Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :
- Logiciels Les clés Cloud KMS de niveau de protection
- Les clés Cloud KMS peuvent être générées par Google ou importées.
- Matériel Les clés Cloud HSM avec le niveau de protection
- Les opérations de chiffrement utilisant ces clés sont effectuées dans nos HSM. Vous pouvez utiliser les clés Cloud HSM de la même manière que les clés Cloud KMS. Les clés Cloud HSM peuvent être générées par Google ou importées.
- Externe via Internet Les clés Cloud EKM avec le niveau de protection
- Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé sur Internet.
- Externe via VPC Les clés Cloud EKM de niveau de protection
- Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisée pour accéder à votre clé sur un réseau de cloud privé virtuel (VPC).
SOFTWARE sont utilisées pour les opérations de chiffrement effectuées dans un logiciel.HSM sont stockées dans un module de sécurité matériel (HSM) appartenant à Google.EXTERNAL sont générées et stockées dans votre système externe de gestion des clés (EKM).EXTERNAL_VPC sont générées et stockées dans votre système externe de gestion des clés (EKM).Les clés dotées de l'un de ces niveaux de protection partagent les fonctionnalités suivantes :
Utilisez vos clés pour les servicesGoogle Cloud intégrant des clés de chiffrement gérées par le client (CMEK).
Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).
Contrôlez si chaque version de clé est activée ou désactivée depuis Cloud KMS.
Les opérations clés sont enregistrées dans les journaux d'audit. Vous pouvez activer la journalisation des accès aux données.
Niveau de protection du logiciel
Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le module BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-2 de niveau 1.
Le niveau de protection logicielle est le moins cher. Les clés logiciellessont un bon choix pour les cas d'utilisation qui ne sont pas soumis à des exigences réglementaires spécifiques pour un niveau de validation FIPS 140-2 plus élevé.Niveau de protection du matériel
Cloud HSM peut vous aider à appliquer la conformité réglementaire pour vos charges de travail dansGoogle Cloud. Ce service vous permet de générer des clés de chiffrement et d'effectuer des opérations de cryptographie dans des modules HSM validés FIPS 140-2 niveau 3. Il est entièrement géré. Vous pouvez donc protéger vos charges de travail les plus sensibles, sans avoir à vous soucier des coûts opérationnels engendrés par la gestion d'un cluster HSM. Cloud HSM fournit une couche d'abstraction au-dessus des modules HSM. Cette abstraction vous permet d'utiliser vos clés dans les intégrations CMEK ou les API ou bibliothèques clientes Cloud KMS sans code spécifique à HSM.
Les versions matérielles des clés sont plus coûteuses, mais elles offrent des avantages considérables en termes de sécurité par rapport aux clés logicielles. Chaque clé Cloud HSM est associée à une instruction d'attestation contenant des informations certifiées sur votre clé. Cette attestation et les chaînes de certificats associées peuvent être utilisées pour vérifier l'authenticité de la déclaration et les attributs de la clé et du HSM.Niveaux de protection externes
Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externes (EKM) compatible et que vous utilisez dans les servicesGoogle Cloud , ainsi que dans les API et les bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être logicielles ou matérielles, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans les services intégrés à CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS.
Les niveaux de protection Cloud EKM sont les plus coûteux. Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Google Cloud ne peut pas accéder à votre matériel de clé.Pour savoir quels services intégrés à CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.
Niveau de protection externe sur Internet
Vous pouvez utiliser les clés Cloud EKM sur Internet dans tous les emplacements compatibles avec Cloud KMS, à l'exception de nam-eur-asia1 et global.
Niveau de protection "Externe via VPC"
Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC pour améliorer la disponibilité de vos clés externes. Cette meilleure disponibilité signifie que vos clés Cloud EKM et les ressources qu'elles protègent ont moins de risques de devenir indisponibles.
Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des régions compatibles avec Cloud KMS. Cloud EKM sur un réseau VPC n'est pas disponible dans les emplacements multirégionaux.
Étapes suivantes
- Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Google Cloud.
- Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
- En savoir plus sur l'importation de clés
- En savoir plus sur les clés externes
- Découvrez d'autres éléments à prendre en compte pour l'utilisation de Cloud EKM.