Criptare i dati con chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Filestore cripta i contenuti inattivi dei clienti. Filestore gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Filestore. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse Filestore è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le chiavi CMEK sono supportate per l'utilizzo con le istanze e i backup Filestore.

Opzioni CMEK

Filestore supporta le chiavi CMEK archiviate come chiavi software, come chiavi hardware in un cluster HSM e come chiavi archiviate esternamente in Cloud External Key Manager (Cloud EKM).

Per saperne di più, consulta Cloud Key Management Service.

Interruzioni del servizio EKM

Per progettazione, le chiavi esterne sono gestite da una terza parte; in queste circostanze,Google Cloud non è responsabile della disponibilità delle chiavi.

Se Cloud Key Management Service (Cloud KMS) riceve una notifica da External Key Manager (EKM) che indica che una chiave esterna non è raggiungibile, gli utenti ricevono una notifica ekm_key_unreachable_detected. Per un massimo di un'ora, gli utenti hanno accesso limitato alle operazioni sull'istanza. Dopo un'ora, se lo stato della chiave non cambia, si applicano le seguenti azioni:

  • La chiave è disattivata.
  • Tutte le operazioni di crittografia e decrittografia non vanno a buon fine.
  • L'istanza Filestore è sospesa.

In alcuni casi, ad esempio un evento imprevisto come il riavvio di una VM, l'accesso all'istanza potrebbe essere interrotto prima di un'ora.

Le notifiche relative alle chiavi non raggiungibili possono essere visualizzate nella pagina dei dettagli dell'istanza Filestore:

Vai alla pagina delle istanze Filestore

Gli utenti ricevono anche notifiche ekm_key_unreachable_detected su una delle seguenti operazioni se eseguite entro un'ora dalla prima notifica segnalata:

Livelli supportati

La tabella seguente mostra i livelli di servizio di Filestore che supportano le CMEK:

Livello Supporto CMEK
HDD base No
SSD base No
A livello di zona
Regionale
Aziende

Creare una chiave automatizzata e una chiave da utilizzare con l'istanza

Il keyring e la chiave possono trovarsi in un progetto diverso dall'istanza Filestore, ma devono trovarsi nella stessa località. Se hai già una chiave automatizzata e una chiave Cloud KMS che vuoi utilizzare con Filestore, passa alla sezione successiva. In caso contrario, segui le istruzioni per creare chiavi di crittografia simmetriche per creare un portachiavi e una chiave.

Concedi l'autorizzazione di accesso alla chiave al account di servizio Filestore

Prima di poter creare un'istanza Filestore che utilizza una chiave CMEK, l'account di servizio Filestore deve disporre del ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).

  1. Un account di servizio Filestore viene creato la prima volta che crei un'istanza Filestore nel progetto. Se non hai ancora un account di servizio Filestore, esegui questo comando:services identity create

    gcloud beta services identity create --service=file.googleapis.com --project=INSTANCE_PROJECT_NUMBER_OR_ID

    Sostituisci INSTANCE_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto in cui vuoi creare l'istanza Filestore.

  2. Assegna all'account di servizio Filestore il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS eseguendo il comando projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding KMS_PROJECT_NUMBER_OR_ID \
    --member serviceAccount:service-INSTANCE_PROJECT_NUMBER@cloud-filer.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KMS_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto che contiene la chiave Cloud KMS che vuoi utilizzare.
    • INSTANCE_PROJECT_NUMBER con il numero di progetto (non l'ID progetto) del progetto in cui vuoi creare l'istanza Filestore.

Crea un'istanza che utilizzi la chiave Cloud KMS

Console Google Cloud

Per creare un'istanza che utilizza la chiave Cloud KMS per la crittografia dei dati:

  1. Nella console Google Cloud , vai alla pagina Istanze Filestore.

    Vai alla pagina delle istanze Filestore

  2. Fai clic su Crea istanza.

  3. Seleziona un livello di istanza che supporti le CMEK e compila tutti gli altri campi obbligatori e facoltativi come di consueto.

  4. Fai clic su Mostra opzioni avanzate.

  5. Seleziona la casella di controllo Utilizza una chiave di crittografia gestita dal cliente (CMEK).

  6. Seleziona la chiave Cloud KMS che vuoi utilizzare per l'istanza.

  7. Fai clic su Crea.

Interfaccia a riga di comando gcloud

Per creare un'istanza Filestore che utilizza la chiave Cloud KMS per la crittografia dei dati, specifica il flag --kms-key nel comando filestore instances create:

gcloud filestore instances create nfs-server \
    --tier=<var>TIER</var> \
    --location=us-central1 \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="default" \
    --kms-key=KMS_KEY

Sostituisci quanto segue:

  • TIER con un livello Filestore che supporta le chiavi CMEK.
  • KMS_KEY con il nome completo della chiave Cloud KMS che vuoi utilizzare. In alternativa, puoi specificare ogni argomento separatamente nel formato:
--kms-key=KMS_KEY : --kms-keyring=KEY_RING --kms-location=KMS_REGION --kms-project=KMS_PROJECT_NUMBER_OR_ID

Sostituisci quanto segue:

  • KMS_KEY con il nome della chiave Cloud KMS.
  • KMS_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto in cui viene creata la chiave.
  • KMS_KEY_RING con il nome della chiave automatizzata.
  • KMS_REGION con la regione del portachiavi. Il portachiavi e l'istanza devono trovarsi nella stessa regione.

Visualizzare un elenco di chiavi

Puoi ottenere un elenco di chiavi eseguendo il comando kms keys list:

  gcloud kms keys list \
  --project=KMS_PROJECT_NUMBER_OR_ID \
  --keyring=KEY_RING \
  --location=KMS_REGION

Sostituisci quanto segue:

  • KMS_PROJECT_NUMBER_OR_ID con il numero o l'ID del progetto in cui viene creata la chiave.
  • KEY_RING con il nome della chiave automatizzata.
  • KMS_REGION con la regione del portachiavi.

La colonna Name dell'output fornisce il nome completo delle chiavi esistenti. Ad esempio:

projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key

Recupero delle informazioni chiave dell'istanza

Le sezioni seguenti descrivono come ottenere le informazioni chiave dell'istanza.

Elenca le istanze che utilizzano una determinata chiave Cloud KMS

Puoi elencare le istanze Filestore che utilizzano una determinata chiave eseguendo il comando instances list:

gcloud filestore instances list --filter="kmsKeyName=KMS_KEY"

Sostituisci KMS_KEY con il nome completo della chiave che vuoi utilizzare.

Esempio:

gcloud filestore instances list \
    --filter="kmsKeyName=projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key"

L'output è simile al seguente:

INSTANCE_NAME LOCATION    TIER       CAPACITY_GB FILE_SHARE_NAME IP_ADDRESS   STATE CREATE_TIME
nfs-server    us-central1 ENTERPRISE 1024        vol1            10.166.108.2 READY 2021-08-12T11:38:56

Recuperare le informazioni sulla chiave Cloud KMS per un'istanza

Utilizza uno dei seguenti metodi per ottenere le informazioni sulla chiave Cloud KMS per un'istanza Filestore:

Console Google Cloud

  1. Vai alla pagina delle istanze Filestore.

    Vai alla pagina delle istanze Filestore

  2. Fai clic sull'ID istanza per aprire la pagina dei dettagli dell'istanza.

  3. Fai clic sulla scheda Panoramica.

Se l'istanza cripta i dati utilizzando una chiave Cloud KMS anziché unGoogle-owned and Google-managed encryption key, il nome della chiave viene visualizzato nel campo Chiave di crittografia.

Interfaccia a riga di comando gcloud

Esegui questo comando instances describe:

gcloud filestore instances describe INSTANCE_ID \
   --location=INSTANCE_LOCATION

Sostituisci quanto segue:

  • INSTANCE_ID con l'ID istanza dell'istanza Filestore di cui vuoi ottenere informazioni.
  • INSTANCE_LOCATION con la regione o la zona in cui si trova l'istanza.

L'output è simile al seguente:

createTime: '2021-08-12T11:38:56.851157387Z'
fileShares:
- capacityGb: '1024'
  name: vol1
kmsKeyName: projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
labels:
  key: val
name: projects/consumer-project/locations/us-central1/instances/nfs-server
networks:
- ipAddresses:
  - 10.0.100.2
  modes:
  - MODE_IPV4
  network: network
  reservedIpRange: 10.166.108.0/23
state: READY
tier: ENTERPRISE

Disattivare o eliminare una chiave Cloud KMS utilizzata da un'istanza

Se viene rilevata una modifica dello stato della chiave Cloud KMS, l'istanza interrompe automaticamente l'erogazione dei dati. Ecco alcuni esempi:

  • Disabilitazione di una chiave o di una versione della chiave.
  • Eliminazione di una chiave o di una versione della chiave.
  • Modifica delle autorizzazioni di una chiave.

Il rilevamento in genere avviene entro pochi minuti dalla modifica dello stato della chiave, ma in alcuni casi può richiedere fino a un'ora.

Una volta arrestata un'istanza, viene bloccato l'accesso a tutti i dati della condivisione file e a tutti gli snapshot. Le istanze arrestate continuano a essere fatturate finché non vengono eliminate.

Avvio di un'istanza arrestata

Se un'istanza Filestore arrestata utilizza una chiave Cloud KMS per la crittografia dei dati, tutte le versioni della chiave devono essere attivate o ripristinate prima di riavviare l'istanza.

Una volta attivato lo stato della chiave Cloud KMS, l'istanza rileverà automaticamente le modifiche alla chiave e si riavvierà senza ulteriori azioni, in genere entro 20 minuti.

Supporto di CMEK per le catene di backup

Puoi utilizzare le chiavi CMEK per criptare non solo le istanze Filestore, ma anche le catene di backup.

Il supporto di CMEK non è disponibile per i backup di livello base.

Le catene di backup si trovano in un unico bucket e in un'unica regione. Per archiviare e criptare i dati di backup in una regione esterna all'istanza di origine, gli utenti devono applicare due chiavi CMEK separate: una per l'istanza e una per la catena di backup. Sono previsti alcuni requisiti:

  • Un CMEK deve risiedere nella stessa regione della catena di backup che cripta.
  • Viene applicata una singola CMEK al bucket in cui è archiviata la catena di backup e non può essere combinata o sostituita.

Limitazioni della rotazione delle chiavi

Durante rotazione della chiave, vengono create nuove chiavi di crittografia per sostituire quelle esistenti. Le seguenti azioni relative alla rotazione della chiave potrebbero impedirti di ripristinare una catena di backup:

  • Disattivazione di una chiave o di una versione della chiave.
  • Eliminazione di una chiave o di una versione della chiave.
  • Modifica delle autorizzazioni della chiave.

Queste azioni non impediscono la creazione di backup nella catena.

Se non riesci a ripristinare la catena di backup, segui questi passaggi:

  1. Elimina tutti i backup.
  2. Avvia una nuova catena. Puoi utilizzare una delle seguenti opzioni:
    • Crea il backup in una posizione diversa con la stessa CMEK.
    • Crea il backup nella stessa posizione con una nuova chiave CMEK.

Per ulteriori informazioni, consulta la panoramica dei backup.

Passaggi successivi