Dieser Artikel wurde zuletzt im Februar 2025 aktualisiert und stellt den Stand zum Zeitpunkt der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google können sich aber in Zukunft ändern, da wir den Schutz unserer Kundinnen und Kunden kontinuierlich verbessern.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs) sind ein Feature in Cloud Storage und Compute Engine. Wenn Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen, verwendet Google Ihre Schlüssel zum Schutz der von Google generierten Schlüssel, die zum Verschlüsseln und Entschlüsseln Ihrer Daten verwendet werden.
In diesem Dokument wird beschrieben, wie CSEKs funktionieren und wie sie inGoogle Cloudgeschützt werden.
Funktionsweise von CSEKs mit Cloud Storage
Wenn Sie vom Kunden bereitgestellte Verschlüsselungsschlüssel in Cloud Storage verwenden, sind die folgenden Schlüssel Teil des Verschlüsselungsverfahrens:
- Raw CSEK:Sie stellen einen Raw CSEK im Rahmen eines API-Aufrufs bereit. Der Roh-CSEK-Schlüssel wird vom Google Front End (GFE) an den Arbeitsspeicher des Speichersystems übertragen. Dieser Schlüssel ist der Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Cloud Storage für Ihre Daten.
- Verpackte Blockschlüssel: Der Standard-CSEK wird verwendet, um die verpackten Blockschlüssel zu verpacken.
- Blockschlüssel:Die verpackten Blockschlüssel umschließen die standardmäßigen Blockschlüssel im Arbeitsspeicher. Mit den Rohblockschlüsseln werden die Datenblöcke verschlüsselt, die in den Speichersystemen gespeichert sind. Sie werden in Cloud Storage als Datenverschlüsselungsschlüssel (DEK) für Ihre Daten verwendet.
Das folgende Diagramm zeigt den Schlüsselverschlüsselungsprozess.
In der folgenden Tabelle werden die Schlüssel beschrieben.
| Schlüssel | Speicherort | Zweck | Zugänglich, bis |
|---|---|---|---|
Standard-CSEK |
Arbeitsspeicher des Speichersystems |
Schützt die verpackten Blockschlüssel. |
Der vom Kunden angeforderte Vorgang (z. B. |
Verpackte Blockschlüssel |
Speichergeräte |
Schutz von inaktiven gespeicherten Rohblockschlüsseln. |
das Speicherobjekt gelöscht ist. |
Standardmäßige Blockschlüssel |
Arbeitsspeicher der Speichergeräte |
Schützen Sie die Daten, die Sie auf das Laufwerk lesen oder darauf schreiben. |
der vom Kunden angeforderte Vorgang abgeschlossen ist. |
Funktionsweise von CSEKs mit der Compute Engine
Wenn Sie vom Kunden bereitgestellte Verschlüsselungsschlüssel in der Compute Engine verwenden, sind die folgenden Schlüssel Teil des Verschlüsselungsverfahrens:
- Standard-CSEK:Sie stellen einen Standard-CSEK oder einen RSA-verpackten Schlüssel im Rahmen eines API-Aufrufs bereit. Der CSEK wird vom GFE an das Frontend des internen Clustermanagers übertragen. Der Clustermanager ist eine Sammlung von Prozessen, die unter einer Clustermanager-Identität in der Produktionsinfrastruktur von Google ausgeführt werden und die Logik zum Verwalten von Compute Engine-Ressourcen wie Laufwerken und VM-Instanzen implementieren.
- Asymmetrischer Verpackungsschlüssel von Google:Wenn als CSEK ein mit RSA verpackter Schlüssel bereitgestellt wird, wird der Schlüssel mit einem asymmetrischen Verpackungsschlüssel von Google entpackt.
CSEK-abgeleiteter Schlüssel:Der Standard-CSEK wird mit einer kryptografischen Nonce pro nichtflüchtigem Speicher kombiniert, um einen CSEK-abgeleiteten Schlüssel zu generieren. Dieser Schlüssel wird in der Compute Engine als KEK für Ihre Daten verwendet. Im Clustermanager-Front-End werden sowohl der CSEK als auch der CSEK-abgeleitete Schlüssel nur im Arbeitsspeicher des Clustermanagers vorgehalten. Der CSEK-abgeleitete Schlüssel wird im Arbeitsspeicher des Clustermanagers zum Entpacken der verpackten Laufwerksschlüssel verwendet, die in den Metadaten der Clustermanagerinstanz und des Instanzmanagers gespeichert sind, wenn der automatische Neustart aktiviert ist (diese Metadaten sind nicht mit den Instanzmetadaten identisch).
Standard-Laufwerksschlüssel: Der vom CSEK abgeleitete Schlüssel wird zum Verpacken von Standard-Laufwerksschlüsseln beim Erstellen eines Laufwerks sowie zum Entpacken von Standard-Laufwerksschlüsseln beim Zugriff auf ein Laufwerk verwendet. Die folgenden Ereignisse treten auf:
- Wenn der automatische Neustart aktiviert ist, werden die verpackten Laufwerksschlüssel vom Clustermanager für die Lebensdauer der VM beibehalten, sodass die VM bei einem Absturz neu gestartet werden kann. Die verpackten Laufwerksschlüssel werden mit einem symmetrischen Google-Verpackungsschlüssel verpackt. Aufgrund der Berechtigungen des Verschlüsselungsschlüssels kann er nur von der Compute Engine verwendet werden. Wenn der automatische Neustart deaktiviert ist, werden die verpackten Laufwerksschlüssel mit dem Löschvorgang gelöscht, der unter Datenlöschung aufGoogle Cloud beschrieben ist.
- Wenn die Live-Migration aktiviert ist, wird der Standard-Laufwerksschlüssel vom Arbeitsspeicher der alten VM-Instanz an den Arbeitsspeicher der neuen VM-Instanz übergeben. Dabei sind weder der Instanzmanager noch der Clustermanager am Kopieren des Schlüssels beteiligt.
Die standardmäßigen Laufwerksschlüssel werden an den Arbeitsspeicher des Clustermanagers, des Instanzmanagers und der virtuellen Maschine übergeben. Diese Schlüssel werden in der Compute Engine als DEK für Ihre Daten verwendet.
Das folgende Diagramm zeigt, wie das Schlüssel-Wrapping funktioniert.
| Schlüssel | Gehalten von | Zweck | Zugänglich, bis |
|---|---|---|---|
Standard-CSEK |
Clustermanager-Front-End |
Der CSEK-abgeleitete Schlüssel wird durch Hinzufügen einer kryptografischen Nonce abgeleitet. |
der vom Kunden angeforderte Vorgang (z. B. |
Mit öffentlichen Schlüsseln verpackter CSEK (wenn die RSA-Schlüsselverpackung verwendet wird) |
Clustermanager-Front-End |
Der CSEK-abgeleitete Schlüssel wird abgeleitet, indem er zuerst mit einem asymmetrischen Google-Schlüssel entpackt wird. |
der vom Kunden angeforderte Vorgang abgeschlossen ist. |
Google gehörender asymmetrischer Schlüssel (wenn die RSA-Schlüsselverpackung verwendet wird) |
Schlüsselspeicher |
Entpacken Sie den mit RSA verpackten Schlüssel. |
Unbegrenzt. |
CSEK-abgeleiteter Schlüssel |
Clustermanager-Front-End |
Verpackt die Laufwerksschlüssel. |
die Schlüsselverpackung und -entpackung abgeschlossen ist. |
Google-verpackte Laufwerkschlüssel (bei Verwendung des automatischen Neustarts) |
Clustermanager-Front-End |
Schutz von inaktiven gespeicherten Laufwerksschlüsseln für Laufwerke, die an ausgeführte Instanzen angehängt sind. Neustart der Instanz, wenn der VM-Arbeitsspeicher gelöscht wurde (z. B. bei einem Absturz des Hosts) |
die VM angehalten oder gelöscht wird. |
Standardmäßige Laufwerksschlüssel |
VMM-Arbeitsspeicher (Virtual Machine Monitor), Clustermanager-Arbeitsspeicher |
Daten auf dem Laufwerk lesen oder schreiben, VM live migrieren und direkte Upgrades ausführen |
die VM angehalten oder gelöscht wird. |
Von Google verpackter, CSEK-abgeleiteter Schlüssel |
Clustermanager-Datenbank |
Neustart des Vorgangs im Falle eines Fehlers. |
der vom Kunden angeforderte Vorgang abgeschlossen ist. |
So werden CSEK geschützt
In diesem Abschnitt finden Sie Informationen zum Schutz der vom Kunden bereitgestellten Verschlüsselungsschlüssel a) auf dem Laufwerk, b) während sie in der Google Cloud -Infrastruktur verschoben werden sowie c) im Arbeitsspeicher.
Standard-CSEKs, CSEK-abgeleitete Schlüssel und Standard-Laufwerksschlüssel werden niemals unverschlüsselt auf dem Laufwerk gespeichert. Standard-Laufwerksschlüssel werden mit CSEK-abgeleiteten Schlüsseln verpackt gespeichert oder mit Google-Schlüsseln, wenn der automatische Neustart verwendet wird. Google speichert Ihre Schlüssel nicht dauerhaft auf seinen Servern.
Jeder Dienst legt mithilfe von Features zur Zugriffsverwaltung fest, welche anderen Dienste mit ihm kommunizieren können. Diese Features werden von der Infrastruktur bereitgestellt. Der Dienst wird mithilfe der Zulassungsliste der erlaubten Dienstkontoidentitäten konfiguriert. Die so konfigurierte Zugriffsbeschränkung wird automatisch von der Google Cloud-Infrastruktur durchgesetzt. Weitere Informationen finden Sie unter Identität, Integrität und Isolierung der Dienste.
Die Infrastruktur bietet auch kryptografischen Datenschutz und Integrität für RPC-Daten im Netzwerk. Dienste können für jeden Infrastruktur-RPC den Grad des gewünschten kryptografischen Schutzes konfigurieren. Dieser wird dann für vom Kunden bereitgestellte Verschlüsselungsschlüssel aktiviert. Weitere Informationen finden Sie unter Verschlüsselung der arbeitslastübergreifenden Kommunikation.
Schlüsselmaterial befindet sich im Arbeitsspeicher verschiedener Systeme, einschließlich des Clustermanager- und des VMM-Arbeitsspeichers. Der Zugriff auf die Arbeitsspeicher dieser Systeme erfolgt nur in Ausnahmefällen (z. B. im Rahmen eines Vorfalls) und wird von Access Control Lists (ACLs) verwaltet. Für diese Systeme sind Speicherdumps entweder deaktiviert oder werden automatisch nach Schlüsselmaterial gescannt. Informationen zu den Schutzmaßnahmen für diese Jobs finden Sie unter So schützt Google seine Produktionsdienste.
Nächste Schritte
Vom Kunden bereitgestellte Verschlüsselungsschlüssel in Cloud Storage
Vom Kunden bereitgestellte Verschlüsselungsschlüssel in der Compute Engine