O Google Cloud foi reconhecido como líder no relatório The Forrester Wave™: Unstructured Data Security Platforms do segundo trimestre de 2021. Acesse o relatório.

Ir para

Cloud Key Management

Gerencie chaves de criptografia no Google Cloud.
  • action/check_circle_24px Criado com o Sketch.

    Entregue um gerenciamento de chave na nuvem rápido, centralizado e escalonável

  • action/check_circle_24px Criado com o Sketch.

    Ajude a cumprir com as necessidades de conformidade, privacidade e segurança

  • action/check_circle_24px Criado com o Sketch.

    Aplique sem dificuldades os módulos de segurança de hardware (HSM, na sigla em inglês) nos seus dados mais confidenciais

  • action/check_circle_24px Criado com o Sketch.

    Use um KMS externo para proteger seus dados no Google Cloud e separe os dados da chave

  • action/check_circle_24px Criado com o Sketch.

    Aprove ou recuse qualquer solicitação das suas chaves de criptografia com base em justificativas claras e precisas

Vantagens

Escalone sua segurança globalmente

Escalone seu aplicativo para a cobertura global do Google. Esqueça os desafios do gerenciamento de chaves, inclusive os de redundância e latência.

Ajude a atender os requisitos de conformidade

Criptografe seus dados na nuvem com facilidade usando chaves de criptografia baseada em software, HSMs com certificação FIPS 140-2 de nível 3, chaves fornecidas pelo cliente ou um gerenciador de chaves externas. 

Aproveite a integração com os produtos do Google Cloud

Use as chaves de criptografia gerenciadas pelo cliente (CMEK) para controlar a criptografia de dados nos produtos do Google Cloud para aproveitar os benefícios dos recursos de segurança extra como o Google Cloud IAM e os registros de auditoria.

Principais recursos

Principais recursos

Gerencie chaves de criptografia em um só lugar

Um serviço de gerenciamento de chaves armazenado na nuvem que permite que você gerencie chaves de criptografia simétricas e assimétricas nos seus serviços em nuvem da mesma forma que faz nos locais. Você pode gerar, usar, alternar e destruir chaves criptográficas AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 e EC P384.

Entregue segurança de chave de hardware com o HSM

Alterne entre chaves de criptografia protegidas por software e hardware pressionando apenas um botão. Hospede chaves de criptografia e execute operações criptográficas em HSMs com certificação FIPS 140-2 de nível 3. Use esse serviço totalmente gerenciado para proteger suas cargas de trabalho mais confidenciais sem precisar se preocupar com a sobrecarga operacional de gerenciar um cluster de HSM.

Ofereça suporte para chaves externas com o EKM

Criptografe dados no BigQuery e no Compute Engine com chaves de criptografia armazenadas e gerenciadas em um sistema de gerenciamento de chaves terceirizado que é implantado fora da infraestrutura do Google. O gerenciador de chaves externas permite que você mantenha a separação entre seus dados em repouso e as chaves de criptografia enquanto aproveita a eficiência da nuvem para fazer tarefas de computação e análise.

Tome a decisão final sobre quem acessa seus dados

As justificativas de acesso às chaves funcionam com o Cloud EKM para aumentar ainda mais o controle que você tem sobre seus dados. É o único produto que oferece visibilidade de todas as solicitações de chave de criptografia, uma justificativa para a solicitação e um mecanismo para aprovar ou rejeitar a descriptografia no contexto dessa solicitação. Esses controles são cobertos pelo compromisso do Google com a integridade e atualmente está na versão Beta.

Ver todos os recursos

Documentação

Documentação

Princípios básicos do Google Cloud
Documentação do Cloud Key Management Service

Aprenda a criar, importar e gerenciar chaves criptográficas e executar operações criptográficas usando um único serviço na nuvem.

Princípios básicos do Google Cloud
Documentação do Cloud HSM

Tenha uma visão geral do Cloud HSM e saiba como criar e usar chaves de criptografia protegidas pelo HSM no Cloud Key Management Service.

Princípios básicos do Google Cloud
Documentação do gerenciador de chaves externas do Cloud

Confira uma visão geral do gerenciador de chaves externas do Cloud (Cloud EKM, em inglês).

Whitepaper
Análise detalhada do Cloud Key Management Service

Saiba mais sobre o funcionamento da plataforma Cloud KMS e como ela ajuda a proteger as chaves e outros dados confidenciais que você armazena no Google Cloud.

Prática recomendada
Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) com o GKE

Aprenda a usar as chaves de criptografia gerenciadas pelo cliente (CMEK) no Google Kubernetes Engine (GKE).

Princípios básicos do Google Cloud
Como usar chaves de criptografia gerenciadas pelo cliente com o Cloud SQL

O recurso CMEK permite que você use suas próprias chaves criptográficas em dados em repouso no Cloud SQL, incluindo MySQL, PostgreSQL e SQL Server.

Princípios básicos do Google Cloud
Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) com o Dataproc

Veja como usar o CMEK para criptografar dados nos DPs associados às VMs no seu cluster do Dataproc e/ou no cluster de metadados.

Princípios básicos do Google Cloud
Como usar chaves de criptografia gerenciadas pelo cliente com o Data Fusion

Saiba como as chaves de criptografia gerenciadas pelo cliente oferecem ao usuário o controle sobre os dados gravados pelos pipelines do Cloud Data Fusion.

Casos de uso

Casos de uso

Caso de uso
Ajude a manter a conformidade regulatória

O Cloud KMS, junto com o Cloud HSM e o Cloud EKM, ajuda na manutenção de várias normas de conformidade que precisam de procedimentos e tecnologia de gerenciamento de chaves específicos. Isso acontece de maneira escalonável e na nuvem, sem prejudicar a agilidade da implementação da nuvem. Muitas normas precisam de criptografia de hardware (HSM), chaves separadas dos dados (EKM) ou chaves manuseadas com segurança, principalmente KMS. O gerenciamento de chave está em conformidade com o FIPS 140-2.

Caso de uso
Gerencie as chaves de criptografia em um hardware seguro

Clientes sujeitos aos regulamentos de conformidade talvez precisem armazenar as chaves e executar operações criptográficas em um dispositivo com certificação FIPS 140-2 de nível 3. Ao permitir que os clientes armazenem chaves em um HSM com certificação FIPS, eles poderão atender à demanda regulatória e manter a conformidade na nuvem. Isso também é essencial para aqueles que buscam um nível de segurança que o provedor de nuvem não pode alcançar ou exportar o material de chaves.

Caso de uso
Gerencie chaves de criptografia fora da nuvem

Clientes sujeitos aos requisitos de segurança regulatórios ou regionais precisam adotar a computação em nuvem enquanto possuírem as chaves de criptografia. O gerenciador de chaves externas permite que eles mantenham a separação entre os dados em repouso e as chaves de criptografia enquanto aproveitam a eficiência da nuvem para executar tarefas de computação e análise. Isso tudo devido à visibilidade total de quem tem acesso às chaves, quando elas foram usadas e onde estão localizadas.

Arquitetura de referência do EKM: fluxo de usuários do Google Cloud para BigQuery e Compute Engine, todos ligados a três ferramentas de gerenciamento de chaves, serviço de gerenciamento de chaves externo e um gerenciador de chaves de terceiros (externo).
Caso de uso
Justificativas de acesso à chave e fluxo de dados do EKM

As justificativas de acesso chave dão aos clientes do Google Cloud a visibilidade de todas as solicitações de uma chave de criptografia, uma justificativa para essa solicitação e um mecanismo para aprovar ou recusar a descriptografia no contexto dela. Os casos de uso focam na aplicação e na visibilidade do acesso aos dados.

Diagrama de KAJ: à esquerda, o retângulo cinza indica "Acesso" após a descriptografia pelo Gerenciador de chaves externo e quatro caixas empilhadas: "Acesso de clientes", "Acesso administrativo", "Acesso binário" e "Dados do cliente" (criptografados). Os três primeiros fluxos na coluna "Exemplo de justificativas", os três fluxos rotulados (1): CUSTOMER_INITIATED_ACCESS, (2) um dos CUSTOMER_INITIATED_SUPPORT, GOOGLE_INITIATED_SERVICE, MAXIMUM_PARTY_DATA_REQUEST, GOOGLE_INITIATED_REVIEW e (3) GOOGLE_INITIATED_SYSTEM_OPERATION. Esses três fluxos são direcionados à caixa do Gerenciador de chaves externo do cliente em uma coluna chamada Cliente.
Caso de uso
Criptografia de dados onipresente

Criptografe dados com facilidade ao enviá-los para a nuvem usando uma solução de gerenciamento de chaves externa, de modo que apenas um serviço de VM confidencial possa descriptografá-los e computá-los.

Fluxo da esquerda para a direita de acesso após a descriptografia pelo gerenciador de chaves externo. O acesso do cliente flui para o gerenciador de chaves externo do cliente. O acesso administrativo, seja o suporte iniciado pelo cliente, o serviço iniciado pelo Google, a solicitação de dados de terceiros ou a avaliação iniciada pelo Google, flui para o EKM do cliente. Acesso binário, operação do sistema iniciada pelo Google, flui para o EKM do cliente. Os dados do cliente criptografados permanecem inacessíveis.

Todos os recursos

Todos os recursos

Compatibilidade com chaves simétricas e assimétricas Com o Cloud KMS, você pode gerar, usar, alternar e destruir chaves criptográficas simétricas (AES256) e assimétricas (RSA 2048, RSA 3072, RSA 4096, EC P256 e EC P384). Com o HSM, você criptografa, descriptografa e assina com chaves criptográficas simétricas (AES-256) e assimétricas (RSA 2048, RSA 3072, RSA 4096, EC P256 e EC P384).
Crie chaves externas com o EKM Gere suas chaves externas usando um destes gerenciadores de chaves: Equinix, Fortanix, Ionic, Thales e Unbound. Assim que você vincular suas chaves externas ao Cloud KMS, será possível usá-las para proteger dados em repouso no BigQuery e no Compute Engine.
Atraso para a destruição da chave O Cloud KMS tem um atraso padrão de 24 horas para a destruição de materiais de chave, para evitar a perda acidental ou mal-intencionada de dados.
Criptografe e descriptografe via API O Cloud KMS é uma API REST que pode usar uma chave para criptografar, descriptografar ou assinar dados, como secrets para armazenamento.
Alta disponibilidade global O Cloud KMS está disponível em vários locais do mundo e em diversas multirregiões. Assim, é possível colocar seu serviço onde você quiser para diminuir a latência e aumentar a disponibilidade.
Alterne chaves automaticamente ou quando quiser O Cloud KMS permite que você defina uma programação de alternância para chaves simétricas para gerar automaticamente uma nova versão da chave após um intervalo fixo. É possível manter ativas várias versões de uma chave simétrica a qualquer momento para descriptografia, com apenas uma versão de chave primária usada para criptografar novos dados. Com o EKM, crie uma chave gerenciada externamente diretamente do console do Cloud KSM.
Atestado com estado com HSM Com o Cloud HSM, você consegue verificar se uma chave foi criada no HSM com tokens de atestado gerados para operações de criação de chave.
Integração com GKE Criptografe secrets do Kubernetes na camada do aplicativo no GKE com chaves que você gerencia no Cloud KMS. Além disso, é possível armazenar chaves de API, senhas, certificados e outros dados confidenciais com o sistema de armazenamento Secret Manager.
Mantenha a separação dos dados-chave Com o EKM, mantenha seus dados em repouso e suas chaves de criptografia separados enquanto aproveita a eficiência da nuvem para fazer tarefas de computação e análise.
Residência de dados de chave Ao usar o Cloud KMS, suas chaves criptográficas serão armazenadas na região em que você implantar o recurso. Você também tem a opção de armazenar essas chaves dentro de um módulo de segurança em um hardware físico na região que você escolheu com o Cloud HSM.
Importação de chave Talvez você esteja usando chaves criptográficas que foram criadas nas suas instalações ou em um sistema de gerenciamento de chaves externo.  É possível importá-las para chaves do Cloud HSM ou importar chaves de software no Cloud KMS.
Acesso justificado Saiba o motivo exato de cada solicitação de descriptografia que muda o estado de seus dados de "em repouso" para "em uso" com as Justificativas do acesso às chaves (Beta).
Política automatizada As Justificativas do acesso às chaves (Beta) permitem definir políticas que aprovam ou recusam o acesso a chaves com base em justificativas específicas. Deixe que seu gerenciador de chaves externas, fornecidos pelos parceiros de tecnologia do Google Cloud, tomem conta do resto.
Compromisso com a integridade Os controles oferecidos pelas Justificativas do acesso às chaves são cobertos pelos compromissos de integridade do Google, o que aumenta ainda mais a confiabilidade.

Preços

Preços

O Cloud Key Management Service cobra pelo uso e varia com base nos produtos a seguir: Cloud Key Management Service, Cloud External Key Manager e Cloud HSM.

Produto Preço (US$)
Cloud KMS: versões ativas das chaves US$ 0,06 por mês
Cloud KMS: operações de uso das chaves (criptografar/descriptografar) US$ 0,03 por 10.000 operações
Cloud KMS: operações de administração de chaves gratuito
Cloud HSM: versões das chaves (AES256, RSA2048) US$ 1,00 por mês
Cloud HSM: versões das chaves (RSA 3072, RSA 4096)

0 a 2000 versões de chave: US$ 2,50 por mês

2001 versões de chave ou mais: US$ 1,00 por mês

Cloud HSM: versões das chaves (EC P256, EC P384)

0 a 2000 versões de chave: US$ 2,50 por mês

2.001 versões de chaves ou mais: US$ 1,00 por mês

Cloud EKM: versões de chave US$ 3,00 por mês
Cloud EKM: operações de uso das chaves US$ 0,03 por 10.000 operações

Se você não paga em dólar americano, valem os preços na sua moeda local listados na página SKUs do Google Cloud.

Parceiros

Parceiros

Implemente o External Key Manager com um destes fornecedores de gerenciamento de chaves líderes do setor.