Este documento apresenta uma visão geral do uso do Cloud Key Management Service (Cloud KMS) para de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). O uso da CMEK do Cloud KMS oferece propriedade e controle das chaves que protegem seus dados em repouso no Google Cloud.
Comparação entre CMEK e chaves de propriedade do Google e gerenciadas pelo Google
As chaves do Cloud KMS que você cria são gerenciadas pelo cliente. Os serviços do Google que usam suas chaves têm uma integração com CMEK. É possível gerenciar essas CMEKs diretamente ou usando a chave automática do Cloud KMS. Os fatores a seguir diferenciam a criptografia padrão em repouso do Google das chaves gerenciadas pelo cliente:
| Tipo de chave | Gerenciada pelo cliente com o Autokey | Gerenciada pelo cliente (manual) | De propriedade e gerenciado pelo Google (padrão do Google) |
|---|---|---|---|
| Pode ver os metadados da chave | Sim | Sim | Sim |
| Propriedade das chaves1 | Cliente | Cliente | |
| Pode gerenciar e controlar2 chaves3 | A criação e atribuição de chaves são automatizadas. O controle manual do cliente é com suporte total. | Cliente, apenas controle manual | |
| Suporte a requisitos regulatórios para chaves gerenciadas pelo cliente | Sim | Sim | Não |
| Compartilhamento de chaves | Exclusivo para um cliente | Exclusivo para um cliente | Os dados de vários clientes geralmente usam a mesma chave de criptografia de chaves (KEK). |
| Controle da rotação de chaves | Sim | Sim | Não |
| Políticas da organização CMEK | Sim | Sim | Não |
| Registrar o acesso administrativo e de dados às chaves de criptografia | Sim | Sim | Não |
| Preços | Varia: para mais informações, consulte Preços. Sem custo extra para o Autokey | Varia: para mais informações, consulte Preços | Grátis |
1 Em termos jurídicos, o proprietário da chave indica quem detém os direitos à chave. As chaves que pertencem ao cliente têm acesso restrito ou nenhum acesso pelo Google.
2Controle de chaves significa definir controles sobre o tipo de chaves e como as chaves são usadas, detectando variações e planejando ações corretivas, se necessário. Você pode controlar suas chaves, mas delegar o gerenciamento delas a terceiros.
3 O gerenciamento de chaves inclui os seguintes recursos:
- Crie chaves.
- Escolha o nível de proteção das chaves.
- Atribuir autoridade para o gerenciamento das chaves.
- Controle o acesso às chaves.
- Controle o uso das chaves.
- Defina e modifique o período de rotação das chaves ou acione uma rotação de chaves.
- Mudar o status da chave.
- Destrua versões de chave.
Criptografia padrão com chaves de propriedade e gerenciadas pelo Google
Todos os dados armazenados no Google Cloud são criptografados em repouso usando a mesma sistemas de gerenciamento de chaves com aumento da proteção que o Google usa para nossos próprios dados criptografados. Esses sistemas de gerenciamento de chaves fornecem controles de auditoria e chaves de acesso rigorosos e criptografam dados do usuário em repouso usando o padrão de criptografia AES-256. O Google é proprietário e controla as chaves usadas para criptografar seus dados. Não é possível ver ou gerenciar essas chaves nem consultar os registros de uso da chave. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves (KEK). Nenhuma configuração, configuração ou gerenciamento é necessário.
Para mais informações sobre a criptografia padrão no Google Cloud, consulte Criptografia padrão em repouso.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
As chaves de criptografia gerenciadas pelo cliente são chaves de criptografia que pertencem a você. Esse recurso permite ter mais controle sobre as chaves usadas para criptografar dados em repouso nos serviços compatíveis do Google Cloud e fornece um limite criptográfico em torno dos dados. É possível gerenciar CMEKs diretamente Cloud KMS, ou automatize o provisionamento e a atribuição Autokey do Cloud KMS.
Os serviços com suporte a CMEK têm uma integração de CMEK. A integração da CMEK é uma tecnologia de criptografia do lado do servidor que pode ser usada em vez da criptografia padrão do Google. Depois que a CMEK é configurada, as operações de criptografia e descriptografia são processadas pelo agente de serviço de recursos. Como a integração com a CMEK serviços lidam com o acesso ao recurso criptografado, à criptografia e à descriptografia podem ocorrer com transparência, sem o esforço do usuário final. A experiência de acesso aos recursos é semelhante à criptografia padrão do Google. Para mais informações sobre a integração da CMEK, consulte O que um serviço integrado de CMEK oferece.
É possível usar versões de chave ilimitadas para cada chave.
Para saber se um serviço oferece suporte a CMEKs, consulte o lista de serviços com suporte.
O uso do Cloud KMS gera custos relacionados ao número de versões de chaves e operações criptográficas com essas versões. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service. Não há valor mínimo de compra ou compromisso é necessário.
Chaves de criptografia gerenciadas pelo cliente (CMEK) com o Cloud KMS Autokey
A chave automática do Cloud KMS simplifica a criação e o gerenciamento de CMEKs, automatizando o provisionamento e a atribuição. Com o Autokey, keyrings e chaves são gerados sob demanda como parte da criação de recursos, e os agentes de serviço que usam as chaves para operações de criptografia e descriptografia recebem automaticamente os papéis necessários do Identity and Access Management (IAM).
O uso das chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o alinhamento de local de chaves e dados, especificidade de chaves, nível de proteção de módulo de segurança de hardware (HSM, na sigla em inglês), programação de rotação de chaves e separação de tarefas. O Autokey cria chaves que seguem as diretrizes gerais e diretrizes específicas para o tipo de recurso dos serviços do Google Cloud que se integrar ao Autokey. As chaves criadas usando a função Autokey funcionam de forma idêntica a outras chaves do Cloud HSM com as mesmas configurações, incluindo suporte a requisitos regulatórios para chaves gerenciadas pelo cliente. Para mais informações sobre o Autokey, consulte Visão geral do Autokey.
Quando usar chaves de criptografia gerenciadas pelo cliente
É possível usar chaves ou CMEKs criadas manualmente pelo Autokey serviços compatíveis para ajudar você a atingir as metas a seguir:
Tenha suas chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Gere o material da chave no Cloud KMS ou importe o material da chave que está mantidos fora do Google Cloud.
Defina a política sobre onde as chaves precisam ser usadas.
Excluir seletivamente os dados protegidos por suas chaves em caso de desligamento ou remediação de ocorrências de segurança (trituração criptográfica).
Crie e use chaves exclusivas de um cliente, estabelecendo uma limite criptográfico em torno dos dados.
Registre o acesso administrativo e de dados às chaves de criptografia.
Cumprir regulamentos atuais ou futuros que exigem qualquer um desses objetivos.
O que um serviço integrado de CMEK oferece
Assim como a criptografia padrão do Google, as CMEKs são do lado do servidor, simétricas, e criptografia dos dados do cliente. A diferença em relação à criptografia padrão do Google é que a proteção de CMEK usa uma chave controlada pelo cliente. CMEKs criadas manual ou automaticamente usando o Autokey operem da mesma forma durante integração de serviços.
Os serviços em nuvem que têm uma integração de CMEK usam as chaves criadas no Cloud KMS para proteger seus recursos.
Os serviços integrados ao Cloud KMS usam criptografia simétrica.
Você escolhe o nível de proteção da chave.
Todas as chaves são AES-GCM de 256 bits.
O material da chave nunca sai do limite do sistema do Cloud KMS.
Suas chaves simétricas são usadas para criptografar e descriptografar no modelo de criptografia de envelope.
Os serviços integrados ao CMEK rastreiam chaves e recursos
Os recursos protegidos pela CMEK têm um campo de metadados com o nome do que a criptografa. Geralmente, isso fica visível para o cliente metadados de recursos.
O rastreamento de chaves informa quais recursos uma chave protege, por com suporte a rastreamento de chaves.
As chaves podem ser listadas por projeto.
Os serviços integrados a CMEK processam o acesso a recursos
O principal que cria ou visualiza recursos no serviço integrado à CMEK
não exige o
Criptografador/Descriptografador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o
recurso.
Cada recurso do projeto tem uma conta de serviço especial chamada agente de serviço que realiza criptografia e descriptografia gerenciadas pelo cliente. Depois de conceder ao agente de serviço acesso a uma CMEK, agente de serviço usará essa chave para proteger os recursos escolhidos.
Quando um solicitante quer acessar um recurso criptografado com uma chave gerenciada pelo cliente, o agente de serviço tenta descriptografar o recurso solicitado automaticamente. Se o agente de serviço tiver permissão para descriptografar usando a chave e você não desativado ou destruído a chave, o agente de serviço fornece criptografia e descriptografia o uso da chave. Caso contrário, a solicitação falhará.
Nenhum acesso adicional do solicitante é necessário e, como o agente de serviço lida com a criptografia e a descriptografia em segundo plano, a experiência do usuário acessar recursos é semelhante a usar a criptografia padrão do Google.
Como usar o Autokey para CMEK
Para cada pasta em que você quer usar o Autokey, há um processo de configuração único. Você pode escolher uma pasta para trabalhar Suporte ao Autokey e um projeto de chave associado em que o Autokey armazena as chaves dessa pasta. Para mais informações sobre como ativar o Autokey, consulte Ativar o Cloud KMS Autokey.
Em comparação com a criação manual de CMEKs, o Autokey não exige o seguintes etapas de configuração:
Os administradores de chaves não precisam criar keyrings ou chaves manualmente nem atribuir para os agentes de serviço que criptografam e descriptografam os dados. O O agente de serviço do Cloud KMS realiza essas ações em nome dele.
Os desenvolvedores não precisam planejar com antecedência para solicitar chaves antes da criação do recurso. Eles podem solicitar chaves do Autokey, conforme necessário, preservando a separação de tarefas.
Ao usar o Autokey, há apenas uma etapa: o desenvolvedor solicita a como parte da criação de recursos. As chaves retornadas são consistentes para o tipo de recurso pretendido.
As CMEKs criadas com o Autokey se comportam da mesma forma que as chaves criadas manualmente para os seguintes recursos:
Os serviços integrados a CMEK se comportam da mesma maneira.
O administrador da chave pode continuar monitorando todas as chaves criadas e usadas. pelo painel do Cloud KMS rastreamento de uso de chaves.
As políticas da organização funcionam da mesma forma com o Autokey e com CMEKs criadas manualmente.
Para uma visão geral das chaves automáticas, consulte Visão geral das chaves automáticas. Para mais informações sobre como criar recursos protegidos por CMEK com a autokey, consulte Criar recursos protegidos usando a autokey do Cloud KMS.
Criar CMEKs manualmente
Ao criar manualmente as CMEKs, é preciso planejar e criar keyrings, chaves, e locais de recursos antes de criar recursos protegidos. É possível as chaves para proteger os recursos.
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. Alguns serviços, como o GKE, tenha várias integrações de CMEK para proteger diferentes tipos de dados relacionados ao serviço. Siga estas etapas:
Crie um keyring do Cloud KMS ou escolha um atual. Quando criar seu keyring, escolha um local geograficamente próximo ao e os recursos que você está protegendo. O keyring pode estar no mesmo projeto que os recursos que você está protegendo ou em projetos diferentes. O uso de diferentes oferece maior controle sobre os papéis do IAM e ajuda aceitar a separação de tarefas;
Você cria ou importa uma chave do Cloud KMS no keyring escolhido. Isso é a CMEK.
Você concede à permissão de IAM [criptografador/descriptografador de CryptoKey encrypter-decrypter-role na CMEK para conta de serviço para o serviço.
Ao criar um recurso, configure-o para usar o CMEK. Para por exemplo, é possível configurar um cluster do GKE para usar a CMEK e para proteger os dados em repouso nos discos de inicialização nós.
Para que um solicitante tenha acesso aos dados, ele não precisa de acesso direto à a CMEK.
O agente de serviço precisa ter a permissão de criptografador/descriptografador do CryptoKey papel, o serviço pode criptografar e descriptografar os dados. Se você revogar esse papel ou Se você desativar ou destruir a CMEK, esses dados não poderão ser acessados.
Conformidade com CMEK
Alguns serviços têm integrações CMEK e permitem que você gerencie as chaves por conta própria. Alguns serviços oferecem conformidade com o CMEK, o que significa que os dados temporários e a chave temporária nunca são gravados no disco. Para uma lista completa de soluções integradas serviços em conformidade, consulte Serviços compatíveis com CMEK.
Rastreamento de uso de chave
O rastreamento de uso de chaves mostra os recursos do Google Cloud na sua organização que são protegidos pelas CMEKs. Com o rastreamento de uso de chaves, é possível conferir os recursos, projetos e produtos exclusivos do Google Cloud que usam uma chave específica e se elas estão em uso. Para mais informações sobre para acompanhar o uso da chave, consulte Ver o uso da chave.
Políticas da organização de CMEK
O Google Cloud tem restrições de políticas da organização para ajudar a garantir uso consistente de CMEKs em um recurso da organização. Essas restrições fornecem controles aos administradores da organização para exigir o uso de CMEK e especificar limitações e controles nas chaves do Cloud KMS usadas para proteção de CMEK, incluindo:
Limites em quais chaves do Cloud KMS são usadas para CMEK proteção
Limites do níveis de proteção de chaves
Limites no local de CMEKs
Controles para destruição da versão da chave
A seguir
- Confira a lista de serviços com a CMEK integrações com o Google Cloud.
- Consulte a lista de serviços compatíveis com CMEK.
- Consulte a lista de tipos de recursos que podem ter o rastreamento de uso de chave.
- Veja a lista de serviços suportados pelo Autokey.