Questo documento fornisce una panoramica dell'utilizzo di Cloud Key Management Service (Cloud KMS) per le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo di CMEK di Cloud KMS ti consente di avere la proprietà e il controllo delle chiavi che proteggono i tuoi dati at-rest in Google Cloud.
Confronto tra le chiavi CMEK e quelle di proprietà e gestite da Google
Le chiavi Cloud KMS che crei sono chiavi gestite dal cliente. I servizi Google che utilizzano le tue chiavi sono considerati dotati di un'integrazione CMEK. Puoi gestire queste chiavi CMEK direttamente o tramite Autokey di Cloud KMS. I seguenti fattori contraddistinguono la crittografia at-rest dei dati inattivi predefinita di Google dalle chiavi gestite dal cliente:
| Tipo di chiave | Gestita dal cliente con Autokey | Gestita dal cliente (manuale) | Di proprietà e gestito da Google (valore predefinito di Google) |
|---|---|---|---|
| Può visualizzare i metadati chiave | Sì | Sì | Sì |
| Proprietà delle chiavi1 | Cliente | Cliente | |
| Può gestire e controllare2 chiavi3 | La creazione e l'assegnazione delle chiavi sono automatizzate. Il controllo manuale del cliente è completamente supportato. | Cliente, solo controllo manuale | |
| Supporta i requisiti normativi per le chiavi gestite dal cliente | Sì | Sì | No |
| Condivisione della chiave | Unico per un cliente | Unico per un cliente | I dati di più clienti in genere utilizzano la stessa chiave di crittografia della chiave (KEK). |
| Controllo della rotazione della chiave | Sì | Sì | No |
| Criteri dell'organizzazione CMEK | Sì | Sì | No |
| Registrare l'accesso amministrativo e ai dati alle chiavi di crittografia | Sì | Sì | No |
| Prezzi | Varia. Per ulteriori informazioni, vedi Prezzi. Nessun costo aggiuntivo per Autokey | Varia. Per ulteriori informazioni, vedi Prezzi | Gratis |
1 In termini legali, il proprietario della chiave indica chi detiene i diritti sulla chiave. Le chiavi di proprietà del cliente hanno un accesso molto limitato o nessun accesso da parte di Google.
2Per controllo delle chiavi si intende l'impostazione di controlli sul tipo di chiavi e sul loro utilizzo, il rilevamento della varianza e la pianificazione di azioni correttive, se necessario. Puoi controllare le tue chiavi, ma delegare la loro gestione a terze parti.
3La gestione delle chiavi include le seguenti funzionalità:
- Creare chiavi.
- Scegli il livello di protezione delle chiavi.
- Assegna l'autorità per la gestione delle chiavi.
- Controlla l'accesso alle chiavi.
- Controlla l'utilizzo delle chiavi.
- Imposta e modifica il periodo di rotazione delle chiavi o attiva una rotazione delle chiavi.
- Modifica lo stato della chiave.
- Distruggi le versioni della chiave.
Crittografia predefinita con chiavi di proprietà e gestite da Google
Tutti i dati archiviati in Google Cloud vengono criptati in stato inattivo utilizzando gli stessi sistemi di gestione delle chiavi rafforzati che Google utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi forniscono controlli e verifiche rigorosi dell'accesso alle chiavi e criptano i dati utente inattivi utilizzando lo standard di crittografia AES-256. Google possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire queste chiavi o esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave (KEK). Non è richiesta alcuna configurazione, gestione o installazione.
Per ulteriori informazioni sulla crittografia predefinita in Google Cloud, consulta Crittografia at-rest predefinita.
Chiavi di crittografia gestite dal cliente (CMEK)
Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati e fornisce un confine crittografico attorno ai tuoi dati. Puoi gestire le chiavi CMEK direttamente in Cloud KMS o automatizzare il provisioning e l'assegnazione utilizzando Autokey di Cloud KMS.
I servizi che supportano CMEK dispongono di un'integrazione CMEK. L'integrazione CMEK è una tecnologia di crittografia lato server che puoi utilizzare al posto della crittografia predefinita di Google. Dopo aver configurato la chiave CMEK, le operazioni di crittografia e decrittografia delle risorse vengono gestite dall'agente di servizio delle risorse. Poiché i servizi integrati con CMEK gestiscono l'accesso alla risorsa criptata, la crittografia e la decrittografia possono avvenire in modo trasparente, senza intervento dell'utente finale. L'esperienza di accesso alle risorse è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sull'integrazione CMEK, consulta Che cosa offre un servizio integrato con CMEK.
Puoi utilizzare versioni illimitate di ogni chiave.
Per scoprire se un servizio supporta i CMEK, consulta l'elenco dei servizi supportati.
L'utilizzo di Cloud KMS comporta costi relativi al numero di versioni delle chiavi e alle operazioni di crittografia con queste versioni. Per ulteriori informazioni sui prezzi, consulta la pagina Prezzi di Cloud Key Management Service. Non è richiesto alcun acquisto o impegno minimo.
Chiavi di crittografia gestite dal cliente (CMEK) con la chiave automatica Cloud KMS
Cloud KMS Autokey semplifica la creazione e la gestione delle chiavi CMEK automatizzando il provisioning e l'assegnazione. Con Autokey, i portachiavi e le chiavi vengono generati on demand durante la creazione delle risorse e agli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono concessi automaticamente i ruoli IAM (Identity and Access Management) necessari.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui l'allineamento della posizione delle chiavi e dei dati, la specificità delle chiavi, il livello di protezione del modulo di sicurezza hardware (HSM), la pianificazione rotazione della chiave e la separazione delle responsabilità. Autokey crea chiavi che rispettano sia le linee guida generali sia quelle specifiche per il tipo di risorsa per i servizi Google Cloud integrati con Autokey. Le chiavi create utilizzando Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni, incluso il supporto dei requisiti normativi per le chiavi gestite dal cliente. Per ulteriori informazioni su Autokey, consulta la panoramica di Autokey.
Quando utilizzare le chiavi di crittografia gestite dal cliente
Puoi utilizzare CMEK creati manualmente o chiavi create da Autokey nei servizi compatibili per aiutarti a raggiungere i seguenti obiettivi:
Possiedi le tue chiavi di crittografia.
Controlla e gestisci le tue chiavi di crittografia, inclusa la scelta della posizione, del livello di protezione, della creazione, controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.
Genera il materiale della chiave in Cloud KMS o importa il materiale della chiave gestito al di fuori di Google Cloud.
Imposta le norme relative a dove devono essere utilizzate le chiavi.
Eliminare in modo selettivo i dati protetti dalle tue chiavi in caso di offboarding o per risolvere gli eventi di sicurezza (crypto-shredding).
Crea e utilizza chiavi univoche per un cliente, stabilendo un confine criptato per i tuoi dati.
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.
Soddisfare le normative attuali o future che richiedono uno di questi obiettivi.
Cosa offre un servizio integrato con CMEK
Come la crittografia predefinita di Google, la CMEK è una crittografia lato server, simmetrica e con incapsulamento dei dati dei clienti. La differenza rispetto alla crittografia predefinita di Google è che la protezione CMEK utilizza una chiave controllata dal cliente. I CMEK creati manualmente o automaticamente utilizzando Autokey funzionano allo stesso modo durante l'integrazione del servizio.
I servizi cloud che dispongono di un'integrazione CMEK utilizzano le chiavi che crei in Cloud KMS per proteggere le tue risorse.
I servizi integrati con Cloud KMS utilizzano la crittografia simmetrica.
Scegli il livello di protezione della chiave.
Tutte le chiavi sono AES-GCM a 256 bit.
Il materiale della chiave non esce mai dal confine del sistema Cloud KMS.
Le chiavi simmetriche vengono utilizzate per criptare e decriptare nel modello di crittografia dell'involucro.
I servizi integrati con CMEK monitorano le chiavi e le risorse
Le risorse protette da CMEK hanno un campo dei metadati che contiene il nome della chiave che le cripta. In genere, questo valore sarà visibile ai clienti nei metadati della risorsa.
Il monitoraggio delle chiavi indica quali risorse vengono protette da una chiave per i servizi che supportano questa funzionalità.
Le chiavi possono essere elencate per progetto.
I servizi integrati con CMEK gestiscono l'accesso alle risorse
Il principale che crea o visualizza le risorse nel servizio integrato con CMEK
non richiede il ruolo
Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) per il CMEK utilizzato per proteggere la
risorsa.
Ogni risorsa del progetto ha un account di servizio speciale chiamato agente di servizio che esegue la crittografia e la decrittografia con chiavi gestite dal cliente. Dopo aver concesso all'agente di servizio l'accesso a una chiave CMEK, questo agente utilizzerà la chiave per proteggere le risorse che preferisci.
Quando un richiedente vuole accedere a una risorsa criptata con una chiave gestita dal cliente, l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio dispone dell'autorizzazione per decriptare utilizzando la chiave e non hai disattivato o distrutto la chiave, l'agente di servizio fornisce l'utilizzo della chiave per la crittografia e la decrittografia. In caso contrario, la richiesta non andrà a buon fine.
Non è richiesto alcun accesso aggiuntivo del richiedente e, poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per accedere alle risorse è simile all'utilizzo della crittografia predefinita di Google.
Utilizzo di Autokey per CMEK
Per ogni cartella in cui vuoi utilizzare Autokey, è necessaria una procedura di configurazione una tantum. Dovresti scegliere una cartella in cui lavorare con il supporto di Autokey e un progetto di chiavi associato in cui Autokey memorizza le chiavi per quella cartella. Per ulteriori informazioni sull'attivazione di Autokey, consulta Abilitare Autokey di Cloud KMS.
Rispetto alla creazione manuale dei CMEK, Autokey non richiede i seguenti passaggi di configurazione:
Gli amministratori delle chiavi non devono creare manualmente chiavi o mazzi di chiavi né assegnare privilegi agli agenti di servizio che criptano e decriptano i dati. L'agente di servizio Cloud KMS esegue queste azioni per loro conto.
Gli sviluppatori non devono pianificare in anticipo la richiesta delle chiavi prima della creazione delle risorse. Possono richiedere le chiavi da Autokey in base alle esigenze, mantenendo al contempo la separazione dei compiti.
Quando utilizzi Autokey, è necessario un solo passaggio: lo sviluppatore richiede le chiavi durante la creazione della risorsa. Le chiavi restituite sono coerenti per il tipo di risorsa previsto.
Le chiavi CMEK create con Autokey si comportano come le chiavi create manualmente per le seguenti funzionalità:
I servizi integrati con CMEK si comportano allo stesso modo.
L'amministratore delle chiavi può continuare a monitorare tutte le chiavi create e utilizzate tramite la dashboard di Cloud KMS e il monitoraggio dell'utilizzo delle chiavi.
Le norme dell'organizzazione funzionano con Autokey nello stesso modo in cui funzionano con i CMEK creati manualmente.
Per una panoramica di Autokey, consulta la panoramica di Autokey. Per ulteriori informazioni sulla creazione di risorse protette da CMEK con Autokey, consulta Creare risorse protette utilizzando Autokey di Cloud KMS.
Creazione manuale di CMEK
Quando crei manualmente le CMEK, devi pianificare e creare anelli portachiavi, chiavi e posizioni delle risorse prima di poter creare risorse protette. Puoi quindi utilizzare le tue chiavi per proteggere le risorse.
Per la procedura esatta per attivare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio. Dovresti seguire una procedura simile alla seguente:
Crea un keyring Cloud KMS o scegline uno esistente. Quando crei il tuo portachiavi, scegli una posizione geograficamente vicina alle risorse che stai proteggendo. Il portachiavi può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di diversi progetti ti consente di avere un maggiore controllo sui ruoli IAM e di supportare la separazione dei compiti.
Creazione o importazione di una chiave Cloud KMS nel keyring scelto. Questa chiave è la CMEK.
Concedi il ruolo IAM [Autore crittografia/decrittografia CryptoKey]encrypter-decrypter-role sulla chiave CMEK all'account di servizio per il servizio.
Quando crei una risorsa, configurala in modo che utilizzi la CMEK. Ad esempio, puoi configurare un cluster GKE in modo da utilizzare CMEK per proteggere i dati at-rest sui dischi di avvio dei nodi.
Per ottenere l'accesso ai dati, un richiedente non ha bisogno di accedere direttamente alCMEK.
Se l'agente di servizio dispone del ruolo Autore crittografia/decriptazione CryptoKey, il servizio può criptare e decriptare i propri dati. Se revochi questo ruolo o se disattivi o distruggi il CMEK, non potrai accedere ai dati.
Conformità CMEK
Alcuni servizi hanno integrazioni CMEK e ti consentono di gestire le chiavi autonomamente. Alcuni servizi offrono invece la conformità a CMEK, il che significa che i dati temporanei e la chiave effimera non vengono mai scritti su disco. Per un elenco completo dei servizi integrati e conformi, consulta Servizi compatibili con CMEK.
Monitoraggio dell'utilizzo delle chiavi
Il monitoraggio dell'utilizzo delle chiavi mostra le risorse Google Cloud all'interno della tua organizzazione protette dalle tue chiavi CMEK. Con il monitoraggio dell'utilizzo delle chiavi, puoi visualizzare le risorse, i progetti e i prodotti Google Cloud unici protetti che utilizzano una chiave specifica e se le chiavi sono in uso. Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, vedi Visualizzare l'utilizzo delle chiavi
Norme dell'organizzazione CMEK
Google Cloud offre vincoli dei criteri dell'organizzazione per contribuire a garantire un utilizzo coerente delle CMEK in una risorsa dell'organizzazione. Questi vincoli forniscono ai gestori dell'organizzazione i controlli per richiedere l'utilizzo di CMEK e per specificare limitazioni e controlli sulle chiavi Cloud KMS utilizzate per la protezione CMEK, tra cui:
Limiti relativi alle chiavi Cloud KMS utilizzate per la protezione delle chiavi CMEK
Limiti per i livelli di protezione delle chiavi consentiti
Limiti relativi alla località dei CMEK
Controlli per l'eliminazione delle versioni della chiave
Passaggi successivi
- Consulta l'elenco dei servizi con integrazioni CMEK.
- Consulta l'elenco dei servizi conformi a CMEK.
- Consulta l'elenco dei tipi di risorse che possono avere il monitoraggio dell'utilizzo delle chiavi.
- Consulta l'elenco dei servizi supportati da Autokey.