Diese Seite wurde von der Cloud Translation API übersetzt.

Schutzniveaus

In diesem Thema werden die verschiedenen in Cloud KMS unterstützten Schutzniveaus verglichen:

Software: Cloud KMS-Schlüssel mit der Schutzstufe SOFTWARE werden für kryptografische Vorgänge verwendet, die in Software ausgeführt werden. Cloud KMS-Schlüssel können von Google generiert oder importiert werden.
Hardware: Cloud HSM-Schlüssel mit dem Schutzniveau HARDWARE werden in einem von Google verwalteten Hardware Security Module (HSM) gespeichert. Kryptografische Vorgänge mit diesen Schlüsseln werden in unseren HSMs ausgeführt. Sie können Cloud HSM-Schlüssel genauso verwenden wie Cloud KMS-Schlüssel. Cloud HSM-Schlüssel können von Google generiert oder importiert werden.
Extern über das Internet: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL werden in Ihrem externen Schlüsselverwaltungssystem generiert und gespeichert. Cloud EKM speichert zusätzliches kryptografisches Material und einen Pfad zu Ihrem eindeutigen Schlüssel, der für den Zugriff auf Ihren Schlüssel über das Internet verwendet wird.
Extern über VPC: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL_VPC werden in Ihrem EKM-System (External Key Management) generiert und gespeichert. Cloud EKM speichert zusätzliches kryptografisches Material und einen Pfad zu Ihrem eindeutigen Schlüssel, der über ein VPC-Netzwerk (Virtual Private Cloud) auf Ihren Schlüssel zugreift.

Schlüssel mit allen diesen Schutzniveaus haben die folgenden Funktionen gemeinsam:

Verwenden Sie Ihre Schlüssel für Google Cloud-Dienste, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) integriert sind.

Hinweis: Einige CMEK-integrierte Dienste unterstützen keine Cloud EKM-Schlüssel. Informationen dazu, welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, finden Sie unter CMEK-Integrationen.
Sie können Ihre Schlüssel mit den Cloud KMS APIs oder Clientbibliotheken verwenden, ohne dass spezieller Code auf Grundlage des Schutzniveaus des Schlüssels erforderlich ist.
Sie steuern den Zugriff auf Ihre Schlüssel mithilfe von IAM-Rollen (Identity and Access Management).
Legen Sie in Cloud KMS fest, ob jede Schlüsselversion aktiviert oder deaktiviert ist.
Wichtige Vorgänge werden in Audit-Logs erfasst. Das Logging des Datenzugriffs kann aktiviert werden.

Softwareschutzniveau

Cloud KMS verwendet das BoringCrypto-Modul (BCM) für alle kryptografischen Vorgänge für Softwareschlüssel. Das BCM ist gemäß FIPS 140-2 validiert. Cloud KMS-Softwareschlüssel verwenden kryptografische Primitive des BCM, die gemäß FIPS 140-2 Level 1 validiert sind.

Softwareschlüsselversionen sind viel günstiger als Hardware- oder externe Schlüsselversionen. Softwareschlüssel eignen sich gut für Anwendungsfälle, für die keine spezifischen regulatorischen Anforderungen für eine höhere FIPs 140-2-Validierungsstufe gelten.

Hardwareschutzniveau

Mit Cloud HSM können Sie die Compliance mit Vorschriften für Ihre Arbeitslasten in Google Cloud erzwingen. Mit Cloud HSM können Sie Verschlüsselungsschlüssel generieren und kryptografische Vorgänge in gemäß FIPS 140-2 Level 3 geprüften HSMs ausführen. Der Dienst ist vollständig verwaltet, sodass Sie vertrauliche Arbeitslasten schützen können, ohne einen HSM-Cluster verwalten zu müssen. Cloud HSM bietet eine Abstraktionsschicht über den HSM-Modulen. Mit dieser Abstraktion können Sie Ihre Schlüssel in CMEK-Integrationen oder den Cloud KMS APIs oder Clientbibliotheken ohne HSM-spezifischen Code verwenden.

Hardwareschlüsselversionen sind teurer, bieten aber im Vergleich zu Softwareschlüsseln erhebliche Sicherheitsvorteile. Jeder Cloud HSM-Schlüssel hat eine Attestierungserklärung mit zertifizierten Informationen zu Ihrem Schlüssel. Mit dieser Attestierung und den zugehörigen Zertifikatsketten können die Authentizität der Erklärung und die Attribute des Schlüssels und des HSM überprüft werden.

Externe Schutzniveaus

Cloud External Key Manager-Schlüssel (Cloud EKM-Schlüssel) sind Schlüssel, die Sie bei einem unterstützten Partner für die externe Schlüsselverwaltung (External Key Management, EKM) verwalten und in Google Cloud-Diensten sowie in Cloud KMS APIs und Clientbibliotheken verwenden. Cloud EKM-Schlüssel können je nach EKM-Anbieter software- oder hardwaregestützt sein. Sie können Ihre Cloud EKM-Schlüssel in CMEK-integrierten Diensten oder mit den Cloud KMS APIs und Clientbibliotheken verwenden.

Cloud EKM-Schlüsselversionen sind teurer als von Google gehostete Software- oder Hardwareschlüsselversionen. Wenn Sie Cloud EKM-Schlüssel verwenden, können Sie sich darauf verlassen, dass Google nicht auf Ihr Schlüsselmaterial zugreifen kann.

Welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, sehen Sie unter CMEK-Integrationen. Verwenden Sie dazu den Filter Nur EKM-kompatible Dienste anzeigen.

Schutzniveau „Extern über Internet“

Sie können Cloud EKM-Schlüssel über das Internet an allen von Cloud KMS unterstützten Standorten verwenden, mit Ausnahme von nam-eur-asia1 und global.

Extern über VPC-Schutzniveau

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk verwenden, um die Verfügbarkeit Ihrer externen Schlüssel zu verbessern. Die bessere Verfügbarkeit bedeutet, dass die Wahrscheinlichkeit geringer ist, dass Ihre Cloud EKM-Schlüssel und die damit geschützten Ressourcen nicht verfügbar sind.

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk an allen Standorten verwenden, die von Cloud KMS unterstützt werden. Cloud EKM über ein VPC-Netzwerk ist an Standorten mit mehreren Regionen nicht verfügbar.

Nächste Schritte

Informationen zu kompatiblen Diensten, mit denen Sie Ihre Schlüssel in Google Cloud verwenden können
Weitere Informationen zum Erstellen von Schlüsselringen und Verschlüsselungsschlüsseln
Weitere Informationen zum Importieren von Software- oder Hardwareschlüsseln
Weitere Informationen zu externen Schlüsseln
Weitere Informationen zur Verwendung von Cloud EKM