כברירת מחדל, Compute Engine מצפין תוכן של לקוחות במנוחה. Compute Engine משתמש אוטומטית ב- Google-owned and Google-managed encryption keys כדי להצפין את הנתונים שלכם.
עם זאת, אתם יכולים לספק מפתחות להצפנת מפתחות הצפנה (KEK) כדי להתאים אישית את ההצפנה ש-Compute Engine משתמש בה עבור המשאבים שלכם. מפתחות להצפנת מפתחות לא מצפינים את הנתונים ישירות, אלא מצפינים אתGoogle-owned and managed keys ש-Compute Engine משתמש בו כדי להצפין את הנתונים.
יש שתי אפשרויות לספק מפתחות להצפנת מפתחות:
מומלץ. שימוש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם Compute Engine. שימוש במפתחות של Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בהרשאות השימוש והגישה ובגבולות הקריפטוגרפיים שלהם. בנוסף, באמצעות Cloud KMS אפשר לעקוב אחרי השימוש במפתחות, לראות יומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.
אתם יכולים ליצור CMEK באופן ידני, או להשתמש ב-Cloud KMS Autokey כדי שהמערכת תיצור אותם בשבילכם באופן אוטומטי.
ברוב המקרים, אחרי שיוצרים דיסק מוצפן באמצעות CMEK, לא צריך לציין את המפתח כשעובדים עם הדיסק.
אתם יכולים לנהל מפתחות הצפנה משלכם מחוץ ל-Compute Engine, ולספק את המפתח בכל פעם שאתם יוצרים או מנהלים דיסק. האפשרות הזו נקראת מפתחות הצפנה באספקת הלקוח (CSEK). כשמנהלים משאבים מוצפנים באמצעות CSEK, צריך תמיד לציין את המפתח שבו השתמשתם כשביצעתם את ההצפנה של המשאב.
מידע נוסף על כל סוג הצפנה מופיע במאמרים בנושא מפתחות הצפנה בניהול הלקוח ומפתחות הצפנה באספקת הלקוח (CSEK).
כדי להוסיף שכבת אבטחה נוספת לדיסקים מסוג Hyperdisk Balanced, מפעילים את מצב סודי. במצב סודי, הדיסקים של Hyperdisk Balanced מוצפנים על בסיס חומרה.
סוגי דיסקים נתמכים
בסעיף הזה מפורטים סוגי ההצפנה הנתמכים לדיסקים ולאפשרויות אחסון אחרות שמוצעות על ידי Compute Engine.
נפחי Persistent Disk תומכים ב-Google-owned and managed keys, ב-CMEK וב-CSEK.
Google Cloud Hyperdisk תומך ב-CMEK וב-Google-owned and managed keys. אי אפשר להשתמש במפתחות CSEK כדי להצפין Hyperdisks.
דיסקים של SSD מקומי תומכים רק ב-Google-owned and managed keys. אי אפשר להשתמש במפתחות CSEK או במפתחות CMEK כדי להצפין דיסקים של SSD מקומי.
שיבוטים של דיסקים וקבצים של מכונות וירטואליות תומכים ב-Google-owned and managed keys,CMEK ו-CSEK.
תמונות מצב רגילות ותמונות מצב מיידיות תומכות ב-Google-owned and managed keys, ב-CMEK וב-CSEK.
רוטציה של Google-owned and managed keys ו-CMEK
מערכת Compute Engine מבצעת רוטציה של Google-owned and managed keys שמשמשים להגנה על הנתונים שלכם מדי שנה. רוטציית מפתחות היא שיטה מומלצת בתחום אבטחת מידע, שמגבילה את ההשפעה הפוטנציאלית של מפתח שנפרץ.
אם אתם משתמשים במפתחות CMEK, מומלץ להפעיל סיבוב אוטומטי של המפתחות בדיסקים. מידע נוסף זמין במאמר ביצוע רוטציה של מפתח ההצפנה ב-Cloud KMS עבור דיסק.
CMEK עם Cloud KMS Autokey
אם אתם בוחרים להשתמש במפתחות Cloud KMS כדי להגן על משאבי Compute Engine, אתם יכולים ליצור CMEK באופן ידני או להשתמש ב-Cloud KMS Autokey כדי ליצור את המפתחות. עם Autokey, אוספי מפתחות ומפתחות נוצרים לפי דרישה כחלק מיצירת משאבים ב-Compute Engine. אם סוכני שירות שמשתמשים במפתחות לפעולות הצפנה ופענוח לא קיימים, הם נוצרים ומקבלים את התפקידים הנדרשים של ניהול זהויות והרשאות גישה (IAM). מידע נוסף מופיע במאמר סקירה כללית על Autokey.
כדי ללמוד איך להשתמש במפתחות CMEK שנוצרו על ידי Cloud KMS Autokey כדי להגן על משאבי Compute Engine, אפשר לעיין במאמר שימוש ב-Autokey עם משאבי Compute Engine.
Snapshots
כשמשתמשים ב-Autokey כדי ליצור מפתחות להגנה על משאבי Compute Engine, המערכת לא יוצרת מפתחות חדשים לתמונות מצב. צריך להצפין את התמונה באמצעות אותו מפתח ששימש להצפנת דיסק המקור. אם יוצרים תמונת מצב באמצעות מסוף Google Cloud , מפתח ההצפנה שבו נעשה שימוש בדיסק מוחל באופן אוטומטי על תמונת המצב. אם יוצרים תמונת מצב באמצעות ה-CLI של gcloud, Terraform או Compute Engine API, צריך לקבל את מזהה המשאב של המפתח ששימש להצפנת הדיסק, ואז להשתמש במפתח הזה כדי להצפין את תמונת המצב.
הצפנת דיסקים באמצעות מפתחות הצפנה בניהול הלקוח
מידע נוסף על שימוש במפתחות הצפנה בניהול הלקוח (CMEK) שנוצרו באופן ידני כדי להצפין דיסקים ומשאבים אחרים של Compute Engine זמין במאמר הגנה על משאבים באמצעות מפתחות Cloud KMS.
הצפנת דיסקים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK)
מידע על שימוש במפתחות הצפנה באספקת הלקוח (CSEK) להצפנת דיסקים ומשאבים אחרים ב-Compute Engine זמין במאמר הצפנת דיסקים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK).
הצגת סוג ההצפנה של דיסק
כדי לראות את סוג ההצפנה של דיסק, פועלים לפי השלבים במאמר הצגת מידע על הצפנה של דיסק.
מצב סודי ל-Hyperdisk Balanced
אם אתם משתמשים בConfidential Computing, אתם יכולים להרחיב את ההצפנה שמבוססת על חומרה גם לנפחי Hyperdisk Balanced על ידי הפעלת מצב חסוי.
המצב הסודי של נפחי Hyperdisk Balanced מאפשר לכם להפעיל אבטחה נוספת בלי שתצטרכו לשנות את האפליקציה. מצב סודיות הוא מאפיין שאפשר לציין כשיוצרים נפח אחסון חדש מסוג Hyperdisk Balanced.
אפשר להשתמש בנפחי Hyperdisk Balanced במצב סודי רק עם Confidential VMs.
כדי ליצור נפח אחסון Hyperdisk Balanced במצב סודי, פועלים לפי השלבים במאמר יצירת נפח אחסון Hyperdisk Balanced במצב סודי.
סוגי מכונות נתמכים לנפחי Hyperdisk Balanced במצב סודי
אפשר להשתמש בנפחי Hyperdisk Balanced במצב Confidential רק עם Confidential VMs שמשתמשות בסוג המכונה N2D.
אזורים נתמכים לנפחי Hyperdisk Balanced במצב סודי
המצב הסודי לנפחי אחסון מסוג Hyperdisk Balanced זמין באזורים הבאים:
europe-west4us-central1us-east4us-east5us-south1us-west4
מגבלות על נפחי אחסון מאוזנים של Hyperdisk במצב סודי
- Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML ו-Hyperdisk Balanced High Availability לא תומכים במצב סודי.
- אי אפשר להשהות או להפעיל מחדש מכונה וירטואלית שמשתמשת בנפחי Hyperdisk Balanced במצב Confidential.
- אי אפשר להשתמש ב-Hyperdisk Storage Pools עם נפחי Hyperdisk Balanced במצב סודי.
- אי אפשר ליצור קובץ אימג' של מכונה או תמונה בהתאמה אישית מנפח Hyperdisk Balanced במצב סודי.
המאמרים הבאים
- כדי ללמוד איך ליצור CMEK באופן אוטומטי, אפשר לעיין במאמר בנושא Cloud KMS עם Autokey (גרסת טרום-השקה).
- במאמר יצירת מפתחות הצפנה באמצעות Cloud KMS מוסבר איך ליצור מפתחות CMEK.
- הצפנה של דיסק באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).
- כדי ליצור נפח Hyperdisk Balanced במצב סודי, אפשר לעיין במאמר יצירת נפח Hyperdisk Balanced במצב סודי.
- מידע נוסף על הפורמט והמפרט של מפתחות CSEK