Cloud Key Management

Beheer versleutelingssleutels op Google Cloud.

Probeer Google Cloud kosteloos uit
  • action/check_circle_24px Gemaakt met Sketch.

    Lever schaalbaar, gecentraliseerd en snel beheer van cloudsleutels.

  • action/check_circle_24px Gemaakt met Sketch.

    Speel in op behoeften op het gebied van naleving, privacy en beveiliging.

  • action/check_circle_24px Gemaakt met Sketch.

    Pas moeiteloos hardwarebeveiligingsmodules (hardware security modules, HSM's) toe op uw meest gevoelige gegevens.

  • action/check_circle_24px Gemaakt met Sketch.

    Gebruik een externe KMS om uw gegevens te beschermen in Google Cloud en de gegevens te scheiden van de sleutel.

  • action/check_circle_24px Gemaakt met Sketch.

    Keur alle verzoeken om versleutelingssleutels goed of af op basis van duidelijke en nauwkeurige redenen.

Schaal uw beveiliging wereldwijd

Schaal uw app tot de wereldwijde beschikbaarheid van Google en laat Google de uitdagingen op het gebied van sleutelbeheer voor u oplossen, waaronder het beheer van redundantie en wachttijden.

Voldoe aan uw nalevingsvereisten

Versleutel eenvoudig uw gegevens in de cloud met softwaregebaseerde versleutelingssleutels, gecertificeerde HSM's die op niveau 3 van FIPS 140-2 zijn gevalideerd, door de klant geleverde sleutels of een External Key Manager. 

Ontdek de voordelen van integratie met Google Cloud-producten

Gebruik door de klant beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) om de versleuteling van uw gegevens in Google Cloud-producten te beheren en tegelijkertijd gebruik te maken van extra beveiligingsfuncties zoals Google Cloud IAM en controlelogboeken.

Belangrijkste kenmerken

Beheer versleutelingssleutels centraal

Een in de cloud gehoste service voor sleutelbeheer waarmee u symmetrische en asymmetrische cryptografische sleutels voor uw cloudservices net zo beheert als op locatie. U kunt cryptografische sleutels van de typen AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384 genereren, gebruiken, laten rouleren en vernietigen.

Lever hardwarebeveiliging voor sleutels met HSM

Schakel met één druk op de knop tussen versleutelingssleutels die door software of door hardware worden beveiligd. Host versleutelingssleutels en voer cryptografische bewerkingen uit in HSM's die op niveau 3 van FIPS 140-2 zijn gecertificeerd. Met deze volledig beheerde service beschermt u uw gevoeligste productietaken zonder dat u zich zorgen hoeft te maken over de operationele overhead van het beheren van een HSM-cluster.

Ondersteun externe sleutels met EKM

Versleutel gegevens in BigQuery en Compute Engine met versleutelingssleutels die worden opgeslagen en beheerd in een sleutelbeheersysteem van derden, dat buiten de infrastructuur van Google wordt geïmplementeerd. Met External Key Manager kunt u een scheiding aanhouden tussen uw 'data at rest' en uw versleutelingssleutels, terwijl u gebruik blijft maken van de kracht van de cloud voor rekentaken en analyses.

Houd volledige controle over toegang tot uw gegevens

Key Access Justifications werkt met Cloud EKM om u veel meer controle te gegeven over uw gegevens. Dit is het enige product waarmee u inzicht krijgt in alle verzoeken om versleutelingssleutels, de redenen voor deze verzoeken en een mechanisme om ontsleuteling voor het verzoek goed te keuren of te weigeren. Deze functionaliteit valt onder de integriteitsbeloften van Google en bevinden zich op dit moment in bèta.

Bekijk alle functies

Documentatie

De basisbeginselen van Google Cloud
Documentatie voor Cloud Key Management Service

Leer hoe u cryptografische sleutels maakt, importeert en beheert. Voer cryptografische bewerkingen uit in één centrale cloudservice.

De basisbeginselen van Google Cloud
Documentatie voor Cloud HSM

Krijg een beeld van Cloud HSM en leer hoe u door HSM beveiligde versleutelingssleutels maakt en gebruikt in Cloud Key Management Service.

De basisbeginselen van Google Cloud
Documentatie voor Cloud External Key Manager

Bekijk een overzicht van Cloud External Key Manager (Cloud EKM).

De basisbeginselen van Google Cloud
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Dataproc

Lees hoe u CMEK gebruikt om gegevens te versleutelen in de PD's die zijn gekoppeld aan de VM's in uw Dataproc-cluster en/of de metadata van het cluster.

Praktische tip
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met GKE

Leer hoe u door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruikt op Google Kubernetes Engine (GKE).

De basisbeginselen van Google Cloud
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Cloud SQL

Met de CMEK-functie gebruikt u uw eigen cryptografische sleutels voor 'data at rest' in Cloud SQL, waaronder MySQL, PostgreSQL en SQL Server.

De basisbeginselen van Google Cloud
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Data Fusion

Leer hoe gebruikers met door klanten beheerde versleutelingssleutels controle krijgen over gegevens die door Cloud Data Fusion-pipelines worden geschreven.

Tutorial
Beveiliging in Google Cloud

Met deze cursus krijgen deelnemers een breed overzicht van beveiligingsmaatregelen en -technieken in Google Cloud.

Toepassingen

Toepassing
Ondersteuning voor de naleving van regelgeving

Cloud KMS ondersteunt samen met Cloud HSM en Cloud EKM een grote hoeveelheid nalevingvoorschriften die vragen om specifieke procedures en technologieën voor sleutelbeheer. Dit gebeurt op een schaalbare en cloudeigen wijze waarbij u niet hoeft in te leveren op de flexibiliteit van de cloudimplementatie. Verschillende vereisten vragen om hardwareversleuteling (HSM), een scheiding tussen sleutels en gegevens (EKM) of sleutels die veilig worden verwerkt (KMS in het algemeen). Sleutelbeheer voldoet aan FIPS 140-2.

Toepassing
Beheer versleutelingssleutels met veilige hardware

Klanten die moeten voldoen aan nalevingsvereisten, moeten mogelijk hun sleutels opslaan en cryptografische bewerkingen uitvoeren op een apparaat met een FIPS-140-2-certificering op niveau 3. Als hun klanten de eigen sleutels mogen opslaan in een HSM met een FIPS-certificering, voldoen ze aan de vereisten van hun regelgevende instanties en leven ze de regels ook in de cloud na. Dit is ook heel belangrijk voor klanten die erop willen vertrouwen dat de cloudprovider het sleutelmateriaal niet kan bekijken of exporteren.

Toepassing
Beheer versleutelingssleutels buiten de cloud

Klanten die vallen onder regionale beveiligingsvereisten of beveiligingsvereisten van regelgevende instanties moeten cloudcomputing gebruiken en tegelijk eigenaar blijven van de versleutelingssleutels. Met External Key Manager behouden ze de scheiding tussen 'data at rest' en versleutelingssleutels en maken ze toch gebruik van de kracht van de cloud voor rekentaken en analyses. Dit wordt bereikt in combinatie met volledig inzicht in wie toegang heeft tot de sleutels, wanneer de sleutels zijn gebruikt en waar ze zich bevinden.

Referentiearchitectuur voor EKM
Toepassing
Key Access Justifications en EKM Data Flow

Key Access Justifications biedt klanten van Google Cloud inzicht in alle verzoeken om versleutelingssleutels, redenen voor deze verzoeken en een mechanisme om ontsleuteling voor het verzoek goed te keuren of te weigeren. De toepassingen richten zich zowel op handhaving als op inzicht in gegevenstoegang.

KAJ-diagram

Alle kenmerken

Support voor symmetrische en asymmetrische sleutels Cloud KMS is een REST API die met een sleutel gegevens, zoals geheimen, voor opslag kan versleutelen, ontsleutelen of ondertekenen.
Maak externe sleutels met EKM Met Cloud KMS kunt u symmetrische cryptografische sleutels van het type AES256 en asymmetrische cryptografische sleutels van de typen RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384 maken, gebruiken, (automatisch) laten rouleren en vernietigen. Versleutel, ontsleutel en onderteken met HSM met symmetrische cryptografische sleutels van het type AES-256 en asymmetrische cryptografische sleutels van het type RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384.
Vertraging voor sleutelvernietiging Verifieer met Cloud HSM dat een sleutel is gemaakt in de HSM met attesttokens die zijn gegenereerd voor het maken van sleutelbewerkingen.
Versleutel en ontsleutel via API Cloud KMS is op meerdere locaties over de hele wereld en in meerdere regio's beschikbaar, zodat u uw service kunt plaatsen waar u maar wilt om een korte wachttijd en hoge beschikbaarheid te realiseren.
Hoge wereldwijde beschikbaarheid Met Cloud KMS stelt u een roulatieplanning in voor symmetrische sleutels om automatisch een nieuwe sleutelversie te maken met vastgestelde tijdsintervallen. Meerdere versies van een symmetrische sleutel kunnen tegelijk geldig zijn voor ontsleuteling, waarbij slechts één primaire sleutelversie wordt gebruikt om nieuwe gegevens te versleutelen. Met EKM maakt u een extern beheerde sleutel rechtstreeks vanuit de Cloud KSM-console.
Geautomatiseerde sleutelroulatie en roulatie op elk gewenst moment Cloud KMS heeft een ingebouwde vertraging van 24 uur voor het verwijderen van sleutelmateriaal om te voorkomen dat gegevens per ongeluk verloren gaan of door hackers worden vernietigd.
Verklaring van attest met HSM Versleutel Kubernetes-geheimen in de app-laag in GKE met sleutels die u in Cloud KMS beheert. Daarnaast kunt u API-sleutels, wachtwoorden, certificaten en andere gevoelige gegevens opslaan met het opslagsysteem van Secret Manager
Integratie met GKE Genereer uw externe sleutel met een van de volgende externe sleutelbeheersystemen: Equinix, Fortanix, Ionic, Thales of Unbound. Als u uw externe sleutel heeft gekoppeld aan Cloud KMS, kunt u deze gebruiken om 'data-at-rest' te beveiligen in BigQuery en Compute Engine.
Sleutels scheiden van gegevens Houd met EKM een scheiding aan tussen uw 'data at rest' en uw versleutelingssleutels, waarbij u nog steeds gebruik maakt van de kracht van de cloud voor rekentaken en analyses.
De locatie van sleutelgegevens Als u Cloud KMS gebruikt, worden uw cryptografische sleutels opgeslagen in de regio waar u de resource implementeert. U kunt deze sleutels ook opslaan in een fysieke hardwarebeveiligingsmodule (Hardware Security Module) in de regio die u kiest met Cloud HSM.
Sleutelimport Mogelijk gebruikt u bestaande versleutelingssleutels die gemaakt zijn bij u op locatie of in een extern sleutelbeheersysteem.  U kunt deze sleutels importeren in Cloud HSM-sleutels of softwaresleutels importeren in Cloud KMS.
Toegang met een reden Met Key Access Justifications (bèta) krijgt u een duidelijke reden voor elk ontsleutelingsverzoek dat de status van gegevens verandert van 'at rest' naar 'in use'.
Geautomatiseerd beleid Met Key Access Justifications (bèta) stelt u automatische beleidsregels in die toegang tot sleutels goedkeuren of weigeren op basis van specifieke redenen. Uw externe sleutelbeheersysteem, dat door technologiepartners van Google Cloud wordt geleverd, zorgt voor de rest.
Integriteitsbelofte De functionaliteit die wordt geleverd door Key Access Justifications valt onder de integriteitsbelofte van Google. Zo weet u dat u erop kunt vertrouwen.

Prijzen

Cloud Key Management Service brengt kosten voor gebruik in rekening en verschilt afhankelijk van de volgende producten: Cloud Key Management Service, Cloud External Key Manager en Cloud HSM.

Product Prijzen (Amerikaanse dollars)
Cloud KMS: actieve sleutelversies $ 0,06 per maand
Cloud KMS: bewerkingen voor het gebruik van sleutels (versleutelen/ontsleutelen) $ 0,03 per 10.000 bewerkingen
Cloud KMS: bewerkingen voor sleutelbeheer gratis
Cloud HMS: sleutelversies (AES256, RSA2048) $ 1,00 per maand
Cloud HMS: sleutelversies (RSA 3072, RSA 4096)

0–2000 sleutelversies: $ 2,50 per maand

2001 of meer sleutelversies: $ 1,00 per maand

Cloud HMS: sleutelversies (EC P256, EC P384)

0–2000 sleutelversies: $ 2,50 per maand

2001 of meer sleutelversies: $ 1,00 per maand

Cloud EKM: sleutelversies $ 3,00 per maand
Cloud EKM: bewerkingen voor sleutelgebruik $ 0,03 per 10.000 bewerkingen

Als u in een andere valuta dan USD betaalt, gelden de prijzen die in uw valuta op Google Cloud SKU's worden vermeld.

Partners

Implementeer om Key Access Justifications te gebruiken External Key Manager met een van deze toonaangevende leveranciers voor sleutelbeheer.