De forma predeterminada, Compute Engine encripta el contenido del cliente en reposo. Compute Engine usa automáticamente Google-owned and Google-managed encryption keyspara encriptar tus datos.
Sin embargo, puedes personalizar la encriptación que Compute Engine usa para tus recursos proporcionando claves de encriptación de claves (KEK). Las claves de encriptación de claves no encriptan tus datos de forma directa, sino que encriptan elGoogle-owned and managed keys que Compute Engine usa para encriptar tus datos.
Tienes dos opciones para proporcionar claves de encriptación de claves:
Recomendada. Usa claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con Compute Engine. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Puedes crear CMEK de forma manual o usar la clave automática de Cloud KMS para que se creen automáticamente en tu nombre.
En la mayoría de los casos, después de crear un disco encriptado con CMEK, no es necesario especificar la clave cuando trabaje con el disco.
Puedes administrar tus propias claves de encriptación de claves fuera de Compute Engine y proporcionar la clave cada vez que crees o administres un disco. Esta opción se conoce como claves de encriptación proporcionadas por el cliente (CSEKs). Cuando administras recursos encriptados con CSEK, siempre debes especificar la clave que usaste cuando encriptaste el recurso.
Para obtener más información sobre cada tipo de encriptación, consulta Claves de encriptación administradas por el cliente y Claves de encriptación proporcionadas por el cliente.
Para agregar una capa adicional de seguridad a tus discos de Hyperdisk Balanced, habilita el modo confidencial. El modo confidencial agrega encriptación basada en hardware a tus discos Hyperdisk Balanced.
Tipos de discos compatibles
En esta sección, se enumeran los tipos de encriptación compatibles para los discos y otras opciones de almacenamiento que ofrece Compute Engine.
Los volúmenes de Persistent Disk admitenGoogle-owned and managed keys, CMEK y CSEK.
Google Cloud Hyperdisk admite CMEKs yGoogle-owned and managed keys. No puedes usar CSEKs para encriptar Hyperdisks.
Los discos SSD locales solo admitenGoogle-owned and managed keys. No puedes usar CSEK ni CMEK para encriptar discos SSD locales.
Las clonaciones de discos y las imágenes de máquina admitenGoogle-owned and managed keys, CMEK y CSEK.
Las instantáneas estándar y las instantáneas inmediatas admitenGoogle-owned and managed keys, CMEK y CSEK.
Rotación para Google-owned and managed keys y CMEK
Compute Engine rota el Google-owned and managed keysque se usa para proteger tus datos anualmente. La rotación de claves es una práctica recomendada de la industria para la seguridad de los datos que limita el impacto potencial de una clave vulnerada.
Si usas CMEK, Google recomienda que habilites la rotación automática para tus discos. Para obtener más información, consulta Rota la clave de encriptación de Cloud KMS para un disco.
CMEK con Autokey de Cloud KMS
Si decides usar claves de Cloud KMS para proteger tus recursos de Compute Engine, puedes crear CMEK de forma manual o usar la clave automática de Cloud KMS para crear las claves. Con Autokey, los llaveros de claves y las claves se generan a pedido como parte de la creación de recursos en Compute Engine. Los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación se crean si aún no existen y se les otorgan los roles de Identity and Access Management (IAM) necesarios. Para obtener más información, consulta Descripción general de las claves automáticas.
Para obtener información sobre cómo usar las CMEK que crea la clave automática de Cloud KMS para proteger tus recursos de Compute Engine, consulta Cómo usar la clave automática con recursos de Compute Engine.
Instantáneas
Cuando usas Autokey para crear claves que protejan tus recursos de Compute Engine, Autokey no crea claves nuevas para las instantáneas. Debes encriptar una instantánea con la misma clave que se usó para encriptar el disco de origen. Si creas una instantánea con la consola de Google Cloud , la clave de encriptación que usa el disco se aplica automáticamente a la instantánea. Si creas una instantánea con la gcloud CLI, Terraform o la API de Compute Engine, debes obtener el identificador de recursos de la clave que se usa para encriptar el disco y, luego, usar esa clave para encriptar la instantánea.
Encripta datos con claves de encriptación administradas por el cliente
Si deseas obtener más información para usar las claves de encriptación administradas por el cliente (CMEK) creadas de forma manual para encriptar discos y otros recursos de Compute Engine, consulta Protege recursos a través de las claves de Cloud KMS.
Encripta discos con claves de encriptación proporcionadas por el cliente
Para aprender a usar las claves de encriptación proporcionadas por el cliente (CSEK) para encriptar discos y otros recursos de Compute Engine, consulta Encripta discos con claves de encriptación proporcionadas por el cliente.
Cómo ver el tipo de encriptación de un disco
Para ver el tipo de encriptación de un disco, sigue los pasos que se indican en Visualiza información sobre la encriptación de un disco.
Modo confidencial para Hyperdisk Balanced
Si usas Confidential Computing, puedes extender la encriptación basada en hardware a tus volúmenes de Hyperdisk Balanced habilitando el modo confidencial.
El modo confidencial para tus volúmenes de Hyperdisk Balanced te permite habilitar seguridad adicional sin tener que refactorizar la aplicación. El modo confidencial es una propiedad que puedes especificar cuando creas un volumen de Hyperdisk Balanced nuevo.
Los volúmenes de Hyperdisk Balanced en modo confidencial solo se pueden usar con Confidential VMs.
Para crear un volumen de Hyperdisk Balanced en modo confidencial, sigue los pasos que se indican en Crea un volumen de Hyperdisk Balanced en modo confidencial.
Tipos de máquinas compatibles con volúmenes de Hyperdisk Balanced en modo confidencial
Los volúmenes de Hyperdisk Balanced en modo confidencial solo se pueden usar con Confidential VMs que usen el tipo de máquina N2D.
Regiones admitidas para los volúmenes de Hyperdisk Balanced en modo confidencial
El modo confidencial para los volúmenes de Hyperdisk Balanced está disponible en las siguientes regiones:
europe-west4us-central1us-east4us-east5us-south1us-west4
Limitaciones para los volúmenes de Hyperdisk Balanced en modo confidencial
- Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML y Hyperdisk Balanced High Availability no admiten el modo confidencial.
- No puedes suspender ni reanudar una VM que use volúmenes de Hyperdisk Balanced en el modo confidencial.
- No puedes usar grupos de almacenamiento de Hyperdisk con volúmenes de Hyperdisk Balanced en modo confidencial.
- No puedes crear una imagen de máquina ni una imagen personalizada a partir de un volumen de Hyperdisk Balanced en modo confidencial.
¿Qué sigue?
- Para obtener información sobre cómo automatizar la creación de CMEK, consulta Cloud KMS con clave automática (vista previa).
- Para aprender a crear CMEKs, consulta Crea claves de encriptación con Cloud KMS.
- Encripta un disco con claves de encriptación administradas por el cliente (CMEKs).
- Para crear un volumen de Hyperdisk Balanced en modo confidencial, consulta Crea un volumen de Hyperdisk Balanced en modo confidencial.
- Obtén más información sobre el formato y la especificación de CSEKs.