Gerenciamento do Cloud Key

Gerencie chaves de criptografia no Google Cloud.

Faça uma avaliação gratuita do Google Cloud
  • action/check_circle_24px Criado com o Sketch.

    Entregue um gerenciamento de chave na nuvem rápido, centralizado e escalonável

  • action/check_circle_24px Criado com o Sketch.

    Ajude a cumprir com as necessidades de conformidade, privacidade e segurança

  • action/check_circle_24px Criado com o Sketch.

    Aplique sem dificuldades os módulos de segurança de hardware (HSM, na sigla em inglês) nos seus dados mais confidenciais

  • action/check_circle_24px Criado com o Sketch.

    Use um KMS externo para proteger seus dados no Google Cloud e separe os dados da chave

  • action/check_circle_24px Criado com o Sketch.

    Aprove ou recuse qualquer solicitação das suas chaves de criptografia com base em justificativas claras e precisas

Escalone sua segurança globalmente

Escalone seu aplicativo para a cobertura global do Google. Esqueça os desafios do gerenciamento de chaves, inclusive os de redundância e latência.

Ajude a atender os requisitos de conformidade

Criptografe seus dados na nuvem com facilidade usando chaves de criptografia auxiliadas por software, HSMs validados pela certificação FIPS 140-2 de nível 3, chaves fornecidas pelo cliente ou um gerenciador de chave externo 

Aproveite a integração com os produtos do Google Cloud

Use as chaves de criptografia gerenciadas pelo cliente (CMEK) para controlar a criptografia de dados nos produtos do Google Cloud para aproveitar os benefícios dos recursos de segurança extra como o Google Cloud IAM e os registros de auditoria.

Principais recursos

Gerencie as chaves de criptografia de um lugar só

Um serviço de gerenciamento de chaves armazenado na nuvem que permite que você gerencie chaves de criptografia simétricas e assimétricas nos seus serviços em nuvem da mesma forma que faz nos locais. Você pode gerar, usar, alternar e destruir chaves criptográficas AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 e EC P384.

Entregue segurança de chave de hardware com o HSM

Alterne entre chaves de criptografia protegidas por software e hardware pressionando apenas um botão. Hospede chaves de criptografia e execute operações criptográficas em HSMs com certificação FIPS 140-2 de nível 3. Use esse serviço totalmente gerenciado para proteger suas cargas de trabalho mais confidenciais sem precisar se preocupar com a sobrecarga operacional de gerenciar um cluster de HSM.

Ofereça suporte para chaves externas com o EKM

Criptografe dados no BigQuery e no Compute Engine com chaves de criptografia armazenadas e gerenciadas em um sistema de gerenciamento de chaves terceirizado que é implantado fora da infraestrutura do Google. O gerenciador de chaves externas permite que você mantenha a separação entre seus dados em repouso e as chaves de criptografia enquanto aproveita a eficiência da nuvem para fazer tarefas de computação e análise.

Tome a decisão final sobre quem acessa seus dados

As justificativas de acesso às chaves funcionam com o Cloud EKM para aumentar ainda mais o controle que você tem sobre seus dados. É o único produto que oferece visibilidade de todas as solicitações de chave de criptografia, uma justificativa para a solicitação e um mecanismo para aprovar ou rejeitar a descriptografia no contexto dessa solicitação. Esses controles são cobertos pelo compromisso do Google com a integridade e atualmente está na versão Beta.

Veja todos os recursos

Documentação

Princípios básicos do Google Cloud
Documentação do Cloud Key Management Service

Aprenda a criar, importar e gerenciar chaves criptográficas e executar operações criptográficas usando um único serviço na nuvem.

Princípios básicos do Google Cloud
Documentação do Cloud HSM

Tenha uma visão geral do Cloud HSM e saiba como criar e usar chaves de criptografia protegidas por HSM no Cloud Key Management Service.

Princípios básicos do Google Cloud
Documentação do gerenciador de chaves externas do Cloud

Confira uma visão geral do gerenciador de chaves externas do Cloud (Cloud EKM).

Princípios básicos do Google Cloud
Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) com o Dataproc

Veja como usar o CMEK para criptografar dados nos DPs associados às VMs no seu cluster do Dataproc e/ou nos metadados.

Prática recomendada
Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) com o GKE

Aprenda a usar as chaves de criptografia gerenciadas pelo cliente (CMEK) no Google Kubernetes Engine (GKE).

Princípios básicos do Google Cloud
Como usar chaves de criptografia gerenciadas pelo cliente com o Cloud SQL

O recurso CMEK permite que você use suas próprias chaves criptográficas em dados em repouso no Cloud SQL, incluindo MySQL, PostgreSQL e SQL Server.

Princípios básicos do Google Cloud
Como usar chaves de criptografia gerenciadas pelo cliente com o Data Fusion

Saiba como as chaves de criptografia gerenciadas pelo cliente oferecem ao usuário o controle sobre os dados gravados pelos pipelines do Cloud Data Fusion.

Tutorial
Segurança no Google Cloud

Neste curso, os participantes aprendem sobre controles e técnicas de segurança no Google Cloud.

Casos de uso

Caso de uso
Ajude a manter a conformidade regulatória

O Cloud KMS, junto com o Cloud HSM e o Cloud EKM, ajuda na manutenção de várias normas de conformidade que precisam de procedimentos e tecnologia de gerenciamento de chaves específicos. Isso acontece de maneira escalonável e na nuvem, sem prejudicar a agilidade da implementação da nuvem. Muitas normas precisam de criptografia de hardware (HSM), chaves separadas dos dados (EKM) ou chaves manuseadas com segurança, principalmente KMS. O gerenciamento de chave está em conformidade com o FIPS 140-2.

Caso de uso
Gerencie as chaves de criptografia em um hardware seguro

Clientes sujeitos aos regulamentos de conformidade talvez precisem armazenar as chaves e executar operações criptográficas em um dispositivo com certificação FIPS 140-2 de nível 3. Possibilitar o armazenamento das chaves em um HSM com certificação FIPS permite que os clientes cumpram com as demandas do regulador e mantenham a conformidade na nuvem. Isso também é essencial para aqueles que buscam um nível de segurança que o provedor de nuvem não pode alcançar ou exportar o material de chaves.

Caso de uso
Gerencie chaves de criptografia fora da nuvem

Clientes sujeitos aos requisitos de segurança regulatórios ou regionais precisam adotar a computação em nuvem enquanto possuírem as chaves de criptografia. O gerenciador de chaves externas permite que eles mantenham a separação entre os dados em repouso e as chaves de criptografia enquanto aproveitam a eficiência da nuvem para executar tarefas de computação e análise. Isso tudo devido à visibilidade total de quem tem acesso às chaves, quando elas foram usadas e onde estão localizadas.

Arquitetura de referência de EKM
Caso de uso
Justificativas de acesso chave e fluxo de dados EKM

As justificativas de acesso chave dão aos clientes do Google Cloud a visibilidade de todas as solicitações de uma chave de criptografia, uma justificativa para essa solicitação e um mecanismo para aprovar ou recusar a descriptografia no contexto dela. Os casos de uso focam na aplicação e na visibilidade do acesso aos dados.

Diagrama do KAJ

Todos os recursos

Compatibilidade com chaves simétricas e assimétricas O Cloud KMS é uma API REST que pode usar uma chave para criptografar, descriptografar ou assinar dados, como secrets para armazenamento.
Crie chaves externas com o EKM Com o Cloud KMS, você pode gerar, usar, alternar e destruir chaves criptográficas simétricas (AES256) e assimétricas (RSA 2048, RSA 3072, RSA 4096, EC P256 e EC P384). Com o HSM, você criptografa, descriptografa e assina com chaves criptográficas simétricas AES-256 e assimétricas RSA 2048, RSA 3072, RSA 4096, EC P256 e EC P384.
Atraso para a destruição da chave Com o Cloud HSM, você consegue verificar se uma chave foi criada dentro o HSM com tokens de atestado gerados para operações de criação de chave.
Criptografe e descriptografe via API O Cloud KMS está disponível em vários locais do mundo e em diversas multirregiões. Assim, é possível colocar seu serviço onde você quiser para diminuir a latência e aumentar a disponibilidade.
Alta disponibilidade global O Cloud KMS permite que você defina uma programação de rotação para chaves simétricas para gerar automaticamente uma nova versão da chave após um intervalo fixo. É possível manter ativas várias versões de uma chave simétrica a qualquer momento para descriptografia, com apenas uma versão de chave primária usada para criptografar novos dados. Crie uma chave gerenciada externamente com o EKM, diretamente do console do Cloud KSM.
Alterne chaves automaticamente ou quando quiser O Cloud KMS tem um atraso padrão de 24 horas para a destruição de materiais de chave, para evitar a perda acidental ou mal-intencionada de dados.
Atestado com estado com HSM Criptografe secrets do Kubernetes na camada do aplicativo no GKE com chaves que você gerencia no Cloud KMS. Além disso, é possível armazenar chaves de API, senhas, certificados e outros dados confidenciais com o sistema de armazenamento Gerenciador de secrets 
Integração com GKE Gere suas chaves externas usando um destes gerenciadores de chaves: Equinix, Fortanix, Ionic, Thales e Unbound. Assim que você vincular suas chaves externas ao Cloud KMS, será possível usá-las para proteger dados em repouso no BigQuery e no Compute Engine.
Mantenha a separação dos dados-chave Mantenha seus dados em repouso e suas chaves de criptografia separados com o EKM enquanto aproveita a eficiência da nuvem para fazer tarefas de computação e análise.
Residência de dados de chave Se usar o Cloud KMS, suas chaves criptográficas serão armazenadas na região onde você implantar o recurso. Você também tem a opção de armazenar essas chaves dentro de um módulo de segurança em um hardware físico na região que escolheu com o Cloud HSM.
Importação de chave Talvez você esteja usando chaves criptográficas existentes que foram criadas nas suas instalações ou em um sistema de gerenciamento de chaves externo.  É possível importá-las para chaves do Cloud HSM ou importar chaves de software no Cloud KMS.
Acesso justificado Saiba o motivo exato de cada solicitação de descriptografia que causará mudanças no estado de seus dados de "em repouso" para "em uso" com as Justificativas do acesso às chaves (Beta).
Política automatizada As Justificativas do acesso às chaves (Beta) permitem definir políticas que aprovam ou recusam o acesso a chaves com base em justificativas específicas. Deixe que seu gerenciador de chaves externas, fornecidos pelos parceiros de tecnologia do Google Cloud, tomem conta do resto.
Compromisso com a integridade Os controles oferecidos pelas Justificativas do acesso às chaves são cobertos pelos compromissos de integridade do próprio Google, o que aumenta ainda mais a confiabilidade.

Preço

O Cloud Key Management Service cobra pelo uso e varia com base nos produtos a seguir: Cloud Key Management Service, Cloud External Key Manager e Cloud HSM.

Produto Preço (US$)
Cloud KMS: versões ativas de chave US$ 0,06 por mês
Cloud KMS: operações de uso de chave (criptografar/descriptografar) US$ 0,03 por 10.000 operações
Cloud KMS: operações de administração de chave gratuito
Cloud HSM: versões de chave (AES256, RSA2048) US$ 1,00 por mês
Cloud HSM: versões da chave (RSA 3072, RSA 4096)

0 a 2000 versões de chave: US$ 2,50 por mês

2001 versões de chave ou mais: US$ 1,00 por mês

Cloud HSM: versões de chave (EC P256, EC P384)

0 a 2000 versões de chave: US$ 2,50 por mês

2001 versões de chave ou mais: US$ 1,00 por mês

Cloud EKM: versões de chave US$ 3,00 por mês
Cloud EKM: operações de uso de chave US$ 0,03 por 10.000 operações

Caso o pagamento seja feito em uma moeda diferente do dólar americano, serão aplicados os preços listados na sua moeda na página SKUs do Google Cloud.

Parceiros

Para permitir as Justificativas do acesso às chaves, implemente o Gerenciador de chaves externas com um dos principais fornecedores de gerenciamento de chaves do setor.