Cloud Key Management
Beheer versleutelingssleutels op Google Cloud.
Probeer Google Cloud kosteloos uit-
Lever schaalbaar, gecentraliseerd en snel beheer van cloudsleutels.
-
Speel in op behoeften op het gebied van naleving, privacy en beveiliging.
-
Pas moeiteloos hardwarebeveiligingsmodules (hardware security modules, HSM's) toe op uw meest gevoelige gegevens.
-
Gebruik een externe KMS om uw gegevens te beschermen in Google Cloud en de gegevens te scheiden van de sleutel.
-
Keur alle verzoeken om versleutelingssleutels goed of af op basis van duidelijke en nauwkeurige redenen.
Schaal uw beveiliging wereldwijd
Schaal uw app tot de wereldwijde beschikbaarheid van Google en laat Google de uitdagingen op het gebied van sleutelbeheer voor u oplossen, waaronder het beheer van redundantie en wachttijden.
Voldoe aan uw nalevingsvereisten
Versleutel eenvoudig uw gegevens in de cloud met softwaregebaseerde versleutelingssleutels, gecertificeerde HSM's die op niveau 3 van FIPS 140-2 zijn gevalideerd, door de klant geleverde sleutels of een External Key Manager.
Ontdek de voordelen van integratie met Google Cloud-producten
Gebruik door de klant beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) om de versleuteling van uw gegevens in Google Cloud-producten te beheren en tegelijkertijd gebruik te maken van extra beveiligingsfuncties zoals Google Cloud IAM en controlelogboeken.
Belangrijkste kenmerken
Beheer versleutelingssleutels centraal
Een in de cloud gehoste service voor sleutelbeheer waarmee u symmetrische en asymmetrische cryptografische sleutels voor uw cloudservices net zo beheert als op locatie. U kunt cryptografische sleutels van de typen AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384 genereren, gebruiken, laten rouleren en vernietigen.
Lever hardwarebeveiliging voor sleutels met HSM
Schakel met één druk op de knop tussen versleutelingssleutels die door software of door hardware worden beveiligd. Host versleutelingssleutels en voer cryptografische bewerkingen uit in HSM's die op niveau 3 van FIPS 140-2 zijn gecertificeerd. Met deze volledig beheerde service beschermt u uw gevoeligste productietaken zonder dat u zich zorgen hoeft te maken over de operationele overhead van het beheren van een HSM-cluster.
Ondersteun externe sleutels met EKM
Versleutel gegevens in BigQuery en Compute Engine met versleutelingssleutels die worden opgeslagen en beheerd in een sleutelbeheersysteem van derden, dat buiten de infrastructuur van Google wordt geïmplementeerd. Met External Key Manager kunt u een scheiding aanhouden tussen uw 'data at rest' en uw versleutelingssleutels, terwijl u gebruik blijft maken van de kracht van de cloud voor rekentaken en analyses.
Houd volledige controle over toegang tot uw gegevens
Key Access Justifications werkt met Cloud EKM om u veel meer controle te gegeven over uw gegevens. Dit is het enige product waarmee u inzicht krijgt in alle verzoeken om versleutelingssleutels, de redenen voor deze verzoeken en een mechanisme om ontsleuteling voor het verzoek goed te keuren of te weigeren. Deze functionaliteit valt onder de integriteitsbeloften van Google en bevinden zich op dit moment in bèta.
Documentatie
Documentatie voor Cloud Key Management Service
Leer hoe u cryptografische sleutels maakt, importeert en beheert. Voer cryptografische bewerkingen uit in één centrale cloudservice.
Documentatie voor Cloud HSM
Krijg een beeld van Cloud HSM en leer hoe u door HSM beveiligde versleutelingssleutels maakt en gebruikt in Cloud Key Management Service.
Documentatie voor Cloud External Key Manager
Bekijk een overzicht van Cloud External Key Manager (Cloud EKM).
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Dataproc
Lees hoe u CMEK gebruikt om gegevens te versleutelen in de PD's die zijn gekoppeld aan de VM's in uw Dataproc-cluster en/of de metadata van het cluster.
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met GKE
Leer hoe u door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruikt op Google Kubernetes Engine (GKE).
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Cloud SQL
Met de CMEK-functie gebruikt u uw eigen cryptografische sleutels voor 'data at rest' in Cloud SQL, waaronder MySQL, PostgreSQL en SQL Server.
Door klanten beheerde versleutelingssleutels (customer-managed encryption keys, CMEK) gebruiken met Data Fusion
Leer hoe gebruikers met door klanten beheerde versleutelingssleutels controle krijgen over gegevens die door Cloud Data Fusion-pipelines worden geschreven.
Beveiliging in Google Cloud
Met deze cursus krijgen deelnemers een breed overzicht van beveiligingsmaatregelen en -technieken in Google Cloud.
Toepassingen
Cloud KMS ondersteunt samen met Cloud HSM en Cloud EKM een grote hoeveelheid nalevingvoorschriften die vragen om specifieke procedures en technologieën voor sleutelbeheer. Dit gebeurt op een schaalbare en cloudeigen wijze waarbij u niet hoeft in te leveren op de flexibiliteit van de cloudimplementatie. Verschillende vereisten vragen om hardwareversleuteling (HSM), een scheiding tussen sleutels en gegevens (EKM) of sleutels die veilig worden verwerkt (KMS in het algemeen). Sleutelbeheer voldoet aan FIPS 140-2.
Klanten die moeten voldoen aan nalevingsvereisten, moeten mogelijk hun sleutels opslaan en cryptografische bewerkingen uitvoeren op een apparaat met een FIPS-140-2-certificering op niveau 3. Als hun klanten de eigen sleutels mogen opslaan in een HSM met een FIPS-certificering, voldoen ze aan de vereisten van hun regelgevende instanties en leven ze de regels ook in de cloud na. Dit is ook heel belangrijk voor klanten die erop willen vertrouwen dat de cloudprovider het sleutelmateriaal niet kan bekijken of exporteren.
Klanten die vallen onder regionale beveiligingsvereisten of beveiligingsvereisten van regelgevende instanties moeten cloudcomputing gebruiken en tegelijk eigenaar blijven van de versleutelingssleutels. Met External Key Manager behouden ze de scheiding tussen 'data at rest' en versleutelingssleutels en maken ze toch gebruik van de kracht van de cloud voor rekentaken en analyses. Dit wordt bereikt in combinatie met volledig inzicht in wie toegang heeft tot de sleutels, wanneer de sleutels zijn gebruikt en waar ze zich bevinden.
Key Access Justifications biedt klanten van Google Cloud inzicht in alle verzoeken om versleutelingssleutels, redenen voor deze verzoeken en een mechanisme om ontsleuteling voor het verzoek goed te keuren of te weigeren. De toepassingen richten zich zowel op handhaving als op inzicht in gegevenstoegang.
Alle kenmerken
| Support voor symmetrische en asymmetrische sleutels | Cloud KMS is een REST API die met een sleutel gegevens, zoals geheimen, voor opslag kan versleutelen, ontsleutelen of ondertekenen. |
| Maak externe sleutels met EKM | Met Cloud KMS kunt u symmetrische cryptografische sleutels van het type AES256 en asymmetrische cryptografische sleutels van de typen RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384 maken, gebruiken, (automatisch) laten rouleren en vernietigen. Versleutel, ontsleutel en onderteken met HSM met symmetrische cryptografische sleutels van het type AES-256 en asymmetrische cryptografische sleutels van het type RSA 2048, RSA 3072, RSA 4096, EC P256 en EC P384. |
| Vertraging voor sleutelvernietiging | Verifieer met Cloud HSM dat een sleutel is gemaakt in de HSM met attesttokens die zijn gegenereerd voor het maken van sleutelbewerkingen. |
| Versleutel en ontsleutel via API | Cloud KMS is op meerdere locaties over de hele wereld en in meerdere regio's beschikbaar, zodat u uw service kunt plaatsen waar u maar wilt om een korte wachttijd en hoge beschikbaarheid te realiseren. |
| Hoge wereldwijde beschikbaarheid | Met Cloud KMS stelt u een roulatieplanning in voor symmetrische sleutels om automatisch een nieuwe sleutelversie te maken met vastgestelde tijdsintervallen. Meerdere versies van een symmetrische sleutel kunnen tegelijk geldig zijn voor ontsleuteling, waarbij slechts één primaire sleutelversie wordt gebruikt om nieuwe gegevens te versleutelen. Met EKM maakt u een extern beheerde sleutel rechtstreeks vanuit de Cloud KSM-console. |
| Geautomatiseerde sleutelroulatie en roulatie op elk gewenst moment | Cloud KMS heeft een ingebouwde vertraging van 24 uur voor het verwijderen van sleutelmateriaal om te voorkomen dat gegevens per ongeluk verloren gaan of door hackers worden vernietigd. |
| Verklaring van attest met HSM | Versleutel Kubernetes-geheimen in de app-laag in GKE met sleutels die u in Cloud KMS beheert. Daarnaast kunt u API-sleutels, wachtwoorden, certificaten en andere gevoelige gegevens opslaan met het opslagsysteem van Secret Manager. |
| Integratie met GKE | Genereer uw externe sleutel met een van de volgende externe sleutelbeheersystemen: Equinix, Fortanix, Ionic, Thales of Unbound. Als u uw externe sleutel heeft gekoppeld aan Cloud KMS, kunt u deze gebruiken om 'data-at-rest' te beveiligen in BigQuery en Compute Engine. |
| Sleutels scheiden van gegevens | Houd met EKM een scheiding aan tussen uw 'data at rest' en uw versleutelingssleutels, waarbij u nog steeds gebruik maakt van de kracht van de cloud voor rekentaken en analyses. |
| De locatie van sleutelgegevens | Als u Cloud KMS gebruikt, worden uw cryptografische sleutels opgeslagen in de regio waar u de resource implementeert. U kunt deze sleutels ook opslaan in een fysieke hardwarebeveiligingsmodule (Hardware Security Module) in de regio die u kiest met Cloud HSM. |
| Sleutelimport | Mogelijk gebruikt u bestaande versleutelingssleutels die gemaakt zijn bij u op locatie of in een extern sleutelbeheersysteem. U kunt deze sleutels importeren in Cloud HSM-sleutels of softwaresleutels importeren in Cloud KMS. |
| Toegang met een reden | Met Key Access Justifications (bèta) krijgt u een duidelijke reden voor elk ontsleutelingsverzoek dat de status van gegevens verandert van 'at rest' naar 'in use'. |
| Geautomatiseerd beleid | Met Key Access Justifications (bèta) stelt u automatische beleidsregels in die toegang tot sleutels goedkeuren of weigeren op basis van specifieke redenen. Uw externe sleutelbeheersysteem, dat door technologiepartners van Google Cloud wordt geleverd, zorgt voor de rest. |
| Integriteitsbelofte | De functionaliteit die wordt geleverd door Key Access Justifications valt onder de integriteitsbelofte van Google. Zo weet u dat u erop kunt vertrouwen. |
Prijzen
Cloud Key Management Service brengt kosten voor gebruik in rekening en verschilt afhankelijk van de volgende producten: Cloud Key Management Service, Cloud External Key Manager en Cloud HSM.
| Product | Prijzen (Amerikaanse dollars) |
|---|---|
| Cloud KMS: actieve sleutelversies | $ 0,06 per maand |
| Cloud KMS: bewerkingen voor het gebruik van sleutels (versleutelen/ontsleutelen) | $ 0,03 per 10.000 bewerkingen |
| Cloud KMS: bewerkingen voor sleutelbeheer | gratis |
| Cloud HMS: sleutelversies (AES256, RSA2048) | $ 1,00 per maand |
| Cloud HMS: sleutelversies (RSA 3072, RSA 4096) |
0–2000 sleutelversies: $ 2,50 per maand 2001 of meer sleutelversies: $ 1,00 per maand |
| Cloud HMS: sleutelversies (EC P256, EC P384) |
0–2000 sleutelversies: $ 2,50 per maand 2001 of meer sleutelversies: $ 1,00 per maand |
| Cloud EKM: sleutelversies | $ 3,00 per maand |
| Cloud EKM: bewerkingen voor sleutelgebruik | $ 0,03 per 10.000 bewerkingen |
Als u in een andere valuta dan USD betaalt, gelden de prijzen die in uw valuta op Google Cloud SKU's worden vermeld.
Partners
Implementeer om Key Access Justifications te gebruiken External Key Manager met een van deze toonaangevende leveranciers voor sleutelbeheer.
Producten of functies op deze pagina bevinden zich in de bètafase. Kijk hier voor meer informatie over de lanceringsfasen van onze producten.