Diese Seite wurde von der Cloud Translation API übersetzt.

Schutzniveaus

Auf dieser Seite werden die verschiedenen in Cloud KMS unterstützten Schutzstufen verglichen:

Software: Cloud KMS-Schlüssel mit dem Schutzniveau SOFTWARE werden für kryptografische Vorgänge verwendet, die in Software ausgeführt werden. Cloud KMS-Schlüssel können von Google generiert oder importiert werden.

Hardware: Cloud HSM-Schlüssel mit dem Schutzniveau HSM werden in einem HSM (Hardware Security Module) von Google gespeichert. Kryptografische Vorgänge mit diesen Schlüsseln werden in unseren HSMs ausgeführt. Cloud HSM-Schlüssel können genauso verwendet werden wie Cloud KMS-Schlüssel. Cloud HSM-Schlüssel können von Google generiert oder importiert werden.

Extern über das Internet: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL werden in Ihrem externen Schlüsselverwaltungssystem (External Key Management, EKM) generiert und gespeichert. In Cloud EKM werden zusätzliches kryptografisches Material und ein Pfad zu Ihrem eindeutigen Schlüssel gespeichert, der für den Zugriff auf Ihren Schlüssel über das Internet verwendet wird.
Extern über VPC: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL_VPC werden in Ihrem externen Schlüsselverwaltungssystem (External Key Management, EKM) generiert und gespeichert. In Cloud EKM werden zusätzliches kryptografisches Material und ein Pfad zu Ihrem eindeutigen Schlüssel gespeichert, mit dem über ein VPC-Netzwerk (Virtual Private Cloud) auf Ihren Schlüssel zugegriffen wird.

Schlüssel mit allen diesen Schutzniveaus haben die folgenden Funktionen gemeinsam:

Verwenden Sie Ihre Schlüssel fürGoogle Cloud -Dienste, die in vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) integriert sind.

Hinweis :Einige CMEK-integrierte Dienste unterstützen keine Cloud EKM-Schlüssel. Informationen dazu, welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, finden Sie unter CMEK-Integrationen.
Verwenden Sie Ihre Schlüssel mit den Cloud KMS APIs oder Clientbibliotheken, ohne dass spezieller Code basierend auf dem Schutzlevel des Schlüssels erforderlich ist.
Sie können den Zugriff auf Ihre Schlüssel mithilfe von IAM-Rollen (Identity and Access Management) steuern.
Sie können festlegen, ob jede Schlüsselversion in Cloud KMS Aktiviert oder Deaktiviert ist.
Schlüsselvorgänge werden in Audit-Logs erfasst. Das Logging des Datenzugriffs kann aktiviert werden.

Softwareschutzniveau

Cloud KMS verwendet das BoringCrypto-Modul (BCM) für alle kryptografischen Vorgänge für Softwareschlüssel. BCM ist gemäß FIPS 140-2 validiert. Für Cloud KMS-Softwareschlüssel werden die gemäß FIPS 140-2 Level 1 validierten kryptografischen Primitive des BCM verwendet.

Das Software-Schutzniveau ist das kostengünstigste Schutzniveau. Softwareschlüssel sind eine gute Wahl für Anwendungsfälle, die keine spezifischen behördlichen Anforderungen für eine höhere FIPS 140‑2-Validierungsstufe haben.

Hardware-Schutzniveau

Mit Cloud HSM können Sie die Compliance mit Vorschriften für Ihre Arbeitslasten inGoogle Clouderzwingen. Mit Cloud HSM können Sie Verschlüsselungsschlüssel generieren und kryptografische Vorgänge in gemäß FIPS 140-2 Level 3 validierten HSMs ausführen. Der Dienst ist vollständig verwaltet, sodass Sie vertrauliche Arbeitslasten schützen können, ohne einen HSM-Cluster verwalten zu müssen. Cloud HSM bietet eine Abstraktionsebene für die HSM-Module. Durch diese Abstraktion können Sie Ihre Schlüssel in CMEK-Integrationen oder den Cloud KMS-APIs oder -Clientbibliotheken verwenden, ohne HSM-spezifischen Code zu benötigen.

Hardware-Schlüsselversionen sind teurer, bieten aber im Vergleich zu Software-Schlüsseln erhebliche Sicherheitsvorteile. Jeder Cloud HSM-Schlüssel hat eine Attestierungserklärung, die zertifizierte Informationen zu Ihrem Schlüssel enthält. Mit dieser Attestierung und den zugehörigen Zertifikatsketten lässt sich die Authentizität der Erklärung und der Attribute des Schlüssels und des HSM überprüfen.

Externe Schutzebenen

Cloud External Key Manager-Schlüssel (Cloud EKM-Schlüssel) sind Schlüssel, die Sie in einem unterstützten EKM-Partnerdienst (External Key Management) verwalten und inGoogle Cloud -Diensten sowie Cloud KMS-APIs und -Clientbibliotheken verwenden. Cloud EKM-Schlüssel können je nach EKM-Anbieter software- oder hardwaregestützt sein. Sie können Ihre Cloud EKM-Schlüssel in CMEK-integrierten Diensten oder mit den Cloud KMS-APIs und -Clientbibliotheken verwenden.

Cloud EKM-Schutzniveaus sind am teuersten. Wenn Sie Cloud EKM-Schlüssel verwenden, können Sie sicher sein, dass Google Cloud nicht auf Ihr Schlüsselmaterial zugreifen kann.

Welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, erfahren Sie unter CMEK-Integrationen. Wenden Sie dort den Filter Nur EKM-kompatible Dienste anzeigen an.

Schutzstufe für externe Verbindungen über das Internet

Sie können Cloud EKM-Schlüssel über das Internet an allen von Cloud KMS unterstützten Standorten verwenden, mit Ausnahme von nam-eur-asia1 und global.

Schutzniveau „Extern über VPC“

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk verwenden, um die Verfügbarkeit Ihrer externen Schlüssel zu verbessern. Durch die höhere Verfügbarkeit ist die Wahrscheinlichkeit geringer, dass Ihre Cloud EKM-Schlüssel und die Ressourcen, die sie schützen, nicht mehr verfügbar sind.

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk an den meisten regionalen Standorten verwenden, die von Cloud KMS unterstützt werden. Cloud EKM über ein VPC-Netzwerk ist an multiregionalen Standorten nicht verfügbar.

Nächste Schritte

Weitere Informationen zu kompatiblen Diensten, mit denen Sie Ihre Schlüssel in Google Cloudverwenden können
Schlüsselbunde erstellen und Verschlüsselungsschlüssel erstellen
Weitere Informationen zum Importieren von Schlüsseln
Weitere Informationen zu externen Schlüsseln
Weitere Überlegungen zur Verwendung von Cloud EKM