Arquitectura de Cloud HSM

Este contenido se actualizó por última vez en enero del 2025 y representa la situación en el momento en que se redactó. Es posible que los sistemas y las políticas de seguridad de Google cambien a medida que mejoramos la protección de nuestros clientes.

Cloud HSM forma parte de la arquitectura de Cloud Key Management Service (Cloud KMS) y proporciona el backend para aprovisionar y gestionar claves protegidas por hardware. Para ayudarte a cumplir las normativas de cumplimiento y de tu empresa, Cloud HSM te permite generar tus claves de encriptado y realizar operaciones criptográficas en módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 de nivel 3.

En este documento se describe la arquitectura de Cloud HSM, incluido cómo se gestiona el hardware y cómo se certifican y se crean las claves. Para obtener más información sobre Cloud KMS, consulta Encriptado de Cloud Key Management Service.

Información general

Las operaciones criptográficas incluyen lo siguiente:

• Encriptar datos en reposo
• Protección de las claves privadas del Servicio de Autoridades de Certificación
• Proteger las claves de encriptado de datos para que se puedan almacenar junto con los datos encriptados
• Generar y usar claves asimétricas para operaciones criptográficas, como firmas digitales y autenticación

Cloud HSM usa HSMs Marvell LiquidSecurity (modelos CNL3560-NFBE-2.0-G y CNL3560-NFBE-3.0-G) con las versiones de firmware 3.4 build 09. Para obtener más información sobre nuestra certificación, consulta el certificado n.º 4399. Para obtener información sobre los dispositivos HSM y las claves protegidas por hardware, consulta Atestación de claves.

Cloud HSM está totalmente gestionado, por lo que puedes proteger tus cargas de trabajo sin los costes innecesarios que se derivan de la gestión de clústeres de HSM. El servicio ofrece las siguientes ventajas:

• Disponibilidad mundial
• Una API coherente y unificada
• Escalado automático en función de tu uso
• Gestión centralizada y cumplimiento de normativas

Cloud HSM está disponible en todas las Google Cloud regiones del mundo, incluidas las multirregiones que abarcan zonas geográficas más amplias. Debes usar el endpoint del servicio Cloud KMS para crear y usar claves protegidas por hardware en Cloud HSM con el fin de proteger tus datos, incluidos los que almacenes en otrosGoogle Cloud servicios, como BigQuery, Cloud Storage y Persistent Disk.

Con Cloud HSM, puedes usar claves protegidas por hardware sin tener que gestionar el hardware de HSM. Google es el propietario y el gestor del hardware del HSM, lo que incluye la implementación, la configuración, la monitorización, la aplicación de parches y el mantenimiento. Cuando usas Cloud HSM, tus datos están estrictamente aislados de otros clientes y servicios en Google Cloud. La API del plano de datos de Cloud HSM, que forma parte de la API de Cloud Key Management Service, te permite gestionar claves protegidas por hardware mediante programación.

Cloud HSM admite Autokey de Cloud KMS y claves de cifrado gestionadas por el cliente (CMEK) protegidas por hardware, en cualquier servicio que admita claves CMEK. Google Cloud Por ejemplo, puedes cifrar datos en segmentos de Cloud Storage o tablas de Cloud SQL con una clave de Cloud HSM que gestiones.

Gestión de Cloud HSM

En Cloud HSM, los clústeres de HSMs los mantienen los ingenieros de fiabilidad de sitios (SREs) y los técnicos de Google que trabajan en cada Google Cloud ubicación de centro de datos. Google se encarga de la seguridad física y lógica, la infraestructura, la planificación de la capacidad, la expansión geográfica y la planificación de recuperación ante desastres de los centros de datos.

Abstracción del hardware de HSM

Normalmente, las aplicaciones se comunican directamente con los HSMs mediante PKCS#11 y una API de gestión de clústeres. Para esta comunicación, debes mantener un código especializado para las cargas de trabajo que usen o gestionen claves protegidas por hardware.

Cloud HSM abstrae la comunicación del HSM al redirigir las solicitudes de claves protegidas por hardware a través de la API de Cloud Key Management Service. La abstracción reduce la necesidad de código específico del HSM. Cloud HSM hereda la estrecha integración con Cloud KMS.

La estrecha integración con Cloud KMS ofrece importantes ventajas de seguridad. La API Cloud Key Management Service reduce significativamente la amplitud de la interfaz HSM, lo que disminuye el riesgo en caso de que se produzca una brecha de seguridad en el cliente. Por ejemplo, un atacante no podría borrar HSMs completos. De forma predeterminada, los intentos de destruir claves individuales se mitigan mediante un periodo de seguridad predeterminado de 30 días. Puedes definir la política de organización constraints/cloudkms.minimumDestroyScheduledDuration para implementar una duración mínima de programación para la destrucción de las claves nuevas y la política de organización constraints/cloudkms.disableBeforeDestroy para eliminar las versiones de clave solo cuando estén inhabilitadas. Para obtener más información, consulta Controlar la destrucción de versiones de clave.

Puedes controlar el acceso a los recursos de HSM mediante Gestión de Identidades y Accesos (IAM). Es menos probable que la configuración de IAM tenga errores y fallos que una solución HSM personalizada.

En el siguiente diagrama se muestra la arquitectura de Cloud HSM.

Separación geográfica estricta por diseño

En Cloud HSM, puedes elegir si quieres que las claves estén disponibles en todo el mundo o si quieres aplicar restricciones geográficas estrictas a las claves que lo requieran.

A menudo, los HSMs se dividen en particiones para que un solo dispositivo físico pueda funcionar como varios dispositivos lógicos. Puedes usar particiones para reducir los costes de implementación en los casos en los que necesites separar la administración de HSM y las claves. En el siguiente diagrama se muestran las particiones de tres regiones.

Para aislar las claves de cada región y multirregión, cada región de Cloud HSM se asocia a una clave de envoltorio regional de HSM independiente (consulta el diagrama en Crear claves). Para admitir la alta disponibilidad, la clave de envoltorio se clona en particiones de cada HSM que se encuentra físicamente en la región. Las claves regionales de HSM no salen del HSM de esa ubicación. La clonación permite que los HSMs de la misma región usen el mismo conjunto de claves de clientes y asegura que los HSMs de fuera de la región no puedan usar esas claves.

Cloud HSM también crea multirregiones mediante claves de envoltorio. Todas las claves de cliente de una multirregión se encapsulan con una clave de encapsulado presente en una partición de todas las ubicaciones que constituyen la multirregión. El servicio usa el mismo hardware para las multirregiones, pero ofrece el mismo aislamiento sólido entre regiones y multirregiones que existe entre las distintas regiones.

El esquema de regionalización requiere que las claves de envoltorio solo se repliquen en las particiones adecuadas. Cada cambio de configuración debe ser aprobado por varios miembros del equipo de Cloud HSM antes de que se active. Los técnicos del centro de datos no pueden acceder a la configuración, el tiempo de ejecución ni el almacenamiento de un HSM.

Gestión centralizada

En un centro de datos convencional que aloja HSMs, la gestión de los HSMs y sus recursos es totalmente independiente de la gestión de otras claves protegidas por hardware. Cloud HSM está estrechamente integrado en Google Cloud, lo que te permite gestionar tus recursos de Cloud HSM sin problemas. Por ejemplo, puedes gestionar lo siguiente:

• Puedes gestionar tus claves protegidas por hardware junto con otras claves en Cloud KMS y las claves gestionadas de forma externa en Cloud External Key Manager (Cloud EKM).
• Gestionas el acceso a las claves protegidas por hardware en Gestión de identidades y accesos.
• Los costes de las operaciones criptográficas que usan claves protegidas por hardware se registran en Facturación de Cloud.
• Puedes usar claves protegidas por hardware de forma transparente en todos los Google Cloudservicios que admitan el cifrado de recursos con CMEK. Las integraciones de CMEK requieren que la clave de CMEK y los datos que cifra se encuentren en ubicaciones geográficas compatibles. Debido a la estricta restricción geográfica de las claves de Cloud HSM, todo el cifrado y descifrado de los datos de CMEK también están restringidos geográficamente.
• Las operaciones administrativas en claves protegidas por hardware siempre se registran en la capa de la API de los registros de auditoría de Cloud. También puede habilitar el registro de acceso a datos. Para obtener más información, consulta el artículo sobre los registros de auditoría de Cloud KMS.
• Google trabaja directamente con el fabricante del HSM para mantener actualizados el hardware y el software de cada HSM, así como para detectar y solucionar problemas en tiempo real. En caso de que se produzca una vulnerabilidad de día cero en el HSM, Google puede inhabilitar de forma selectiva las rutas de código afectadas en los clústeres de HSM afectados hasta que se corrija la vulnerabilidad.
• Puedes monitorizar tus claves, incluidas las protegidas por hardware y los recursos que cifran, mediante los paneles de control de monitorización del uso de claves.

Experiencia de desarrolladores y usuarios

Como Google se encarga de la gestión de los HSMs, Cloud HSM ofrece ventajas significativas a los desarrolladores y usuarios finales.

HSMs a escala de Google

Si dependes de hardware que se encuentra en las instalaciones o en centros de datos, este puede crear un cuello de botella en el rendimiento o convertirse en un único punto de fallo. Cloud HSM se ha diseñado para ser extremadamente resistente a cargas de trabajo impredecibles y a fallos de hardware. El backend de Cloud HSM usa un grupo de HSMs en cada región para asegurar una alta disponibilidad y escalabilidad. Este conjunto de HSMs permite que Cloud HSM también proporcione un alto rendimiento. Para obtener más información, consulta Monitorizar y ajustar las cuotas de Cloud KMS.

Todas las claves de clientes se almacenan encapsuladas con una clave de encapsulado regional en la base de datos de Cloud KMS y solo se pueden desencapsular mediante un HSM de la región como parte de una operación criptográfica. Este envoltorio tiene las siguientes ventajas:

• La durabilidad de una clave no está vinculada a un HSM específico ni a un subconjunto de HSMs de una región.
• Cada cliente de Cloud HSM disfruta de la escala y la disponibilidad completas de los clústeres de Cloud HSM que sirven sus claves.
• Cloud HSM puede gestionar un conjunto de claves mucho mayor que las que se pueden almacenar en un HSM.
• Añadir o sustituir un HSM es un proceso rápido y seguro.

Diseño de APIs unificado

Cloud HSM y Cloud KMS comparten una API de plano de datos y gestión común. Los detalles internos de la comunicación con un HSM se abstraen del llamante.

Por lo tanto, no es necesario modificar el código para actualizar una aplicación que use claves de software en Cloud KMS para que admita claves protegidas por hardware. En su lugar, actualiza el nombre de recurso de la clave que quieras usar.

Compatibilidad con PKCS#11

Puedes usar la API Cloud Key Management Service para conectar tus aplicaciones a Cloud HSM y gestionar claves criptográficas. La biblioteca PKCS#11 te permite usar claves protegidas por hardware para firmar tus archivos binarios y servir sesiones web TLS.

Seguridad y cumplimiento de normativas

Cloud HSM ha obtenido el cumplimiento de numerosas normativas, como FedRAMP High, C5:2020 y OSPAR. Además, Cloud HSM te ayuda a cumplir los requisitos normativos de tus cargas de trabajo en la nube.

Confirmación de claves criptográficas

Cada vez que generas o importas una clave de Cloud HSM, el HSM genera una declaración de atestación que se firma con una clave de firma asociada a la partición. La declaración contiene información sobre los atributos de tu clave. La clave de firma está respaldada por cadenas de certificados que tienen su origen tanto en Google como en el fabricante del HSM. Puedes descargar la declaración de atestación y los certificados para verificar la autenticidad de la declaración y validar las propiedades de la clave y del HSM que la generó o importó.

La cadena de certificados te permite comprobar lo siguiente:

• El hardware y el firmware del HSM son originales.
• Google gestiona la partición y el HSM.
• El HSM está en modo de funcionamiento FIPS.

El contenido de la declaración de certificación te permite comprobar lo siguiente:

• La clave no se puede extraer.
• La clave se ha generado para tu CryptoKeyVersion.
• La clave pública de un par de claves asimétricas corresponde a una clave privada protegida por hardware.
• El material de clave de una clave simétrica importada coincide con el valor que has encapsulado.

Importación segura de claves directamente en HSMs

Puedes importar de forma segura claves a Cloud HSM para mantener una copia de seguridad de tu material de claves fuera de Google Cloudo para simplificar la migración de determinadas cargas de trabajo a Google Cloud. El proceso de importación de claves no permite que Google tenga acceso directo al material de claves desencapsulado. Cloud HSM te proporciona una declaración de atestación de la clave de envoltorio generada por el HSM para validar que no se ha producido ningún acceso.

Como la importación de claves puede crear riesgos de seguridad y cumplimiento al permitir que los usuarios traigan claves de fuentes desconocidas, los roles de gestión de identidades y accesos independientes permiten controlar de forma pormenorizada quién puede importar claves a un proyecto. Las claves importadas se pueden distinguir por la declaración de certificación que genera el HSM al importarlas.

Para obtener más información, consulta el artículo sobre cómo importar una clave en Cloud Key Management Service.

Procedimientos de seguridad estrictos para proteger el hardware del HSM

Tal como se exige en el nivel 3 de FIPS 140-2, los dispositivos HSM tienen mecanismos integrados para ayudar a protegerse contra las manipulaciones físicas y proporcionar pruebas de ellas.

Además de las garantías que ofrece el propio hardware del HSM, la infraestructura de Cloud HSM se gestiona de acuerdo con la descripción general del diseño de la seguridad de la infraestructura de Google.

Los siguientes procedimientos documentados y auditables protegen la integridad de cada HSM durante el aprovisionamiento, la implementación y la producción:

• Varias personas del equipo de ingenieros de fiabilidad de sitios de Cloud HSM deben verificar todas las configuraciones de HSM antes de que se pueda implementar el HSM en un centro de datos.
• Una vez que se pone en servicio un HSM, solo varios ingenieros de fiabilidad de sitios de Cloud HSM pueden iniciar y verificar los cambios en la configuración.
• Un HSM solo puede recibir firmware firmado por el fabricante del HSM.
• El hardware de HSM no está expuesto directamente a ninguna red.
• Los servidores que alojan hardware HSM no pueden ejecutar procesos no autorizados.

Las tareas de los operadores del sistema se definen en los procedimientos operativos estándar. Los operadores del sistema no pueden acceder, usar ni extraer material de claves de clientes mientras realizan sus tareas.

Aislamiento de servicios y clientes

La arquitectura de Cloud HSM asegura que los HSMs estén protegidos frente a interferencias malintencionadas o involuntarias de otros servicios o inquilinos.

Un HSM que forma parte de esta arquitectura solo acepta solicitudes de Cloud HSM, y el servicio de Cloud HSM solo acepta solicitudes del servicio de Cloud KMS. El servicio Cloud KMS comprueba que los llamadores tengan los permisos de gestión de identidades y accesos adecuados en las claves que intentan usar. Las solicitudes no autorizadas no llegan a los HSMs.

Las claves protegidas por hardware también están sujetas a cuotas para las operaciones criptográficas. Estas cuotas protegen tu capacidad para ejecutar tus cargas de trabajo, ya que ayudan a evitar intentos inadvertidos o maliciosos de sobrecargar el servicio. Las cuotas predeterminadas se basan en los patrones de uso observados. Las cuotas son significativamente inferiores a la capacidad del servicio y se pueden aumentar si se solicita.

Flujos de solicitudes

En esta sección se muestra cómo se aplica la arquitectura de Cloud HSM en la práctica mostrando los pasos de diferentes tipos de solicitudes. Estos flujos destacan las partes de Cloud HSM. Para obtener más información sobre los pasos comunes a todas las claves, consulta el artículo Información pormenorizada sobre Cloud Key Management Service.

Crear claves

Cuando creas una clave protegida por hardware, la API de Cloud Key Management Service no crea el material de la clave, sino que solicita que lo cree el HSM.

Un HSM solo puede crear claves en las ubicaciones que admite. Cada partición de un HSM contiene una clave de envoltorio correspondiente a una ubicación de Cloud KMS. La clave de envoltorio se comparte entre todas las particiones que admiten la ubicación de Cloud KMS.

En el siguiente diagrama se muestra cómo se encapsulan las claves protegidas por hardware en Cloud KMS.

El proceso de creación de claves es el siguiente:

1. El servicio Google Front End (GFE) enruta la solicitud de creación de claves a un servidor de Cloud KMS en la ubicación que corresponda a la solicitud.
2. La API Cloud Key Management Service verifica la identidad de la persona que llama, su permiso para crear claves en el proyecto y que tenga suficiente cuota de solicitudes de escritura.
3. La API Cloud Key Management Service reenvía la solicitud a Cloud HSM.
4. Cloud HSM interactúa directamente con el HSM. El HSM:
   1. Crea la clave y la encapsula con la clave de encapsulado específica de la ubicación.
   2. Crea la declaración de certificación de la clave y la firma con la clave de firma de la partición.
5. Una vez que Cloud HSM devuelve la clave encapsulada y la certificación a Cloud KMS, la API de Cloud Key Management Service encapsula la clave encapsulada por HSM según la jerarquía de claves de Cloud KMS y, a continuación, la escribe en el proyecto.

Este diseño asegura que la clave no se pueda extraer ni usar fuera de un HSM, que no se pueda extraer del HSM y que solo exista en su estado sin envolver en las ubicaciones especificadas.

Operaciones criptográficas

Cuando realizas una operación criptográfica en Cloud KMS, no es necesario que sepas si estás usando una clave protegida por hardware o por software. Cuando la API de Cloud Key Management Service detecta que una operación implica una clave protegida por hardware, reenvía la solicitud a un HSM de la misma ubicación. A continuación, se indican los pasos para realizar una operación criptográfica:

1. El GFE enruta la solicitud a un servidor de Cloud KMS en la ubicación adecuada. La API Cloud Key Management Service verifica la identidad de la persona que llama, su permiso para acceder a la clave y realizar la operación, así como la cuota del proyecto para las operaciones criptográficas.
2. La API de Cloud Key Management Service recupera la clave encapsulada del almacén de datos y desencripta un nivel de encriptado mediante la clave maestra de Cloud KMS. La clave sigue encapsulada con la clave de encapsulado del HSM de la ubicación del KMS.
3. La API Cloud Key Management Service detecta que el nivel de protección es HSM y envía la clave parcialmente desencapsulada, junto con las entradas de la operación criptográfica, a Cloud HSM.
4. Cloud HSM interactúa directamente con el HSM. El HSM completa las siguientes operaciones:
   1. Comprueba que la clave envuelta y sus atributos no se hayan modificado.
   2. Desenvuelve la clave y la carga en el almacenamiento del HSM.
   3. Realiza la operación criptográfica y devuelve el resultado.
5. La API Cloud Key Management Service devuelve el resultado a la persona que ha realizado la llamada.

Las operaciones criptográficas que usan claves protegidas por hardware se realizan por completo en un HSM de la ubicación configurada, y solo el resultado es visible para el llamante.

En este diagrama se muestra la diferencia entre crear claves protegidas por hardware y claves protegidas por software en Cloud KMS.

Integraciones de CMEK

Todas las claves protegidas por hardware son CMEKs. Configurar un servicio habilitado para CMEK para que use claves de Cloud HSM es tan sencillo como elegir una clave con un nivel de protección de HSM al seguir las instrucciones específicas del servicio.

Cuando un llamante lee o escribe datos en un servicio habilitado para CMEK, no necesita permiso directo para usar la clave ni saber si la clave está almacenada en un HSM.

El mismo flujo de operaciones de CMEK se utiliza con claves protegidas por hardware y claves protegidas por software, con las siguientes excepciones cuando se usan claves protegidas por hardware:

• La solicitud del servicio habilitado para CMEK se inicia en la red de Google y no tiene que atravesar GFE.
• La API Cloud Key Management Service verifica que la cuenta de servicio del servicio habilitado para CMEK tenga los permisos adecuados para usar la clave. La API de Cloud Key Management Service no valida los permisos del usuario final del servicio habilitado para CMEK.

Cloud HSM es necesario si quieres usar Autokey para aprovisionar claves de Cloud KMS. Autokey permite que el agente de servicio de Cloud KMS aprovisione claves protegidas por hardware automáticamente cuando se soliciten. Para obtener más información, consulta Aprovisionamiento automático para CMEK.

Usar tus propios HSMs

Google gestiona los HSM que usa Cloud HSM. Sin embargo, en determinadas circunstancias, es posible que tu organización quiera usar sus propios HSMs para almacenar las claves protegidas por hardware de sus cargas de trabajo. Por ejemplo, usar tus propios HSMs puede ayudarte a migrar tus cargas de trabajo a Google Cloud.

Solo en determinadas ubicaciones, Google ofrece una infraestructura de HSM como servicio que proporciona operaciones con claves criptográficas para transacciones criptográficas seguras enGoogle Cloud. Los productos se conocen como Bare Metal Rack HSM y Bare Metal HSM. Con Bare Metal Rack HSM o Bare Metal HSM, compras y configuras tus propios HSMs y, a continuación, los envías a los centros de datos de Google para que Google los aloje. Mantienes el acceso lógico completo a tus HSMs y debes trabajar directamente con el proveedor de HSMs para gestionar tus dispositivos y solucionar los problemas que puedan surgir. Google proporciona seguridad física y de red, espacio en rack, energía e integración de red por un precio. Para obtener más información, consulta HSM de Bare Metal Rack y HSM de Bare Metal.

Siguientes pasos

Para obtener más información, consulta los siguientes recursos:

• Documentación de Cloud HSM
• Documentación de Cloud KMS
• Cifrado de Cloud Key Management Service
• Descripción general del diseño de seguridad de la infraestructura de Google
• Encriptado en reposo