketch.

    Utilisez un service externe de gestion des clés pour protéger vos données dans Google Cloud et séparer les données de la clé.

  • action/check_circle_24pxCréé avec Sketch.

    Approuvez ou refusez toute demande d'accès à vos clés de chiffrement grâce à des justifications claires et précises.

Avantages

Faites évoluer votre sécurité à l'échelle mondiale

Profitez de l'envergure mondiale de Google pour le scaling de votre application, et laissez Google s'occuper des défis liés à la gestion des clés tels que la redondance et la latence.

Contribuez au respect des exigences de conformité

Chiffrez facilement vos données dans le cloud à l'aide de clés de chiffrement logicielles, de HSM validés FIPS 140-2 de niveau 3, de clés fournies par le client ou d'un gestionnaire de clé externe.

Profitez de l'intégration avec les produits Google Cloud

Utilisez des clés de chiffrement gérées par le client (CMEK) pour contrôler le chiffrement des données dans les produits Google Cloud tout en bénéficiant de fonctionnalités supplémentaires en termes de sécurité, telles que Google Cloud IAM et les journaux d'audit.

Principales fonctionnalités

Principales fonctionnalités

Centralisez la gestion des clés de chiffrement

Profitez d'un service de gestion des clés hébergé sur le cloud et vous permettant de gérer les clés cryptographiques symétriques et asymétriques pour vos services cloud de la même manière que sur site. Vous pouvez générer, utiliser, alterner et détruire des clés cryptographiques AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 et EC P384.

Garantissez la sécurité de vos clés matérielles à l'aide de HSM

Passez des clés de chiffrement logicielles aux clés matérielles grâce à un simple bouton. Hébergez des clés de chiffrement et effectuez des opérations de cryptographie dans des HSM validés FIPS 140-2 de niveau 3. Grâce à ce service entièrement géré, vous pouvez protéger vos charges de travail les plus sensibles, sans avoir à vous soucier des coûts opérationnels engendrés par la gestion d'un cluster HSM.

Assurez la compatibilité des clés externes avec EKM

Chiffrez vos données dans BigQuery et Compute Engine avec des clés stockées et gérées dans un système de gestion de clés tiers, externe à l'infrastructure de Google. Séparez vos données au repos et vos clés de chiffrement grâce à External Key Manager, tout en profitant de la puissance du cloud à des fins de calcul et d'analyse.

Soyez pleinement maître de l'accès à vos données

Key Access Justifications fonctionne avec Cloud EKM pour vous offrir un contrôle avancé sur vos données. Key Access Justifications est le seul produit qui vous donne une visibilité sur chaque demande d'accès à une clé de chiffrement, vous fournit une justification pour la demande et vous offre un mécanisme d'approbation ou de refus du déchiffrement selon le contexte de la demande. Ces contrôles sont régis par les engagements de Google en matière d'intégrité et sont actuellement en version bêta.

Découvrir toutes les fonctionnalités

Documentation

Documentation

Principes de base de Google Cloud
Documentation de Cloud Key Management Service

Apprenez à créer, importer et gérer des clés cryptographiques, et à effectuer des opérations de chiffrement dans un seul service cloud centralisé.

Principes de base de Google Cloud
Documentation Cloud HSM

Découvrez Cloud HSM, et apprenez à créer et à utiliser des clés de chiffrement protégées par un HSM dans Cloud Key Management Service.

Principes de base de Google Cloud
Documentation Cloud External Key Manager

Consultez une présentation de Cloud External Key Manager (Cloud EKM).

Livre blanc
Présentation détaillée de Cloud Key Management Service

Apprenez-en plus sur le fonctionnement interne de la plate-forme Cloud KMS, et découvrez comment elle vous aide à protéger les clés et autres données sensibles que vous stockez dans Google Cloud.

Bonne pratique
Utiliser des clés de chiffrement gérées par le client (CMEK) avec GKE

Apprenez à utiliser des clés de chiffrement gérées par le client (CMEK) sur Google Kubernetes Engine (GKE).

Principes de base de Google Cloud
Utiliser des clés de chiffrement gérées par le client avec Cloud SQL

La fonctionnalité CMEK vous permet d'utiliser vos propres clés de chiffrement pour les données au repos dans Cloud SQL, y compris avec MySQL, PostgreSQL et SQL Server.

Principes de base de Google Cloud
Utiliser des clés de chiffrement gérées par le client (CMEK) avec Dataproc

Apprenez à utiliser la fonctionnalité CMEK pour chiffrer les données sur les disques persistants associés aux VM de votre cluster Dataproc et/ou les métadonnées du cluster.

Principes de base de Google Cloud
Utiliser des clés de chiffrement gérées par le client avec Data Fusion

Découvrez comment les clés de chiffrement gérées par le client permettent à l'utilisateur de contrôler les données écrites par les pipelines Cloud Data Fusion.

Tutoriel
Sécurité dans Google Cloud

Ce cours présente une étude approfondie des contrôles et techniques de sécurité sur Google Cloud.

Cas d'utilisation

Cas d'utilisation

Cas d'utilisation
Assurer la conformité réglementaire

Cloud KMS, en combinaison avec Cloud HSM et Cloud EKM, est compatible avec un large éventail d'obligations de conformité qui impliquent des procédures et des technologies spécifiques en matière de gestion des clés. Il opère de façon évolutive et cloud native, sans pour autant affecter l'agilité de la mise en œuvre dans le cloud. Chaque obligation s'accompagne d'exigences variées : chiffrement matériel (HSM), séparation des clés et des données (EKM), ou encore un traitement sécurisé des clés (KMS dans son ensemble). La gestion des clés est conforme à la norme FIPS 140-2.

Cas d'utilisation
Gérer les clés de chiffrement grâce à du matériel sécurisé

Il se peut que les clients, étant soumis à des règles de conformité, doivent héberger leurs clés de chiffrement et effectuer des opérations de cryptographie sur un appareil validé FIPS 140-2 de niveau 3. Grâce à la possibilité de stocker leurs clés dans un HSM validé FIPS, ils peuvent répondre aux exigences des autorités de régulation et maintenir leur conformité dans le cloud. Cette possibilité est également cruciale pour les clients souhaitant s'assurer que leur fournisseur cloud ne puisse ni consulter, ni exporter leur matériel de clé.

Cas d'utilisation
Gérer les clés de chiffrement en dehors du cloud

Les clients soumis à des exigences de sécurité réglementaires ou régionales doivent rester en possession de leurs clés de chiffrement lorsqu'ils adoptent le cloud computing. External Key Manager leur permet de séparer leurs données au repos et leurs clés de chiffrement tout en profitant de la puissance du cloud à des fins de calcul et d'analyse. Les clients ont une visibilité complète et peuvent savoir qui a accès aux clés, quand elles ont été utilisées et où elles se trouvent.

Architecture de référence de EKM
Cas d'utilisation
Key Access Justifications et flux de données dans EKM

Key Access Justifications donne aux clients Google Cloud une visibilité sur chaque demande d'accès à une clé de chiffrement, leur fournit une justification pour la demande et leur offre un mécanisme d'approbation ou de refus du déchiffrement selon le contexte de la demande. Les cas d'utilisation se concentrent à la fois sur l'application et sur la visibilité en termes d'accès aux données.

Schéma de Key Access Justifications

Toutes les fonctionnalités

Toutes les fonctionnalités

Compatibilité avec les clés symétriques et asymétriques Avec Cloud KMS, vous pouvez créer, utiliser, alterner (automatiquement ou non) et détruire des clés cryptographiques AES-256 symétriques, ainsi que des clés RSA 2048, RSA 3072, RSA 4096, EC P256 et EC P384 asymétriques. Avec HSM, chiffrez, déchiffrez et signez avec des clés cryptographiques AES-256 symétriques, ainsi que des clés RSA 2048, RSA 3072, RSA 4096, EC P256 et EC P384 asymétriques.
Création de clés externes avec EKM Générez votre clé externe à l'aide d'un des gestionnaires de clés externes suivants : Equinix, Fortanix, Ionic, Thales et Unbound. Une fois votre clé externe associée à Cloud KMS, vous pouvez l'utiliser pour protéger vos données au repos dans BigQuery et Compute Engine.
Délai de destruction d'une clé Cloud KMS impose un délai de 24 heures pour la destruction matérielle d'une clé, afin d'éviter toute perte de données accidentelle ou résultant d'une malveillance.
Chiffrement et déchiffrement via l'API Cloud KMS est une API REST qui peut utiliser une clé pour chiffrer, déchiffrer ou signer des données, comme des secrets, à des fins de stockage.
Haute disponibilité à l'échelle mondiale Cloud KMS est disponible dans plusieurs emplacements dans le monde et dans plusieurs zones multirégionales, ce qui vous permet de placer votre service là où vous le souhaitez pour profiter d'une faible latence et d'une haute disponibilité.
Rotation des clés automatique ou à la demande Cloud KMS vous permet de définir un calendrier de rotation pour la génération automatique par les clés symétriques d'une nouvelle version de clé à intervalles fixes. Plusieurs versions d'une clé symétrique peuvent être actives à tout moment pour le déchiffrement. En revanche, une seule version de clé principale peut être utilisée pour le chiffrement des nouvelles données. Avec EKM, créez une clé gérée en externe directement depuis la console Cloud KMS.
Attestation de déclaration avec HSM Avec Cloud HSM, validez la création d'une clé dans le module HSM à l'aide de jetons d'attestation générés pour les opérations de création de clé.
Intégration à GKE Chiffrez vos secrets Kubernetes au niveau de la couche d'application dans GKE, à l'aide de clés que vous gérez dans Cloud KMS. Vous pouvez également stocker des clés API, des mots de passe, des certificats et autres données sensibles grâce au système de stockage Secret Manager.
Maintien de la séparation entre clés et données Avec EKM, séparez vos données au repos et vos clés de chiffrement tout en profitant de la puissance du cloud à des fins de calcul et d'analyse.
Résidence des données de clés Si vous utilisez Cloud KMS, vos clés cryptographiques seront stockées dans la région où vous déployez la ressource. Avec Cloud HSM, vous avez également la possibilité de stocker ces clés dans un module de sécurité matériel situé dans la région de votre choix.
Importation des clés Il est possible que vous utilisiez des clés cryptographiques existantes créées sur site ou dans un système de gestion des clés externe.Vous pouvez importer ces clés dans Cloud HSM, ou importer vos clés logicielles dans Cloud KMS.
Justifications d'accès Avec Key Access Justifications (version bêta), obtenez des motifs clairs pour chaque demande de déchiffrement qui ferait passer vos données de l'état de repos à celui d'utilisation.
Automatisation des règles Key Access Justifications (version bêta) vous permet d'établir des règles automatiques qui approuvent ou refusent l'accès aux clés en fonction de justifications spécifiques. Votre gestionnaire de clés externe, fourni par les partenaires technologiques de Google Cloud, s'occupe du reste.
Engagement sur l'intégrité Les contrôles fournis par Key Access Justifications sont régis par les engagements de Google en matière d'intégrité, vous permettant ainsi de travailler en toute confiance.

Tarifs

Tarifs

Les frais de Cloud Key Management Service sont calculés en fonction de l'utilisation des produits suivants : Cloud Key Management Service, Cloud External Key Manager et Cloud HSM.

Produit Prix (en USD)
Cloud KMS : versions de clé actives 0,06 $ par mois
Cloud KMS : opérations d'utilisation des clés (chiffrement/déchiffrement) 0,03 $ pour 10 000 opérations
Cloud KMS : opérations d'administration des clés gratuit
Cloud HSM : versions de clé (AES-256, RSA 2048) 1,00 $ par mois
Cloud HSM : versions de clé (RSA 3072, RSA 4096)

0 à 2 000 versions de clé : 2,50 $ par mois

Plus de 2 000 versions de clé : 1,00 $ par mois

Cloud HSM : versions de clé (EC P256, EC P384)

0 à 2 000 versions de clé : 2,50 $ par mois

Plus de 2 000 versions de clé : 1,00 $ par mois

Cloud EKM : versions de clé 3,00 $ par mois
Cloud EKM : opérations d'utilisation des clés 0,03 $ pour 10 000 opérations

Si vous ne payez pas en USD, les tarifs indiqués dans votre devise sur la page des codes SKU de Google Cloud s'appliquent.

Partenaires

Partenaires

Pour activer Key Access Justifications, veuillez mettre en place External Key Manager avec l'un de ces fournisseurs de gestion de clés leaders du marché.