En este documento se ofrece una descripción general del uso de Cloud Key Management Service (Cloud KMS) para las claves de encriptado gestionadas por el cliente (CMEK). Si usas la CMEK de Cloud KMS, tendrás la propiedad y el control de las claves que protegen tus datos en reposo enGoogle Cloud.
Comparación entre CMEK y Google-owned and Google-managed encryption keys
Las claves de Cloud KMS que creas son claves gestionadas por el cliente. Se dice que losGoogle Cloud servicios que usan tus claves tienen una integración con CMEK. Puedes gestionar estas CMEKs directamente o a través de Autokey de Cloud KMS. Los siguientes factores diferencian el encriptado en reposo predeterminado de Google Cloudlas claves gestionadas por el cliente:
| Tipo de clave | Autokey de Cloud KMS | Cloud KMS gestionado por el cliente (manual) | Google-owned and Google-managed encryption key (cifrado predeterminado de Google) |
|---|---|---|---|
Puede ver metadatos clave |
Sí |
Sí |
No |
Propiedad de las claves1 |
Cliente |
Cliente |
|
La creación y la asignación de claves se automatizan. Se admite el control manual por parte del cliente. |
Solo control manual por parte del cliente |
||
Cumple los requisitos normativos de las claves gestionadas por el cliente |
Sí |
Sí |
No |
Compartir llaves |
Exclusivo de un cliente |
Exclusivo de un cliente |
Los datos de varios clientes suelen estar protegidos por claves de encriptado de claves (KEKs) compartidas. |
Control de la rotación de claves |
Sí |
Sí |
|
Sí |
Sí |
No | |
Registrar el acceso administrativo y de datos a las claves de cifrado |
Sí |
Sí |
No |
Separación lógica de datos mediante cifrado |
Sí |
Sí |
|
Precios |
Varía | Gratis |
1 El propietario de la clave indica quién tiene los derechos de la clave. Google tiene un acceso muy restringido o nulo a las claves que te pertenecen.
La gestión de claves 2 incluye las siguientes tareas:
- Crea claves.
- Elige el nivel de protección de las llaves.
- Asigna la autoridad para gestionar las claves.
- Controlar el acceso a las claves.
- Controlar el uso de las llaves.
- Definir y modificar el periodo de rotación de las claves o activar la rotación de las claves.
- Cambiar el estado de la clave.
- Eliminar versiones de clave.
3 El control de las claves implica establecer controles sobre el tipo de claves y cómo se usan, detectar variaciones y planificar medidas correctivas si es necesario. Puedes controlar tus llaves, pero delegar la gestión de las llaves en un tercero.
Cifrado predeterminado con Google-owned and Google-managed encryption keys
Todos los datos almacenados en Google Cloud se cifran en reposo con los mismos sistemas reforzados de gestión de claves que utiliza Google Cloud para proteger sus propios datos cifrados. Estos sistemas de gestión de claves proporcionan estrictos controles de acceso a claves y auditorías, y cifran los datos de los usuarios en reposo con el estándar de cifrado AES-256. Google Cloud es el propietario y controla las claves que se usan para cifrar tus datos. No puedes ver ni gestionar estas claves, ni consultar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave de cifrado de claves (KEK). No es necesario realizar ninguna configuración ni gestión.
Para obtener más información sobre el cifrado predeterminado en Google Cloud, consulta la sección Cifrado predeterminado en reposo.Claves de encriptado gestionadas por el cliente (CMEK)
Las claves de cifrado gestionadas por el cliente son claves de cifrado de tu propiedad. Esta función te permite tener un mayor control sobre las claves que se usan para cifrar los datos en reposo en los servicios compatibles Google Cloud y proporciona un límite criptográfico en torno a tus datos. Puedes gestionar las CMEK directamente en Cloud KMS o automatizar el aprovisionamiento y la asignación mediante Cloud KMS Autokey.
Los servicios que admiten CMEK tienen una integración de CMEK. La integración de CMEK es una tecnología de cifrado del lado del servidor que puedes usar en lugar del cifrado predeterminado deGoogle Cloud. Una vez que se ha configurado CMEK, el agente de servicio de recursos se encarga de las operaciones para cifrar y descifrar recursos. Como los servicios integrados con CMEK gestionan el acceso al recurso cifrado, el cifrado y el descifrado pueden realizarse de forma transparente, sin que los usuarios finales tengan que hacer nada. La experiencia de acceder a los recursos es similar a la de usar el cifrado predeterminado de Google Cloud. Para obtener más información sobre la integración de CMEK, consulta Qué ofrece un servicio integrado con CMEK.
Puedes usar un número ilimitado de versiones de cada clave.
Para saber si un servicio admite CMEKs, consulta la lista de servicios admitidos.
El uso de Cloud KMS conlleva costes relacionados con el número de versiones de claves y las operaciones criptográficas con esas versiones de claves. Para obtener más información sobre los precios, consulta la página Precios de Cloud Key Management Service. No se requiere una compra ni un compromiso mínimos.
Claves de encriptado gestionadas por el cliente (CMEK) con Autokey de Cloud KMS
Autokey de Cloud KMS simplifica la creación y la gestión de CMEKs automatizando el aprovisionamiento y la asignación. Con Autokey, los conjuntos de claves y las claves se generan bajo demanda como parte de la creación de recursos, y los agentes de servicio que usan las claves para las operaciones de cifrado y descifrado reciben automáticamente los roles de gestión de identidades y accesos (IAM) necesarios.
Usar claves generadas por Autokey puede ayudarte a cumplir de forma constante los estándares del sector y las prácticas recomendadas para la seguridad de los datos, como la alineación de la ubicación de las claves y los datos, la especificidad de las claves, el nivel de protección del módulo de seguridad de hardware (HSM), la programación de rotación de las claves y la separación de funciones. Autokey crea claves que siguen tanto las directrices generales como las específicas del tipo de recurso para los servicios que se integran con Autokey. Google Cloud Las claves creadas con la función Autokey son idénticas a otras claves de Cloud HSM con los mismos ajustes, incluida la compatibilidad con los requisitos normativos de las claves gestionadas por el cliente. Para obtener más información sobre Autokey, consulta la descripción general de Autokey.
Cuándo usar claves de encriptado gestionadas por el cliente
Puedes usar CMEKs creadas manualmente o claves creadas por Autokey en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:Tener tus propias claves de cifrado.
Controla y gestiona tus claves de cifrado, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.
Genera material de claves en Cloud KMS o importa material de claves que se mantenga fuera de Google Cloud.
Define la política sobre dónde se deben usar tus claves.
Eliminar de forma selectiva los datos protegidos por tus claves en caso de baja o para solucionar eventos de seguridad (destrucción criptográfica).
Crea y usa claves únicas para cada cliente, lo que establece un límite criptográfico en torno a tus datos.
Registra el acceso administrativo y de datos a las claves de cifrado.
Cumplir la normativa actual o futura que requiera alguno de estos objetivos.
Qué ofrece un servicio integrado con CMEK
Al igual que el cifrado predeterminado de Google Cloud, CMEK es un cifrado simétrico del lado del servidor y de envolvente de los datos de los clientes. La diferencia con el cifrado predeterminado de Google Cloudes que la protección con CMEK usa una clave que controla el cliente. Las CMEKs creadas de forma manual o automática mediante Autokey funcionan de la misma manera durante la integración del servicio.
Los servicios de Cloud que tienen una integración con CMEK usan las claves que creas en Cloud KMS para proteger tus recursos.
Los servicios integrados con Cloud KMS usan el encriptado simétrico.
Tú eliges el nivel de protección de la llave.
Todas las claves son AES-GCM de 256 bits.
El material de claves nunca sale del límite del sistema de Cloud KMS.
Tus claves simétricas se usan para cifrar y descifrar en el modelo de cifrado envolvente.
Los servicios integrados con CMEK monitorizan las claves y los recursos
Los recursos protegidos con CMEK tienen un campo de metadatos que contiene el nombre de la clave que los cifra. Por lo general, los clientes podrán verlos en los metadatos de los recursos.
La monitorización de claves te indica qué recursos protege una clave en los servicios que admiten esta función.
Las claves se pueden listar por proyecto.
Los servicios integrados con CMEK gestionan el acceso a los recursos
La entidad de seguridad que crea o consulta recursos en el servicio integrado con CMEK no requiere el rol Encargado del encriptado y desencriptado de claves de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para la CMEK que se usa para proteger el recurso.
Cada recurso de proyecto tiene una cuenta de servicio especial llamada agente de servicio que realiza el cifrado y el descifrado con claves gestionadas por el cliente. Una vez que hayas concedido acceso a un agente de servicio a una CMEK, ese agente de servicio usará la clave para proteger los recursos que elijas.
Cuando un solicitante quiere acceder a un recurso cifrado con una clave gestionada por el cliente, el agente de servicio intenta descifrar automáticamente el recurso solicitado. Si el agente de servicio tiene permiso para descifrar con la clave y no la has inhabilitado ni destruido, el agente de servicio proporciona el uso de la clave para cifrar y descifrar. De lo contrario, la solicitud fallará.
No se requiere ningún acceso adicional del solicitante y, como el agente de servicio gestiona el cifrado y el descifrado en segundo plano, la experiencia del usuario al acceder a los recursos es similar a la que se obtiene con el cifrado predeterminado de Google Cloud.
Usar Autokey para CMEK
Para cada carpeta en la que quieras usar Autokey, hay un proceso de configuración único. Podrás elegir una carpeta en la que trabajar con la compatibilidad de Autokey y un proyecto de claves asociado en el que Autokey almacena las claves de esa carpeta. Para obtener más información sobre cómo habilitar Autokey, consulta Habilitar Autokey de Cloud KMS.
En comparación con la creación manual de CMEKs, Autokey no requiere los siguientes pasos de configuración:
Los administradores de claves no tienen que crear manualmente conjuntos de claves ni claves, ni asignar privilegios a los agentes de servicio que encriptan y desencriptan datos. El agente de servicio de Cloud KMS realiza estas acciones en su nombre.
Los desarrolladores no tienen que planificar con antelación para solicitar claves antes de crear recursos. Pueden solicitar las llaves que necesiten a Autokey, pero sin dejar de mantener la separación de funciones.
Cuando usas Autokey, solo hay un paso: el desarrollador solicita las claves como parte de la creación de recursos. Las claves devueltas son coherentes con el tipo de recurso previsto.
Las CMEKs creadas con Autokey se comportan de la misma forma que las claves creadas manualmente en las siguientes funciones:
Los servicios integrados con CMEK se comportan de la misma forma.
El administrador de claves puede seguir monitorizando todas las claves creadas y utilizadas a través del panel de control de Cloud KMS y del seguimiento del uso de claves.
Las políticas de la organización funcionan de la misma forma con Autokey que con las CMEKs creadas manualmente.
Para obtener una descripción general de Autokey, consulta el artículo Descripción general de Autokey. Para obtener más información sobre cómo crear recursos protegidos con CMEK mediante Autokey, consulta Crear recursos protegidos con Autokey de Cloud KMS.
Crear CMEKs manualmente
Cuando creas manualmente tus CMEKs, debes planificar y crear conjuntos de claves, claves y ubicaciones de recursos antes de poder crear recursos protegidos. Después, puedes usar tus llaves para proteger los recursos.
Para ver los pasos exactos que debes seguir para habilitar CMEK, consulta la documentación delGoogle Cloud servicio correspondiente. Algunos servicios, como GKE, tienen varias integraciones de CMEK para proteger diferentes tipos de datos relacionados con el servicio. Deberás seguir pasos similares a los siguientes:
Crea un llavero de claves de Cloud KMS o elige uno que ya tengas. Cuando crees tu llavero de claves, elige una ubicación que esté geográficamente cerca de los recursos que vas a proteger. El conjunto de claves puede estar en el mismo proyecto que los recursos que proteges o en proyectos diferentes. Usar diferentes proyectos te da más control sobre los roles de gestión de identidades y accesos, y te ayuda a separar las obligaciones.
Crea o importa una clave de Cloud KMS en el conjunto de claves elegido. Esta clave es la CMEK.
Asigna el rol de gestión de identidades y accesos (IAM) Encargado del encriptado y desencriptado de la clave criptográfica (
roles/cloudkms.cryptoKeyEncrypterDecrypter) de la CMEK a la cuenta de servicio del servicio.Cuando crees un recurso, configúralo para que use la CMEK. Por ejemplo, puedes configurar una tabla de BigQuery para proteger los datos en reposo de la tabla.
Para que un solicitante pueda acceder a los datos, no necesita tener acceso directo a la CMEK.
Mientras el agente de servicio tenga el rol Encargado del encriptado y desencriptado de la clave criptográfica, el servicio podrá encriptar y desencriptar sus datos. Si revocas este rol o inhabilitas o destruyes la CMEK, no se podrá acceder a esos datos.
Cumplimiento de CMEK
Algunos servicios tienen integraciones de CMEK y te permiten gestionar las claves por tu cuenta. En su lugar, algunos servicios ofrecen cumplimiento de CMEK, lo que significa que los datos temporales y la clave efímera nunca se escriben en el disco. Para ver una lista completa de los servicios integrados y compatibles, consulta Servicios compatibles con CMEK.
Seguimiento del uso de claves
El seguimiento del uso de claves muestra los Google Cloud recursos de tu organización que están protegidos por tus CMEKs. Con el seguimiento del uso de claves, puedes ver los recursos, proyectos y Google Cloud productos únicos protegidos que usan una clave específica, así como si las claves están en uso. Para obtener más información sobre el seguimiento del uso de las claves, consulta Ver el uso de las claves.
Políticas de organización de CMEK
Google Cloud ofrece restricciones de políticas de organización para ayudar a garantizar un uso coherente de las CMEK en los recursos de una organización. Estas restricciones proporcionan controles a los administradores de la organización para requerir el uso de CMEK y especificar limitaciones y controles en las claves de Cloud KMS que se usan para la protección con CMEK, entre los que se incluyen los siguientes:
Límites sobre qué claves de Cloud KMS se usan para la protección con CMEK
Límites de los niveles de protección de las claves permitidos
Límites de la ubicación de las CMEKs
Controles para la eliminación de versiones de clave
Siguientes pasos
- Consulta la lista de servicios con integraciones de CMEK.
- Consulta la lista de servicios compatibles con CMEK.
- Consulta la lista de tipos de recursos que pueden tener un seguimiento del uso de claves.
- Consulta la lista de servicios compatibles con Autokey.