Questi contenuti sono stati aggiornati a febbraio 2025 e rappresentano lo status quo al momento della loro redazione. I criteri e i sistemi di sicurezza di Google potranno variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.
Le chiavi di crittografia fornite dal cliente (CSEK) sono una funzionalità di Cloud Storage e Compute Engine. Se fornisci le tue chiavi di crittografia, Google le utilizza per proteggere le chiavi generate da Google che criptano e decriptano i tuoi dati.
Questo documento descrive il funzionamento e la protezione dei CSEK in Google Cloud.
Come funzionano i CSEK con Cloud Storage
Quando utilizzi le chiavi CSEK in Cloud Storage, le seguenti chiavi fanno parte del processo di wrapping:
- CSEK non elaborata:fornisci una CSEK non elaborata all'interno di una chiamata API. La chiave CSEK non elaborata viene trasmessa dal front-end di Google (GFE) alla memoria del sistema di archiviazione. Questa chiave è la chiave di crittografia della chiave (KEK) in Cloud Storage per i tuoi dati.
- Chiavi con wrapping dei blocchi di dati:la CSEK non elaborata viene utilizzata per il wrapping delle chiavi con wrapping dei blocchi di dati.
- Chiavi non elaborate dei blocchi di dati:le chiavi criptate dei blocchi di dati con wrapping avvolgono le chiavi non elaborate dei blocchi di dati in memoria. Le chiavi dei blocchi non elaborati vengono utilizzate per criptare i blocchi di dati archiviati nei sistemi di archiviazione. Queste chiavi vengono utilizzate come chiavi di crittografia dei dati (DEK) in Cloud Storage per i tuoi dati.
Il diagramma seguente mostra la procedura di wrapping delle chiavi.
La seguente tabella descrive le chiavi.
| Chiavi | Posizione di archiviazione | Scopo | Accessibile fino a quando |
|---|---|---|---|
CSEK non elaborata |
Memoria del sistema di archiviazione |
Protegge le chiavi di blocchi di dati criptate. |
L'operazione richiesta dal cliente (ad esempio |
Chiavi criptate di blocchi di dati |
Dispositivi di archiviazione |
Proteggono le chiavi dei blocchi non elaborati archiviate inattive. |
L'oggetto di archiviazione viene eliminato. |
Chiavi non elaborate di blocchi di dati |
Memoria dei dispositivi di archiviazione |
Proteggi i dati che leggi o scrivi sul disco. |
L'operazione richiesta dal cliente non viene completata |
Come funzionano i CSEK con Compute Engine
Quando utilizzi le CSEK in Compute Engine, le seguenti chiavi fanno parte del processo di wrapping:
- CSEK non elaborata:fornisci una CSEK non elaborata o una chiave con wrapping RSA all'interno di una chiamata API. Il CSEK viene trasmesso dal GFE al front-end del sistema di gestione dei cluster interno. Il sistema di gestione dei cluster è una raccolta di processi eseguiti con l'identità di un sistema di gestione dei cluster nell'infrastruttura di produzione di Google che implementa la logica per la gestione delle risorse di Compute Engine, ad esempio dischi e istanze VM.
- Chiave di wrapping asimmetrica di proprietà di Google:se viene fornita una chiave con wrapping RSA come CSEK, la chiave viene decriptata mediante una chiave di wrapping asimmetrica di proprietà di Google.
Chiave derivata da CSEK:la CSEK non elaborata viene combinata con un nonce crittografico per singolo disco permanente in modo da generare una chiave derivata da CSEK. Questa viene utilizzata come KEK in Compute Engine per i tuoi dati. Nel front-end del sistema di gestione dei cluster, sia la CSEK che la chiave derivata da CSEK vengono mantenute solo nella memoria del sistema di gestione dei cluster. La chiave derivata da CSEK viene utilizzata nella memoria del sistema di gestione dei cluster per annullare il wrapping delle chiavi con wrapping dei dischi memorizzate nei metadati delle istanze del sistema di gestione dei cluster e nei metadati del sistema di gestione delle istanze, quando è abilitato il riavvio automatico (questi metadati non sono uguali ai metadati delle istanze).
Chiavi non elaborate dei dischi: la chiave derivata da CSEK viene utilizzata per eseguire il wrapping delle chiavi non elaborate dei dischi quando viene creato un disco, nonché per annullare il wrapping delle chiavi non elaborate dei dischi durante l'accesso a un disco. Si verificano i seguenti eventi:
- Se è abilitato il riavvio automatico, le chiavi con wrapping dei dischi vengono memorizzate in modo permanente dal sistema di gestione dei cluster per tutta la durata della VM, in modo che la VM possa essere riavviata in caso di arresto anomalo. Le chiavi con wrapping dei dischi vengono sottoposte a wrapping con una chiave di wrapping simmetrica di proprietà di Google. Le autorizzazioni della chiave di wrapping ne consentono l'utilizzo solo da parte di Compute Engine. Se il riavvio automatico è disattivato, le chiavi con wrapping dei dischi vengono eliminate utilizzando la procedura di eliminazione descritta in Eliminazione dei dati suGoogle Cloud.
- Se è abilitata la migrazione live, la chiave non elaborata del disco viene passata dalla memoria dell'istanza VM precedente a quella della nuova istanza VM senza coinvolgere il sistema di gestione delle istanze o il sistema di gestione dei cluster nella copia della chiave.
Le chiavi non elaborate dei dischi vengono passate alla memoria del sistema di gestione dei cluster (CM), del sistema di gestione delle istanze e della VM. Queste chiavi vengono utilizzate come DEK in Compute Engine per i tuoi dati.
Il seguente diagramma mostra come funziona l'arrotondamento delle chiavi.
| Chiavi | Posizione | Scopo | Accessibile fino a quando |
|---|---|---|---|
CSEK non elaborata |
Front-end del sistema di gestione dei cluster |
Genera la chiave derivata da CSEK aggiungendo un nonce crittografico. |
L'operazione richiesta dal cliente (ad esempio |
CSEK criptata con chiave pubblica (se è utilizzato il wrapping delle chiavi RSA) |
Front-end del sistema di gestione dei cluster |
Genera la chiave derivata da CSEK mediante l'annullamento del wrapping con una chiave asimmetrica di proprietà di Google. |
L'operazione richiesta dal cliente è stata completata. |
Chiave asimmetrica di proprietà di Google (se è utilizzato il wrapping delle chiavi RSA) |
Archivio chiavi |
Rimuovi il wrapping della chiave RSA. |
Indefinitamente. |
Chiave derivata da CSEK |
Front-end del sistema di gestione dei cluster |
Cripta le chiavi dei dischi. |
L'operazione per eseguire o annullare il wrapping della chiave viene completata. |
Chiavi dei dischi con wrapping Google (se viene utilizzato il riavvio automatico) |
Front-end del sistema di gestione dei cluster |
Proteggono le chiavi dei dischi archiviate inattive per i dischi collegati a istanze in esecuzione. Riavviano l'istanza in caso di perdita della memoria della VM (ad es. in caso di arresti anomali dell'host). |
La VM è stata arrestata o eliminata. |
Chiavi non elaborate dei dischi |
Memoria del monitor delle macchine virtuali (VMM), memoria del sistema di gestione dei cluster |
Leggono o scrivono dati sul disco, eseguono la migrazione live della VM ed effettuano upgrade sul posto. |
La VM non viene arrestata o eliminata |
Chiave derivata da CSEK con wrapping Google |
Database del sistema di gestione dei cluster |
Riavvia l'operazione in caso di errore. |
L'operazione richiesta dal cliente non viene completata |
Come vengono protette le CSEK
Questa sezione fornisce informazioni su come le CSEK vengono protette su disco, quando vengono spostate all'interno dell' Google Cloud infrastruttura e in memoria.
Le CSEK non elaborate, le chiavi derivate da CSEK e le chiavi non elaborate dei dischi non vengono mai archiviate su disco senza essere criptate. Le chiavi non elaborate dei dischi vengono archiviate dopo essere state criptate con chiavi derivate da CSEK e con chiavi Google qualora sia abilitato il riavvio automatico. Google non archivia permanentemente le chiavi sui suoi server.
Ogni servizio utilizza le funzionalità di gestione degli accessi offerte dall'infrastruttura per specificare esattamente quali altri servizi possono comunicare con tale servizio. Il servizio è configurato con la lista consentita delle identità degli account di servizio consentite e questa restrizione dell'accesso viene quindi applicata automaticamente dall'infrastruttura. Google CloudPer ulteriori informazioni, consulta identità, integrità e isolamento dei servizi.
L'infrastruttura offre anche privacy e integrità crittografica per i dati RPC sulla rete. I servizi possono configurare il livello di protezione crittografica desiderato per ogni RPC dell'infrastruttura e sono abilitati per le CSEK. Per ulteriori informazioni, consulta la sezione Crittografia delle comunicazioni tra i carichi di lavoro.
Il materiale delle chiavi si trova nella memoria di vari sistemi, inclusa la memoria del sistema di gestione dei cluster e la memoria VMM. L'accesso alla memoria di questi sistemi avviene per eccezione (ad esempio in caso di incidente) ed è gestito da elenchi di controllo degli accessi. In questi sistemi, il dump della memoria è disabilitato o viene eseguita la scansione automatica del materiale delle chiavi nei dump della memoria. Per informazioni sulle protezioni di questi job, consulta In che modo Google protegge i suoi servizi di produzione.