Konten ini terakhir diperbarui pada Februari 2025 dan menampilkan status quo pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Kunci enkripsi yang disediakan pelanggan (CSEK) adalah fitur di Cloud Storage dan Compute Engine. Jika Anda menyediakan kunci enkripsi sendiri, Google akan menggunakan kunci Anda untuk melindungi kunci yang dibuat oleh Google yang mengenkripsi dan mendekripsi data Anda.
Dokumen ini menjelaskan cara kerja CSEK dan cara CSEK dilindungi di Google Cloud.
Cara kerja CSEK dengan Cloud Storage
Saat Anda menggunakan CSEK di Cloud Storage, kunci berikut adalah bagian dari proses penggabungan:
- CSEK mentah: Anda memberikan CSEK mentah sebagai bagian dari panggilan API. Kunci CSEK mentah ditransmisikan dari Google Front End (GFE) ke memori sistem penyimpanan. Kunci ini adalah kunci enkripsi kunci (KEK) di Cloud Storage untuk data Anda.
- Kunci potongan yang digabungkan: CSEK mentah digunakan untuk menggabungkan kunci potongan yang digabungkan.
- Kunci potongan mentah: Kunci potongan gabungan menggabungkan kunci potongan mentah dalam memori. Kunci potongan mentah digunakan untuk mengenkripsi potongan data yang disimpan di sistem penyimpanan. Kunci ini digunakan sebagai kunci enkripsi data (DEK) di Cloud Storage untuk data Anda.
Diagram berikut menunjukkan proses key wrapping.
Tabel berikut menjelaskan kunci.
| Kunci | Disimpan di | Tujuan | Dapat diakses hingga |
|---|---|---|---|
CSEK Mentah |
Memori sistem penyimpanan |
Melindungi kunci potongan yang digabungkan. |
Operasi yang diminta pelanggan (misalnya, |
Kunci potongan yang digabungkan |
Perangkat penyimpanan |
Melindungi kunci potongan mentah yang disimpan dalam penyimpanan. |
Objek penyimpanan dihapus. |
Kunci potongan mentah |
Memori perangkat penyimpanan |
Melindungi data yang Anda baca atau tulis ke disk. |
Operasi yang diminta pelanggan telah selesai |
Cara kerja CSEK dengan Compute Engine
Saat Anda menggunakan CSEK di Compute Engine, kunci berikut adalah bagian dari proses penggabungan:
- CSEK mentah: Anda memberikan CSEK mentah atau kunci yang digabungkan RSA sebagai bagian dari panggilan API. CSEK dikirim dari GFE ke front-end pengelola cluster internal. Pengelola cluster adalah kumpulan proses yang berjalan di bawah identitas pengelola cluster di infrastruktur produksi Google yang menerapkan logika untuk mengelola resource Compute Engine seperti disk dan instance VM.
- Kunci penggabungan asimetris milik Google: Jika kunci yang digabungkan RSA disediakan sebagai CSEK, kunci tersebut akan dibuka menggunakan kunci penggabungan asimetris milik Google.
Kunci turunan CSEK: CSEK mentah digabungkan dengan nonce kriptografis per persistent disk untuk menghasilkan kunci turunan CSEK. Kunci ini digunakan sebagai KEK di Compute Engine untuk data Anda. Di frontend pengelola cluster, CSEK dan kunci turunan CSEK hanya disimpan di memori pengelola cluster. Kunci turunan CSEK digunakan di memori pengelola cluster untuk membuka kunci disk yang digabungkan yang disimpan di metadata instance pengelola cluster dan metadata pengelola instance, saat mulai ulang otomatis diaktifkan (metadata ini tidak sama dengan metadata instance).
Kunci disk mentah: Kunci turunan CSEK digunakan untuk menggabungkan kunci disk mentah saat membuat disk dan untuk membuka kunci disk mentah saat mengakses disk. Peristiwa berikut terjadi:
- Jika mulai ulang otomatis diaktifkan, kunci disk yang digabungkan akan disimpan secara persisten oleh pengelola cluster selama masa aktif VM sehingga VM dapat dimulai ulang jika terjadi error. Kunci disk yang digabungkan digabungkan dengan kunci gabungan simetris milik Google. Izin kunci wrapper memungkinkan kunci tersebut hanya digunakan oleh Compute Engine. Jika pengaktifan ulang otomatis dinonaktifkan, kunci disk yang digabungkan akan dihapus menggunakan proses penghapusan yang dijelaskan dalam Penghapusan data di Google Cloud.
- Jika migrasi langsung diaktifkan, kunci disk mentah akan diteruskan dari memori instance VM lama ke memori instance VM baru tanpa melibatkan pengelola instance atau pengelola cluster dalam penyalinan kunci.
Kunci disk mentah diteruskan ke memori pengelola cluster (CM), pengelola instance, dan VM. Kunci ini digunakan sebagai DEK di Compute Engine untuk data Anda.
Diagram berikut menunjukkan cara kerja key wrapping.
| Kunci | Dipegang oleh | Tujuan | Dapat diakses hingga |
|---|---|---|---|
CSEK Mentah |
Front end pengelola cluster |
Dapatkan kunci turunan CSEK dengan menambahkan nonce kriptografis. |
Operasi yang diminta pelanggan (misalnya, |
CSEK yang digabungkan dengan kunci publik |
Bagian depan Pengelola Cluster |
Dapatkan kunci turunan CSEK dengan terlebih dahulu membuka kunci dengan kunci asimmetrik milik Google. |
Operasi yang diminta pelanggan telah selesai. |
Kunci asimetris milik Google (saat penggabungan kunci RSA digunakan) |
Keystore |
Buka kunci yang digabungkan RSA. |
Tanpa batas. |
Kunci turunan CSEK |
Front end pengelola cluster |
Menggabungkan kunci disk. |
Operasi penggabungan atau penguraian kunci selesai. |
Kunci disk yang digabungkan Google (jika mulai ulang otomatis digunakan) |
Front end pengelola cluster |
Melindungi kunci disk yang disimpan dalam penyimpanan, untuk disk yang terpasang ke instance yang sedang berjalan. Mulai ulang instance jika memori VM hilang (misalnya, host mengalami error) |
VM dihentikan atau dihapus. |
Kunci disk mentah |
Memori Virtual Machine Monitor (VMM), memori pengelola cluster |
Membaca atau menulis data ke disk, melakukan migrasi langsung VM, dan melakukan upgrade di tempat |
VM dihentikan atau dihapus |
Kunci turunan CSEK yang digabungkan Google |
Database pengelola cluster |
Memulai ulang operasi jika terjadi kegagalan |
Operasi yang diminta pelanggan telah selesai |
Cara CSEK dilindungi
Bagian ini memberikan informasi tentang cara CSEK dilindungi di disk, saat berpindah di sekitar infrastruktur Google Cloud , dan di memori.
CSEK mentah, kunci turunan CSEK, dan kunci disk mentah tidak pernah disimpan di disk tanpa dienkripsi. Kunci disk mentah disimpan dalam bentuk gabungan dengan kunci turunan CSEK dan dengan kunci Google saat mulai ulang otomatis digunakan. Google tidak menyimpan kunci Anda secara permanen di servernya.
Setiap layanan menggunakan fitur pengelolaan akses yang disediakan oleh infrastruktur untuk menentukan dengan tepat layanan lain mana yang dapat berkomunikasi dengannya. Layanan dikonfigurasi dengan daftar yang diizinkan dari identitas akun layanan yang diizinkan, dan batasan akses ini kemudian diterapkan secara otomatis oleh infrastruktur Google Cloud. Untuk mengetahui informasi selengkapnya, lihat identitas, integritas, dan isolasi layanan.
Infrastruktur ini juga memberikan privasi dan integritas kriptografis untuk data RPC di jaringan. Layanan dapat mengonfigurasi tingkat perlindungan kriptografis yang diinginkan untuk setiap RPC infrastruktur, dan ini diaktifkan untuk CSEK. Untuk mengetahui informasi selengkapnya, lihat Enkripsi komunikasi antar-workload.
Materi kunci berada di berbagai memori sistem, termasuk memori pengelola cluster dan memori VMM. Akses ke memori sistem ini bersifat pengecualian (misalnya, sebagai bagian dari insiden) dan dikelola oleh daftar kontrol akses. Sistem ini telah menonaktifkan dump memori atau otomatis memindai materi kunci dalam dump memori. Untuk informasi tentang perlindungan terhadap tugas ini, lihat Cara Google melindungi layanan produksinya.