Esta página foi traduzida pela API Cloud Translation.

Níveis de proteção

Esta página compara os diferentes níveis de proteção compatíveis com o Cloud KMS:

Software: As chaves do Cloud KMS com o nível de proteção SOFTWARE são usadas para operações criptográficas realizadas em software. As chaves do Cloud KMS podem ser geradas pelo Google ou importadas.

Hardware: Cloud HSM com o nível de proteção HSM são armazenadas em um módulo de segurança de hardware (HSM) de propriedade do Google. As operações criptográficas que usam essas chaves são realizadas nos nossos HSMs. É possível usar as chaves do Cloud HSM da mesma forma que as chaves do Cloud KMS. As chaves do Cloud HSM podem ser geradas pelo Google ou importadas.

Externo pela Internet: As chaves do Cloud EKM com o nível de proteção EXTERNAL são geradas e armazenadas no seu sistema de gerenciamento de chaves externas (EKM). O Cloud EKM armazena material criptográfico adicional e um caminho para sua chave exclusiva, que é usada para acessar a chave pela Internet.
Externo por VPC: As chaves do Cloud EKM com o nível de proteção EXTERNAL_VPC são geradas e armazenadas no seu sistema de gerenciamento de chaves externas (EKM). O Cloud EKM armazena material criptográfico adicional e um caminho para sua chave exclusiva, que é usada para acessar a chave em uma rede de nuvem privada virtual (VPC).

As chaves com todos esses níveis de proteção compartilham os seguintes recursos:

Use suas chaves para serviços integrados de chave de criptografia gerenciada pelo cliente (CMEK) Google Cloud .

Observação: alguns serviços integrados ao CMEK não são compatíveis com chaves do Cloud EKM. Para saber quais serviços integrados ao CMEK são compatíveis com as chaves do Cloud EKM, consulte Integrações do CMEK.
Use suas chaves com as APIs ou bibliotecas de cliente do Cloud KMS sem qualquer código especializado com base no nível de proteção da chave.
Controle o acesso às suas chaves usando papéis do Identity and Access Management (IAM).
Controle se cada versão da chave está Ativada ou Desativada no Cloud KMS.
As principais operações são capturadas nos registros de auditoria. A geração de registros de acesso a dados pode ser ativada.

Nível de proteção de software

O Cloud KMS usa o módulo BoringCrypto (BCM) para todas as operações criptográficas de chaves de software. O BCM é validado pelo FIPS 140-2. As chaves de software do Cloud KMS usam primitivos criptográficos validados pelo FIPS 140-2 Nível 1 do BCM.

O nível de proteção de software é o mais barato. As chaves de software são uma boa opção para casos de uso que não têm requisitos regulamentares específicos para um nível de validação FIPs 140-2 mais alto.

Nível de proteção de hardware

O Cloud HSM ajuda você a impor conformidade regulatória para suas cargas de trabalho em Google Cloud. Com o Cloud HSM, é possível gerar chaves de criptografia e realizar operações criptográficas em HSMs validados pelo FIPS 140-2 Nível 3. O serviço é totalmente gerenciado, então você pode proteger suas cargas de trabalho mais sensíveis sem se preocupar com a sobrecarga operacional de gerenciar um cluster de HSM. O Cloud HSM oferece uma camada de abstração sobre os módulos de HSM. Essa abstração permite usar as chaves em integrações da CMEK ou nas APIs ou bibliotecas de cliente do Cloud KMS sem código específico do HSM.

As versões de chaves de hardware são mais caras, mas oferecem benefícios de segurança substanciais em relação às chaves de software. Cada chave do Cloud HSM tem uma declaração de atestado que contém informações certificadas sobre ela. Esse atestado e as cadeias de certificados associadas podem ser usados para verificar a autenticidade da declaração e os atributos da chave e do HSM.

Níveis de proteção externa

As chaves do Cloud External Key Manager (Cloud EKM) são gerenciadas em um serviço de parceiro de gerenciamento de chaves externas (EKM) compatível e usadas emGoogle Cloud serviços, APIs do Cloud KMS e bibliotecas de cliente. As chaves do Cloud EKM podem ser protegidas por software ou hardware, dependendo do provedor de EKM. É possível usar as chaves do Cloud EKM em serviços integrados à CMEK ou usando as APIs e bibliotecas de cliente do Cloud KMS.

Os níveis de proteção do Cloud EKM são os mais caros. Ao usar chaves do Cloud EKM, você pode ter certeza de que o Google Cloud não tem acesso ao seu material de chave.

Para saber quais serviços integrados à CMEK são compatíveis com chaves do Cloud EKM, consulte Integrações de CMEK e aplique o filtro Mostrar apenas serviços compatíveis com EKM.

Nível de proteção externa pela Internet

É possível usar chaves do Cloud EKM pela Internet em todos os locais compatíveis com o Cloud KMS, exceto nam-eur-asia1 e global.

Nível de proteção externa por VPC

É possível usar chaves do Cloud EKM em uma rede VPC para melhorar a disponibilidade das suas chaves externas. Essa disponibilidade melhor significa que há menos chances de as chaves do Cloud EKM e os recursos que elas protegem ficarem indisponíveis.

É possível usar chaves do Cloud EKM em uma rede VPC na maioria dos locais regionais compatíveis com o Cloud KMS. O Cloud EKM em uma rede VPC não está disponível em locais multirregionais.

A seguir

Saiba mais sobre os serviços compatíveis que permitem usar suas chaves no Google Cloud.
Saiba como criar keyrings e chaves de criptografia.
Saiba mais sobre como importar chaves.
Saiba mais sobre chaves externas.
Saiba mais sobre outras considerações para usar o Cloud EKM.