Cloud Key Management

Gestisci le chiavi di crittografia su Google Cloud.

Prova Google Cloud gratuitamente
  • action/check_circle_24px Creato con Sketch.

    Offri una gestione delle chiavi cloud rapida, centralizzata e scalabile

  • action/check_circle_24px Creato con Sketch.

    Soddisfa le esigenze di conformità, privacy e sicurezza

  • action/check_circle_24px Creato con Sketch.

    Applica facilmente i moduli di sicurezza hardware (HSM) ai tuoi dati più sensibili

  • action/check_circle_24px Creato con Sketch.

    Usa un KMS esterno per proteggere i tuoi dati in Google Cloud e separare i dati dalla chiave

  • action/check_circle_24px Creato con Sketch.

    Approva o rifiuta qualsiasi richiesta per le tue chiavi di crittografia in base a giustificazioni chiare e precise

Scala la tua sicurezza a livello globale

Scala la tua applicazione sfruttando la presenza globale di Google e lasciando a Google l'incombenza della gestione delle chiavi, della ridondanza e della latenza.

Soddisfa con facilità i requisiti di conformità

Cripta facilmente i tuoi dati nel cloud utilizzando chiavi di crittografia con supporto software, HSM convalidati certificati FIPS 140-2 di livello 3, chiavi fornite dal cliente o un sistema di gestione delle chiavi esterno. 

Sfrutta l'integrazione con i prodotti Google Cloud

Usa le chiavi di crittografia gestite dal cliente (CMEK) per controllare la crittografia dei dati in tutti i prodotti Google Cloud, sfruttando allo stesso tempo i vantaggi di funzionalità di sicurezza come Google Cloud IAM e audit log.

Funzionalità principali

Gestisci le chiavi di crittografia a livello centralizzato

Un Key Management Service ospitato nel cloud che ti consente di gestire chiavi di crittografia simmetriche e asimmetriche per i tuoi servizi cloud nello stesso modo in cui faresti on-premise. Puoi generare, utilizzare, ruotare ed eliminare chiavi di crittografia AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 ed EC P384.

Fornisci la sicurezza delle chiavi a livello hardware con HSM

Passa dalle chiavi di crittografia protette a livello software a quelle protette a livello hardware e viceversa utilizzando un solo pulsante. Ospita chiavi di crittografia ed esegui operazioni crittografiche con HSM certificati FIPS 140-2 di livello 3. Con questo servizio completamente gestito puoi proteggere i carichi di lavoro più sensibili senza doverti preoccupare del sovraccarico operativo connesso alla gestione di un cluster HSM.

Fornisci supporto per le chiavi esterne con EKM

Cripta i dati di BigQuery e Compute Engine con chiavi di crittografia archiviate e gestite in un sistema di gestione delle chiavi di terze parti di cui è stato eseguito il deployment al di fuori dell'infrastruttura di Google. External Key Manager permette di separare i dati inattivi e le chiavi di crittografia, sfruttando al contempo la potenza del cloud per le attività di calcolo e analisi.

Esercita un maggiore controllo sull'accesso ai tuoi dati

Key Access Justifications si integra con Cloud EKM per offrirti maggiore controllo sui tuoi dati. È l'unico prodotto che ti dà visibilità su tutte le richieste relative a una chiave di crittografia, una giustificazione per ciascuna richiesta e un meccanismo per approvare o rifiutare la decriptazione nel contesto della richiesta. Questi controlli rientrano nell'ambito degli impegni di Google relativi all'integrità e sono attualmente in fase beta.

Visualizza tutte le funzionalità

Documentazione

Nozioni di base su Google Cloud
Documentazione di Cloud Key Management Service

Scopri come creare, importare e gestire le chiavi di crittografia e come eseguire operazioni crittografiche in un unico servizio cloud centralizzato.

Nozioni di base su Google Cloud
Documentazione di Cloud HSM

Leggi una panoramica di Cloud HSM e scopri come creare e utilizzare chiavi di crittografia protette tramite HSM in Cloud Key Management Service.

Nozioni di base su Google Cloud
Documentazione di Cloud External Key Manager

Leggi una panoramica di Cloud External Key Manager (Cloud EKM).

Nozioni di base su Google Cloud
Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) con Dataproc

Scopri come utilizzare CMEK per criptare dati sui dischi permanenti associati alle VM nel tuo cluster Dataproc e/o nei metadati del cluster.

Best practice
Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) con GKE

Scopri come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) su Google Kubernetes Engine (GKE).

Nozioni di base su Google Cloud
Utilizzo delle chiavi di crittografia gestite dal cliente con Cloud SQL

La funzionalità CMEK ti consente di utilizzare le tue chiavi di crittografia per i dati inattivi in Cloud SQL, compresi MySQL, PostgreSQL e SQL Server.

Nozioni di base su Google Cloud
Utilizzo delle chiavi di crittografia gestite dal cliente con Data Fusion

Scopri come le chiavi di crittografia gestite dal cliente offrono all'utente il controllo sui dati scritti dalle pipeline di Cloud Data Fusion.

Tutorial
Security in Google Cloud Platform

Questo corso offre ai partecipanti un'ampia panoramica delle tecniche e dei controlli di sicurezza di Google Cloud.

Casi d'uso

Caso d'uso
Supporto della conformità normativa

Cloud KMS, insieme a Cloud HSM e Cloud EKM, supporta una vasta gamma di obblighi di conformità che richiedono procedure e tecnologie specifiche di gestione delle chiavi. Offre questo supporto in modo cloud-native e scalabile, senza intaccare l'agilità dell'implementazione cloud. Diversi obblighi richiedono la crittografia hardware (HSM), la separazione tra chiavi e dati (EKM) o la gestione sicura delle chiavi (KMS generale). La gestione delle chiavi è conforme allo standard FIPS 140-2.

Caso d'uso
Gestione delle chiavi di crittografia tramite hardware protetto

I clienti soggetti alle normative di conformità potrebbero dover archiviare le proprie chiavi ed eseguire operazioni crittografiche in un dispositivo certificato FIPS 140-2 di livello 3. Offrendo ai clienti la possibilità di archiviare le proprie chiavi in un HSM certificato FIPS, si consente loro di soddisfare le richieste normative e di assicurare la conformità nel cloud. Ciò è fondamentale anche per i clienti che necessitano della garanzia che il cloud provider non possa visualizzare o esportare il materiale delle chiavi.

Caso d'uso
Gestione delle chiavi di crittografia fuori dal cloud

I clienti soggetti a requisiti di sicurezza normativi o locali devono adottare il cloud computing conservando le chiavi di crittografia in loro possesso. External Key Manager permette di separare i dati inattivi e le chiavi di crittografia, sfruttando al contempo la potenza del cloud per le attività di calcolo e analisi. Ciò avviene con visibilità completa su chi ha accesso alle chiavi, quando sono state utilizzate e dove si trovano.

Architettura di riferimento di EKM
Caso d'uso
Flusso di dati EKM e Key Access Justifications

Key Access Justifications offre ai clienti Google Cloud visibilità su tutte le richieste di chiavi di crittografia, una giustificazione per ogni singola richiesta e un meccanismo per approvare o rifiutare la decriptazione nel contesto di quella specifica richiesta. I casi d'uso si concentrano sull'applicazione e la visibilità degli accessi ai dati.

Diagramma di KAJ

Tutte le funzionalità

Supporto per chiavi simmetriche e asimmetriche Cloud KMS è un'API REST che può utilizzare una chiave per criptare, decriptare o firmare dati, ad esempio secret, per l'archiviazione.
Creazione di chiavi esterne con EKM Cloud KMS consente di creare, utilizzare, ruotare (anche automaticamente) ed eliminare le chiavi di crittografia simmetriche AES256 e asimmetriche RSA 2048, RSA 3072, RSA 4096, EC P256 ed EC P384. HSM consente di criptare, decriptare e firmare con le chiavi di crittografia simmetriche AES-256 e asimmetriche RSA 2048, RSA 3072, RSA 4096, EC P256 ed EC P384.
Ritardo per la distruzione delle chiavi Con Cloud HSM puoi verificare che una chiave sia stata creata nell'HSM con i token di attestazione generati per le operazioni di creazione della chiave.
Crittografia e decriptazione tramite API Cloud KMS è disponibile in diverse località di tutto il mondo e in più aree geografiche, consentendo di collocare il tuo servizio dove vuoi per ottenere bassa latenza e alta disponibilità.
Disponibilità elevata su scala globale Cloud KMS consente di impostare una pianificazione di rotazione per le chiavi simmetriche al fine di generare automaticamente una nuova versione della chiave a intervalli di tempo fissi. È possibile avere in qualsiasi momento più versioni attive di una chiave simmetrica per la decriptazione, riservando una sola versione di chiave primaria alla crittografia di nuovi dati. Con EKM puoi creare una chiave con gestione esterna direttamente dalla console di Cloud KSM.
Rotazione delle chiavi automatica e in base alle esigenze Cloud KMS dispone di un ritardo integrato di 24 ore per la distruzione del materiale della chiave, per evitare perdite accidentali o dolose dei dati.
Attestazione della dichiarazione con HSM Cripta i secret di Kubernetes a livello di applicazione in GKE con le chiavi che gestisci in Cloud KMS. Inoltre, puoi archiviare chiavi API, password, certificati e altri dati sensibili con il sistema di archiviazione Secret Manager
Integrazione con GKE Genera le tue chiavi esterne mediante una di queste soluzioni per la gestione delle chiavi esterne: Equinix, Fortanix, Ionic, Thales e Unbound. Dopo aver collegato la chiave esterna a Cloud KMS, puoi utilizzarla per proteggere i dati inattivi in BigQuery e Compute Engine.
Separazione di chiavi e dati Con EKM puoi separare i dati inattivi e le chiavi di crittografia, utilizzando al contempo la potenza del cloud per le attività di calcolo e analisi.
Localizzazione dei dati delle chiavi Con Cloud KMS le tue chiavi di crittografia saranno archiviate nell'area geografica in cui esegui il deployment della risorsa. Hai anche la possibilità di archiviare le chiavi in un modulo di sicurezza hardware (HSM) fisico situato in un'area geografica a tua scelta con Cloud HSM.
Importazione delle chiavi Puoi utilizzare chiavi di crittografia esistenti create on-premise o in un sistema di gestione delle chiavi esterno. Puoi importarle in chiavi di Cloud HSM o importare chiavi software in Cloud KMS.
Accesso giustificato Ricevi una motivazione chiara per ogni richiesta di decriptazione che comporterà la modifica dello stato dei tuoi dati da inattivi a in uso con Key Access Justifications (beta).
Criteri automatizzati Key Access Justifications (beta) ti consente di impostare criteri automatizzati per approvare o rifiutare l'accesso alle chiavi in base a giustificazioni specifiche. Lascia che il sistema di gestione delle chiavi esterno, offerto dai partner tecnologici di Google Cloud, si occupi di tutto il resto.
Impegno all'integrità Dal momento che i controlli forniti da Key Access Justifications rientrano nell'ambito degli impegni all'integrità di Google, puoi considerarli affidabili.

Prezzi

Cloud Key Management Service prevede addebiti a seconda dell'utilizzo, variabili in base ai seguenti prodotti: Cloud Key Management Service, Cloud External Key Manager e Cloud HSM.

Prodotto Prezzi ($ statunitensi)
Cloud KMS: versioni delle chiavi attive $ 0,06 al mese
Cloud KMS: operazioni di utilizzo delle chiavi (crittografia/decriptazione) $ 0,03 ogni 10.000 operazioni
Cloud KMS: operazioni di amministrazione delle chiavi nessun costo
Cloud HSM: versioni delle chiavi (AES256, RSA2048) $ 1,00 al mese
Cloud HSM: versioni delle chiavi (RSA 3072, RSA 4096)

0-2000 versioni delle chiavi: $ 2,50 al mese

2001 e oltre versioni delle chiavi: $ 1,00 al mese

Cloud HSM: versioni delle chiavi (EC P256, EC P384)

0-2000 versioni delle chiavi: $ 2,50 al mese

2001 e oltre versioni delle chiavi: $ 1,00 al mese

Cloud EKM: versioni delle chiavi $ 3,00 al mese
Cloud EKM: operazioni di utilizzo delle chiavi $ 0,03 ogni 10.000 operazioni

Se la valuta utilizzata per il pagamento è diversa da USD, si applicano i prezzi elencati nella tua valuta negli SKU di Google Cloud.

Partner

Per abilitare Key Access Justifications, implementa External Key Manager presso uno di questi fornitori di servizi di gestione delle chiavi leader del settore.