Niveaux de protection

Cette section compare les différents niveaux de protection compatibles avec Cloud KMS:

Logiciels
Les clés Cloud KMS avec le niveau de protection SOFTWARE sont utilisées pour les opérations cryptographiques effectuées dans un logiciel. Les clés Cloud KMS peuvent être générées par Google ou importées.
Matériel
Les clés Cloud HSM avec le niveau de protection HARDWARE sont stockées dans un module de sécurité matérielle (HSM, Hardware Security Module) appartenant à Google. Les opérations de chiffrement à l'aide de ces clés sont effectuées dans nos HSM. Vous pouvez utiliser des clés Cloud HSM de la même manière que des clés Cloud KMS. Les clés Cloud HSM peuvent être générées par Google ou importées.
Externe via Internet
Les clés Cloud EKM avec le niveau de protection EXTERNAL sont générées et stockées dans votre système de gestion des clés externes (EKM). Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé via Internet.
Externe via VPC
Les clés Cloud EKM avec le niveau de protection EXTERNAL_VPC sont générées et stockées dans votre système de gestion des clés externes (EKM). Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé via un réseau cloud privé virtuel (VPC).

Les clés de tous ces niveaux de protection partagent les fonctionnalités suivantes:

  • Utilisez vos clés pour les services Google Cloud intégrés aux clés de chiffrement gérées par le client (CMEK).

  • Utilisez vos clés avec les API Cloud KMS ou les bibliothèques clientes, sans code spécialisé en fonction du niveau de protection de la clé.

  • Contrôlez l'accès à vos clés à l'aide de rôles Identity and Access Management (IAM).

  • Déterminez si chaque version de clé est activée ou désactivée dans Cloud KMS.

  • Les opérations de clé sont enregistrées dans les journaux d'audit. La journalisation des accès aux données peut être activée.

Niveau de protection logiciel

Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations cryptographiques des clés logicielles. Le module BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques de la BCM, validées FIPS 140-2 de niveau 1.

Les versions de clés logicielles sont beaucoup moins chères que les versions de clés matérielles ou externes. Les clés logicielles sont un bon choix pour les cas d'utilisation qui ne nécessitent pas de conditions réglementaires spécifiques pour un niveau de validation FIPs 140-2 plus élevé.

Niveau de protection matériel

Cloud HSM peut vous aider à appliquer la conformité réglementaire pour vos charges de travail dans Google Cloud. Ce service vous permet de générer des clés de chiffrement et d'effectuer des opérations de cryptographie dans des HSM validés FIPS 140-2 de niveau 3. Il est entièrement géré. Vous pouvez donc protéger vos charges de travail les plus sensibles, sans avoir à vous soucier des coûts opérationnels engendrés par la gestion d'un cluster HSM. Cloud HSM fournit une couche d'abstraction au-dessus des modules HSM. Cette abstraction vous permet d'utiliser vos clés dans les intégrations CMEK, les API Cloud KMS ou les bibliothèques clientes sans code spécifique au HSM.

Les versions de clés matérielles sont plus coûteuses, mais elles offrent des avantages de sécurité substantiels par rapport aux clés logicielles. Chaque clé Cloud HSM est associée à une instruction d'attestation contenant des informations certifiées sur votre clé. Cette attestation et ses chaînes de certificats associées peuvent être utilisées pour vérifier l'authenticité de l'instruction et les attributs de la clé et du HSM.

Niveaux de protection externes

Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externes (EKM) compatible et que vous utilisez dans les services Google Cloud, les API Cloud KMS et les bibliothèques clientes. Les clés Cloud EKM peuvent être basées sur du logiciel ou sur du matériel, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans des services intégrés à CMEK ou à l'aide des API Cloud KMS et des bibliothèques clientes.

Les versions de clé Cloud EKM sont plus chères que les versions de clé logicielle ou matérielle hébergées par Google. Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Google ne peut pas accéder à votre matériel de clé.

Pour savoir quels services intégrant les CMEK sont compatibles avec les clés Cloud EKM, consultez la section Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.

Niveau de protection externe via Internet

Vous pouvez utiliser des clés Cloud EKM sur Internet dans tous les emplacements compatibles avec Cloud KMS, à l'exception de nam-eur-asia1 et global.

Niveau de protection externe via VPC

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC pour améliorer la disponibilité de vos clés externes. Cette meilleure disponibilité signifie que vos clés Cloud EKM et les ressources qu'elles protègent sont moins susceptibles d'être indisponibles.

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans toutes les régions compatibles avec Cloud KMS. Cloud EKM sur un réseau VPC n'est pas disponible dans les emplacements multirégionaux.

Étape suivante