Nederlands wordt vanaf 15 januari 2021 niet langer ondersteund op cloud.google.com.

Cloud Key Management

Beheer versleutelingssleutels in Google Cloud.

Google Cloud kosteloos uitproberen
  • action/check_circle_24px Gemaakt met Sketch.

    Lever schaalbaar, gecentraliseerd en snel beheer van cloudsleutels.

  • action/check_circle_24px Gemaakt met Sketch.

    Speel in op behoeften op het gebied van naleving, privacy en beveiliging.

  • action/check_circle_24px Gemaakt met Sketch.

    Pas moeiteloos hardwarebeveiligingsmodules (hardware security modules, HSM's) toe op uw meest gevoelige gegevens.

  • action/check_circle_24px Gemaakt met Sketch.

    Gebruik een externe KMS om uw gegevens te beschermen in Google Cloud en de gegevens te scheiden van de sleutel.

  • action/check_circle_24px Gemaakt met Sketch.

    Keur alle verzoeken om versleutelingssleutels goed of af op basis van duidelijke en nauwkeurige redenen.

Voordelen

Schaal uw beveiliging wereldwijd

Schaal uw app tot de wereldwijde beschikbaarheid van Google en laat Google de uitdagingen op het gebied van sleutelbeheer voor u oplossen, waaronder het beheer van redundantie en wachttijden.

Voldoe aan uw nalevingsvereisten

Versleutel eenvoudig uw gegevens in de cloud met softwaregebaseerde versleutelingssleutels, gecertificeerde HSM's die op niveau 3 van FIPS 140-2 zijn gevalideerd, door de klant geleverde sleutels of een External Key Manager.

Ontdek de voordelen van integratie met Google Cloud-producten

Gebruik door de klant beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) om de versleuteling van uw gegevens in Google Cloud-producten te beheren en tegelijkertijd gebruik te maken van extra beveiligingsfuncties zoals Google Cloud IAM en controlelogboeken.

Belangrijkste kenmerken

Belangrijkste kenmerken

Beheer versleutelingssleutels centraal

Een in de cloud gehoste service voor sleutelbeheer waarmee u symmetrische en asymmetrische cryptografische sleutels voor uw cloudservices net zo beheert als op locatie. U kunt cryptografische sleutels van de typen AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384 genereren, gebruiken, laten rouleren en vernietigen.

Lever hardwarebeveiliging voor sleutels met HSM

Schakel met één druk op de knop tussen versleutelingssleutels die door software of door hardware worden beveiligd. Host versleutelingssleutels en voer cryptografische bewerkingen uit in HSM's die op niveau 3 van FIPS 140-2 zijn gevalideerd. Met deze volledig beheerde service beschermt u uw gevoeligste productietaken en hoeft u zich geen zorgen te maken over de operationele overhead van het beheren van een HSM-cluster.

Ondersteun externe sleutels met EKM

Versleutel gegevens in BigQuery en Compute Engine met versleutelingssleutels die worden opgeslagen en beheerd in een sleutelbeheersysteem van derden, dat buiten de infrastructuur van Google wordt geïmplementeerd. Met External Key Manager kunt u een scheiding aanhouden tussen uw 'data at rest' en uw versleutelingssleutels, terwijl u gebruik blijft maken van de kracht van de cloud voor rekentaken en analyses.

Houd volledige controle over toegang tot uw gegevens

Key Access Justifications werkt met Cloud EKM om u veel meer controle te geven over uw gegevens. Dit is het enige product waarmee u inzicht krijgt in alle verzoeken om versleutelingssleutels, de redenen voor deze verzoeken en een mechanisme om ontsleuteling voor het verzoek goed te keuren of te weigeren. Deze functionaliteit valt onder de integriteitsbeloften van Google en bevinden zich op dit moment in bèta.

Alle kenmerken weergeven

Documentatie

Documentatie

De basisbeginselen van Google Cloud
Documentatie voor Cloud Key Management Service

Leer hoe u cryptografische sleutels maakt, importeert en beheert. Voer cryptografische bewerkingen uit in één centrale cloudservice.

De basisbeginselen van Google Cloud
Documentatie voor Cloud HSM

Krijg een beeld van Cloud HSM en leer hoe u door HSM beveiligde versleutelingssleutels maakt en gebruikt in Cloud Key Management Service.

De basisbeginselen van Google Cloud
Documentatie voor Cloud External Key Manager

Bekijk een overzicht van Cloud External Key Manager (Cloud EKM).

Whitepaper
Cloud Key Management Service nader bekeken

Lees meer over de interne werking van het Cloud KMS-platform en over de beveiliging die het biedt voor sleutels en andere gevoelige gegevens die u in Google Cloud opslaat.

Praktische tip
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met GKE

Leer hoe u door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruikt op Google Kubernetes Engine (GKE).

De basisbeginselen van Google Cloud
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Cloud SQL

Met de CMEK-functie gebruikt u uw eigen cryptografische sleutels voor 'data at rest' in Cloud SQL, waaronder MySQL, PostgreSQL en SQL Server.

De basisbeginselen van Google Cloud
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Dataproc

Lees hoe u CMEK gebruikt om gegevens te versleutelen in de PD's die zijn gekoppeld aan de VM's in uw Dataproc-cluster en/of de metadata van het cluster.

De basisbeginselen van Google Cloud
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Data Fusion

Leer hoe gebruikers met door klanten beheerde versleutelingssleutels controle krijgen over gegevens die door Cloud Data Fusion-pipelines worden geschreven.

Tutorial
Beveiliging in Google Cloud

Met deze cursus krijgen deelnemers een breed overzicht van beveiligingsmaatregelen en -technieken in Google Cloud.

Toepassingen

Toepassingen

Toepassing
Ondersteuning voor de naleving van regelgeving

Cloud KMS ondersteunt samen met Cloud HSM en Cloud EKM een grote hoeveelheid nalevingvoorschriften die vragen om specifieke procedures en technologieën voor sleutelbeheer. Dit gebeurt op een schaalbare en cloudeigen wijze waarbij u niet hoeft in te leveren op de flexibiliteit van de cloudimplementatie. Verschillende vereisten vragen om hardwareversleuteling (HSM), een scheiding tussen sleutels en gegevens (EKM) of sleutels die veilig worden verwerkt (KMS in het algemeen). Sleutelbeheer voldoet aan FIPS 140-2.

Toepassing
Beheer versleutelingssleutels met veilige hardware

Klanten die moeten voldoen aan nalevingsvereisten, moeten mogelijk hun sleutels opslaan en cryptografische bewerkingen uitvoeren op een apparaat met FIPS-140-2-validering op niveau 3. Als hun klanten de eigen sleutels mogen opslaan in een HSM met FIPS-validering, voldoen ze aan de vereisten van hun regelgevende instanties en leven ze de regels ook na in de cloud. Dit is ook heel belangrijk voor klanten die de zekerheid willen hebben dat de cloudprovider het sleutelmateriaal niet kan bekijken of exporteren.

Toepassing
Beheer versleutelingssleutels buiten de cloud

Klanten die vallen onder regionale beveiligingsvereisten of beveiligingsvereisten van regelgevende instanties moeten cloudcomputing gebruiken en tegelijk eigenaar blijven van de versleutelingssleutels. Met External Key Manager behouden ze de scheiding tussen 'data at rest' en versleutelingssleutels en maken ze toch gebruik van de kracht van de cloud voor rekentaken en analyses. Dit wordt bereikt in combinatie met volledig inzicht in wie toegang heeft tot de sleutels, wanneer de sleutels zijn gebruikt en waar ze zich bevinden.

Referentiearchitectuur voor EKM
Toepassing
Key Access Justifications en EKM Data Flow

Key Access Justifications biedt klanten van Google Cloud inzicht in alle verzoeken om versleutelingssleutels, de redenen voor deze verzoeken en een mechanisme om ontsleuteling voor het verzoek goed te keuren of te weigeren. De toepassingen richten zich zowel op handhaving als op inzicht in gegevenstoegang.

KAJ-diagram

Alle kenmerken

Alle kernmerken

Support voor symmetrische en asymmetrische sleutels Met Cloud KMS kunt u symmetrische cryptografische sleutels van het type AES256 en asymmetrische cryptografische sleutels van de typen RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384 maken, gebruiken, (automatisch) laten rouleren en vernietigen. Versleutel, ontsleutel en onderteken met HSM met symmetrische cryptografische sleutels van het type AES-256 en asymmetrische cryptografische sleutels van het type RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384.
Externe sleutels maken met EKM Genereer uw externe sleutel met een van de volgende externe sleutelbeheersystemen: Equinix, Fortanix, Ionic, Thales of Unbound. Als u uw externe sleutel heeft gekoppeld aan Cloud KMS, kunt u deze gebruiken om 'data-at-rest' te beveiligen in BigQuery en Compute Engine.
Vertraging voor sleutelvernietiging Cloud KMS heeft een ingebouwde vertraging van 24 uur voor het verwijderen van sleutelmateriaal om te voorkomen dat gegevens per ongeluk verloren gaan of door hackers worden vernietigd.
Versleutelen en ontsleutelen via API Cloud KMS is een REST API die met een sleutel gegevens, zoals geheimen, voor opslag kan versleutelen, ontsleutelen of ondertekenen.
Hoge wereldwijde beschikbaarheid Cloud KMS is op meerdere locaties over de hele wereld en in meerdere regio's beschikbaar, zodat u uw service kunt plaatsen waar u maar wilt om een lage latentie en hoge beschikbaarheid te realiseren.
Geautomatiseerde sleutelroulatie en roulatie op elk gewenst moment Met Cloud KMS stelt u een roulatieplanning in voor symmetrische sleutels om na een vastgesteld interval automatisch een nieuwe sleutelversie te maken. Meerdere versies van een symmetrische sleutel kunnen tegelijk geldig zijn voor ontsleuteling, waarbij slechts één primaire sleutelversie wordt gebruikt om nieuwe gegevens te versleutelen. Met EKM maakt u een extern beheerde sleutel rechtstreeks vanuit de Cloud KSM-console.
Verklaring van attest met HSM Verifieer met Cloud HSM dat een sleutel is gemaakt in de HSM met attesttokens die zijn gegenereerd voor het maken van sleutelbewerkingen.
Integratie met GKE Versleutel Kubernetes-geheimen in de app-laag in GKE met sleutels die u in Cloud KMS beheert. Daarnaast kunt u API-sleutels, wachtwoorden, certificaten en andere gevoelige gegevens opslaan met het opslagsysteem van Secret Manager.
Sleutels scheiden van gegevens Houd met EKM een scheiding aan tussen uw 'data at rest' en uw versleutelingssleutels, waarbij u nog steeds gebruik maakt van de kracht van de cloud voor rekentaken en analyses.
De locatie van sleutelgegevens Als u Cloud KMS gebruikt, worden uw cryptografische sleutels opgeslagen in de regio waar u de resource implementeert. U kunt deze sleutels ook opslaan in een fysieke hardwarebeveiligingsmodule (Hardware Security Module) in de regio die u kiest met Cloud HSM.
Sleutelimport Mogelijk gebruikt u bestaande versleutelingssleutels die gemaakt zijn bij u op locatie of in een extern sleutelbeheersysteem.  U kunt deze sleutels importeren in Cloud HSM-sleutels of softwaresleutels importeren in Cloud KMS.
Toegang met een reden Met Key Access Justifications (bèta) krijgt u een duidelijke reden voor elk ontsleutelingsverzoek dat de status van gegevens verandert van 'at rest' naar 'in use'.
Geautomatiseerd beleid Met Key Access Justifications (bèta) stelt u automatische beleidsregels in die toegang tot sleutels goedkeuren of weigeren op basis van specifieke redenen. Uw externe sleutelbeheersysteem, dat door technologiepartners van Google Cloud wordt geleverd, zorgt voor de rest.
Integriteitsbelofte De functionaliteit die wordt geleverd door Key Access Justifications valt onder de integriteitsbelofte van Google. Zo weet u dat u erop kunt vertrouwen.

Prijzen

Prijzen

Cloud Key Management Service brengt kosten voor gebruik in rekening en verschilt afhankelijk van de volgende producten: Cloud Key Management Service, Cloud External Key Manager en Cloud HSM.

Product Prijs (USD)
Cloud KMS: actieve sleutelversies $ 0,06 per maand
Cloud KMS: bewerkingen voor het gebruik van sleutels (versleutelen/ontsleutelen) $ 0,03 per 10.000 bewerkingen
Cloud KMS: bewerkingen voor sleutelbeheer gratis
Cloud HSM: sleutelversies (AES256, RSA2048) $ 1,00 per maand
Cloud HMS: sleutelversies (RSA 3072, RSA 4096)

0–2000 sleutelversies: $ 2,50 per maand

2001 of meer sleutelversies: $ 1,00 per maand

Cloud HMS: sleutelversies (EC P256, EC P384)

0–2000 sleutelversies: $ 2,50 per maand

2001 of meer sleutelversies: $ 1,00 per maand

Cloud EKM: sleutelversies $ 3,00 per maand
Cloud EKM: bewerkingen voor sleutelgebruik $ 0,03 per 10.000 bewerkingen

Als u in een andere valuta dan USD betaalt, gelden de prijzen die in uw valuta op Google Cloud SKU's worden vermeld.

Partners

Partners

Implementeer External Key Manager met een van deze toonaangevende leveranciers voor sleutelbeheer om Key Access Justifications te gebruiken.