Halaman ini diterjemahkan oleh Cloud Translation API.

Level perlindungan

Halaman ini membandingkan berbagai tingkat perlindungan yang didukung di Cloud KMS:

Software: Kunci Cloud KMS dengan tingkat perlindungan SOFTWARE digunakan untuk operasi kriptografis yang dilakukan di software. Kunci Cloud KMS dapat dibuat oleh Google atau diimpor.

Hardware: Kunci Cloud HSM dengan tingkat perlindungan HSM disimpan dalam Hardware Security Module (HSM) milik Google. Operasi kriptografi menggunakan kunci ini dilakukan di HSM kami. Anda dapat menggunakan kunci Cloud HSM dengan cara yang sama seperti saat menggunakan kunci Cloud KMS. Kunci Cloud HSM dapat dibuat oleh Google atau diimpor.

Eksternal melalui internet: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL dibuat dan disimpan dalam sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografis tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui internet.
Eksternal melalui VPC: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL_VPC dibuat dan disimpan dalam sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografi tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui jaringan virtual private cloud (VPC).

Kunci dengan semua tingkat perlindungan ini memiliki fitur berikut:

Gunakan kunci Anda untuk layanan yang terintegrasi dengan kunci enkripsi yang dikelola pelanggan (CMEK).Google Cloud

Catatan: Beberapa layanan yang terintegrasi dengan CMEK tidak mendukung kunci Cloud EKM. Untuk mempelajari layanan yang terintegrasi dengan CMEK yang mendukung kunci Cloud EKM, lihat Integrasi CMEK.
Gunakan kunci Anda dengan API atau library klien Cloud KMS, tanpa kode khusus berdasarkan tingkat perlindungan kunci.
Kontrol akses ke kunci Anda menggunakan peran Identity and Access Management (IAM).
Kontrol apakah setiap versi kunci Diaktifkan atau Dinonaktifkan dari Cloud KMS.
Operasi utama dicatat dalam log audit. Logging akses data dapat diaktifkan.

Tingkat perlindungan software

Cloud KMS menggunakan modul BoringCrypto (BCM) untuk semua operasi kriptografis untuk kunci software. BCM divalidasi FIPS 140-2. Kunci software Cloud KMS menggunakan Primitif Kriptografis BCM yang divalidasi FIPS 140-2 Level 1.

Tingkat perlindungan software adalah tingkat perlindungan yang paling murah. Kunci software adalah pilihan yang tepat untuk kasus penggunaan yang tidak memiliki persyaratan peraturan khusus untuk tingkat validasi FIPS 140-2 yang lebih tinggi.

Tingkat perlindungan hardware

Cloud HSM membantu Anda menegakkan kepatuhan terhadap peraturan untuk workload Anda di Google Cloud. Dengan Cloud HSM, Anda dapat membuat kunci enkripsi dan melakukan operasi kriptografi di HSM yang divalidasi FIPS 140-2 Level 3. Layanan ini terkelola sepenuhnya, sehingga Anda dapat melindungi workload yang paling sensitif tanpa perlu mengkhawatirkan beban operasional pengelolaan cluster HSM. Cloud HSM menyediakan lapisan abstraksi di atas modul HSM. Abstraksi ini memungkinkan Anda menggunakan kunci di integrasi CMEK atau API atau library klien Cloud KMS tanpa kode khusus HSM.

Versi kunci hardware lebih mahal, tetapi memberikan manfaat keamanan yang signifikan dibandingkan dengan kunci software. Setiap kunci Cloud HSM memiliki pernyataan pengesahan yang berisi informasi bersertifikat tentang kunci Anda. Pengesahan ini dan rantai sertifikat terkaitnya dapat digunakan untuk memverifikasi keaslian pernyataan dan atribut kunci serta HSM.

Tingkat perlindungan eksternal

Kunci Cloud External Key Manager (Cloud EKM) adalah kunci yang Anda kelola di layanan partner pengelolaan kunci eksternal (EKM) yang didukung dan digunakan diGoogle Cloud layanan serta API dan library klien Cloud KMS. Kunci Cloud EKM dapat didukung software atau hardware, bergantung pada penyedia EKM Anda. Anda dapat menggunakan kunci Cloud EKM di layanan yang terintegrasi dengan CMEK atau menggunakan API dan library klien Cloud KMS.

Tingkat perlindungan Cloud EKM adalah yang paling mahal. Saat Anda menggunakan kunci Cloud EKM, Anda dapat yakin bahwa Google Cloud tidak dapat mengakses materi kunci Anda.

Untuk melihat layanan yang terintegrasi dengan CMEK yang mendukung kunci Cloud EKM, lihat Integrasi CMEK dan terapkan filter Tampilkan hanya layanan yang kompatibel dengan EKM.

Tingkat perlindungan eksternal melalui internet

Anda dapat menggunakan kunci Cloud EKM melalui internet di semua lokasi yang didukung oleh Cloud KMS, kecuali nam-eur-asia1 dan global.

Tingkat perlindungan eksternal melalui VPC

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC untuk ketersediaan yang lebih baik dari kunci eksternal Anda. Ketersediaan yang lebih baik ini berarti peluang kunci Cloud EKM Anda dan resource yang dilindunginya menjadi tidak tersedia lebih kecil.

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC di sebagian besar lokasi regional yang didukung oleh Cloud KMS. Cloud EKM melalui jaringan VPC tidak tersedia di lokasi multi-region.

Langkah berikutnya

Pelajari layanan yang kompatibel yang memungkinkan Anda menggunakan kunci Anda di Google Cloud.
Pelajari cara membuat key ring dan membuat kunci enkripsi.
Pelajari cara mengimpor kunci.
Pelajari kunci eksternal.
Pelajari pertimbangan lain untuk menggunakan Cloud EKM.