Acerca del cifrado de disco

De forma predeterminada, Compute Engine cifra el contenido del cliente en reposo . Compute Engine usa automáticamente Google-owned and Google-managed encryption keyspara cifrar sus datos.

Sin embargo, puedes personalizar el cifrado que utiliza Compute Engine para tus recursos proporcionando claves de cifrado de claves (KEK) . Las claves de cifrado de claves no cifran directamente sus datos, sino que cifran losGoogle-owned and managed keys que Compute Engine utiliza para cifrar sus datos.

Tiene dos opciones para proporcionar claves de cifrado de claves:

  • Recomendado . Utilice claves de cifrado administradas por el cliente (CMEK) en Cloud KMS con Compute Engine. El uso de claves de Cloud KMS le brinda control sobre su nivel de protección, ubicación, cronograma de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también le permite realizar un seguimiento del uso de claves , ver registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea propietario y administre las claves de cifrado de claves simétricas (KEK) que protegen sus datos, usted controla y administra estas claves en Cloud KMS.

    Puede crear CMEK manualmente o puede usar Cloud KMS Autokey para crearlas automáticamente en su nombre.

    En la mayoría de los casos, después de crear un disco cifrado con CMEK, no necesita especificar la clave cuando trabaja con el disco.

  • Puedes administrar tus propias claves de cifrado de claves fuera de Compute Engine y proporcionar la clave cada vez que creas o administras un disco. Esta opción se conoce como claves de cifrado proporcionadas por el cliente (CSEK). Cuando administra recursos cifrados con CSEK, siempre debe especificar la clave que utilizó al cifrar el recurso.

Para obtener más información sobre cada tipo de cifrado, consulte Claves de cifrado administradas por el cliente y Claves de cifrado proporcionadas por el cliente .

Para agregar una capa adicional de seguridad a sus discos Hyperdisk Balanced, habilite el modo Confidencial . El modo confidencial agrega cifrado basado en hardware a sus discos Hyperdisk Balanced.

Tipos de discos compatibles

Esta sección enumera los tipos de cifrado admitidos para discos y otras opciones de almacenamiento que ofrece Compute Engine.

CMEK con clave automática de Cloud KMS

Si elige usar claves de Cloud KMS para proteger sus recursos de Compute Engine, puede crear CMEK manualmente o usar la clave automática de Cloud KMS para crear las claves. Con Autokey, los conjuntos de claves y claves se generan según demanda como parte de la creación de recursos en Compute Engine. Los agentes de servicio que utilizan las claves para las operaciones de cifrado y descifrado se crean si aún no existen y se les otorgan los roles de administración de identidad y acceso (IAM) necesarios. Para obtener más información, consulte Descripción general de Autokey .

Para aprender cómo usar CMEK creadas por Cloud KMS Autokey para proteger tus recursos de Compute Engine, consulta Uso de Autokey con recursos de Compute Engine .

Instantáneas

Cuando usas Autokey para crear claves para proteger tus recursos de Compute Engine, Autokey no crea nuevas claves para instantáneas. Debe cifrar una instantánea con la misma clave utilizada para cifrar el disco de origen. Si crea una instantánea usando la consola de Google Cloud, la clave de cifrado utilizada por el disco se aplica automáticamente a la instantánea. Si crea una instantánea con la CLI de gcloud, Terraform o la API de Compute Engine, debe obtener el identificador de recurso de la clave utilizada para cifrar el disco y luego usar esa clave para cifrar la instantánea.

Cifrar discos con claves de cifrado administradas por el cliente

Para obtener más información sobre cómo usar claves de cifrado administradas por el cliente (CMEK) creadas manualmente para cifrar discos y otros recursos de Compute Engine, consulte Proteger recursos mediante claves de Cloud KMS .

Cifrar discos con claves de cifrado proporcionadas por el cliente

Para aprender a usar claves de cifrado proporcionadas por el cliente (CSEK) para cifrar discos y otros recursos de Compute Engine, consulte Cifrado de discos con claves de cifrado proporcionadas por el cliente .

Ver información sobre el cifrado de un disco

Los discos en Compute Engine se cifran con uno de los siguientes tipos de claves de cifrado:

  • Google-owned and managed keys
  • Claves de cifrado administradas por el cliente (CMEK)
  • Claves de cifrado proporcionadas por el cliente (CSEK)

De forma predeterminada, Compute Engine usa Google-owned and managed keys.

Para ver el tipo de cifrado de un disco, puedes usar la CLI de gcloud, la consola de Google Cloud o la API de Compute Engine.

Consola

  1. En la consola de Google Cloud, vaya a la página Discos .

    Ir a discos

  2. En la columna Nombre , haga clic en el nombre del disco.

  3. En la tabla Propiedades , la fila denominada Cifrado indica el tipo de cifrado: administrado por Google , administrado por el cliente o proporcionado por el cliente .

nube de gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Usa el comando gcloud compute disks describe :

        gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"

    Reemplace lo siguiente:

    • PROJECT_ID : su ID de proyecto.
    • ZONE : la zona donde se encuentra su disco.

    • DISK_NAME : el nombre del disco.

      Salida del comando

      Si la salida es null , el disco usa un Google-owned and managed key.

      De lo contrario, la salida es un objeto JSON.

      Si el objeto JSON contiene un campo denominado diskEncryptionKey , el disco está cifrado. El objeto diskEncryptionKey contiene información sobre si el disco está cifrado con CMEK o CSEK:

      • Si la propiedad diskEncryptionKey.kmsKeyName está presente, el disco está cifrado con CMEK. La propiedad kmsKeyName indica el nombre de la clave específica utilizada para cifrar el disco: 
        {
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
      • Si la propiedad diskEncryptionKey.sha256 está presente, el disco está cifrado con CSEK. La propiedad sha256 es el hash SHA-256 de la clave de cifrado proporcionada por el cliente que protege el disco. 
          {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }

API

Realice una solicitud POST al método compute.disks.get . 

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Reemplace lo siguiente:

  • PROJECT_ID : su ID de proyecto.
  • ZONE : la zona donde se encuentra su disco.
  • DISK_NAME : el nombre del disco

Solicitar respuesta

Si la respuesta es null , el disco utiliza un Google-owned and managed key.

De lo contrario, la respuesta es un objeto JSON.

Si el objeto JSON contiene un campo denominado diskEncryptionKey , el disco está cifrado. El objeto diskEncryptionKey contiene información sobre si el disco está cifrado con CMEK o CSEK:

  • Si la propiedad diskEncryptionKey.kmsKeyName está presente, el disco está cifrado con CMEK. La propiedad kmsKeyName indica el nombre de la clave específica utilizada para cifrar el disco: 
    {
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
  • Si la propiedad diskEncryptionKey.sha256 está presente, el disco está cifrado con CSEK. La propiedad sha256 es el hash SHA-256 de la clave de cifrado proporcionada por el cliente que protege el disco. 
      {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }

Si el disco utiliza CMEK, puede encontrar información detallada sobre la clave, su conjunto de claves y su ubicación siguiendo los pasos en Ver claves por proyecto .

Si el disco utiliza CSEK, comuníquese con el administrador de su organización para obtener detalles sobre la clave. Con CMEK, también puede ver qué recursos protege esa clave con el seguimiento del uso de claves. Para obtener más información, consulte Ver uso de claves .

Modo confidencial para Hyperdisk equilibrado

Si utiliza Confidential Computing , puede extender el cifrado basado en hardware a sus volúmenes Hyperdisk Balanced habilitando el modo Confidential.

El modo confidencial para sus volúmenes Hyperdisk Balanced le permite habilitar seguridad adicional sin tener que refactorizar la aplicación. El modo confidencial es una propiedad que puede especificar al crear un nuevo volumen Hyperdisk Balanced.

Los volúmenes Hyperdisk Balanced en modo Confidencial solo se pueden usar con máquinas virtuales confidenciales.

Para crear un volumen Hyperdisk Balanced en modo Confidencial, siga los pasos en Crear un volumen Hyperdisk Balanced en modo Confidencial .

Tipos de máquinas admitidas para volúmenes Hyperdisk Balanced en modo confidencial

Los volúmenes Hyperdisk Balanced en modo Confidencial sólo se pueden usar con máquinas virtuales confidenciales que usan el tipo de máquina N2D .

Regiones admitidas para volúmenes Hyperdisk Balanced en modo confidencial

El modo confidencial para volúmenes Hyperdisk Balanced está disponible en las siguientes regiones:

  • europe-west4
  • us-central1
  • us-east4
  • us-east5
  • us-south1
  • us-west4

Limitaciones de los volúmenes Hyperdisk Balanced en modo confidencial

  • Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML y Hyperdisk Balanced High Availability no admiten el modo confidencial.
  • No puede suspender ni reanudar una máquina virtual que utilice volúmenes equilibrados de Hyperdisk en modo confidencial.
  • No puede utilizar grupos de almacenamiento de Hyperdisk con volúmenes equilibrados de Hyperdisk en modo confidencial.
  • No puede crear una imagen de máquina o una imagen personalizada desde un volumen Hyperdisk Balanced en modo Confidencial.

¿Qué sigue?