Por predefinição, o Compute Engine encripta o conteúdo do cliente em repouso. O Compute Engine usa automaticamente Google-owned and Google-managed encryption keys para encriptar os seus dados.
No entanto, pode personalizar a encriptação que o Compute Engine usa para os seus recursos fornecendo chaves de encriptação de chaves (KEKs). As chaves de encriptação de chaves não encriptam diretamente os seus dados, mas encriptam a Google-owned and managed keys que o Compute Engine usa para encriptar os seus dados.
Tem duas opções para fornecer chaves de encriptação de chaves:
Recomendado. Use chaves de encriptação geridas pelo cliente (CMEKs) no Cloud KMS com o Compute Engine. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, autorizações de utilização e acesso, bem como limites criptográficos. A utilização do Cloud KMS também permite monitorizar a utilização das chaves, ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.
Pode criar CMEKs manualmente ou usar o Cloud KMS Autokey para que sejam criadas automaticamente em seu nome.
Na maioria dos casos, depois de criar um disco encriptado com CMEK, não precisa de especificar a chave quando trabalha com o disco.
Pode gerir as suas próprias chaves de encriptação de chaves fora do Compute Engine e fornecer a chave sempre que criar ou gerir um disco. Esta opção é conhecida como chaves de encriptação fornecidas pelo cliente (CSEKs). Quando gere recursos encriptados com CSEK, tem sempre de especificar a chave que usou quando encriptou o recurso.
Para mais informações acerca de cada tipo de encriptação, consulte os artigos Chaves de encriptação geridas pelo cliente e Chaves de encriptação fornecidas pelo cliente.
Para adicionar uma camada de segurança adicional aos seus discos Hyperdisk Balanced, ative o modo confidencial. O modo confidencial adiciona encriptação baseada em hardware aos seus discos Hyperdisk Balanced.
Tipos de discos suportados
Esta secção apresenta os tipos de encriptação suportados para discos e outras opções de armazenamento oferecidas pelo Compute Engine.
Os volumes de discos persistentes suportam Google-owned and managed keys, CMEKs e CSEKs.
O Google Cloud Hyperdisk suporta CMEKs e Google-owned and managed keys. Não pode usar CSEKs para encriptar Hyperdisks.
Os discos SSD locais só suportam Google-owned and managed keys. Não pode usar CSEKs nem CMEKs para encriptar discos SSD locais.
Os clones de disco e as imagens de máquinas suportamGoogle-owned and managed keys,CMEKs e CSEKs.
As cópias instantâneas padrão e as cópias instantâneas suportamGoogle-owned and managed keys, CMEKs e CSEKs.
Rotação para Google-owned and managed keys e CMEKs
O Compute Engine roda as chaves de encriptação usadas para proteger os seus dados anualmente. Google-owned and managed keysA rotação de chaves é uma prática recomendada da indústria para a segurança de dados que limita o potencial impacto de uma chave comprometida.
Se usar CMEKs, a Google recomenda que ative a rotação automática para os seus discos. Para mais informações, consulte o artigo Alterne a chave de encriptação do Cloud KMS para um disco.
CMEK com chave automática do Cloud KMS
Se optar por usar chaves do Cloud KMS para proteger os seus recursos do Compute Engine, pode criar CMEKs manualmente ou usar a chave automática do Cloud KMS para criar as chaves. Com o Autokey, os conjuntos de chaves e as chaves são gerados a pedido como parte da criação de recursos no Compute Engine. Os agentes de serviço que usam as chaves para operações de encriptação e desencriptação são criados se ainda não existirem e recebem as funções de gestão de identidade e de acesso (IAM) necessárias. Para mais informações, consulte o artigo Vista geral do Autokey.
Para saber como usar as CMEKs criadas pela chave automática do Cloud KMS para proteger os seus recursos do Compute Engine, consulte o artigo Usar a chave automática com recursos do Compute Engine.
Instantâneos
Quando usa o Autokey para criar chaves para proteger os seus recursos do Compute Engine, o Autokey não cria novas chaves para instantâneos. Tem de encriptar uma imagem instantânea com a mesma chave usada para encriptar o disco de origem. Se criar uma imagem instantânea através da consola Google Cloud , a chave de encriptação usada pelo disco é aplicada automaticamente à imagem instantânea. Se criar uma captura de ecrã através da CLI gcloud, do Terraform ou da API Compute Engine, tem de obter o identificador do recurso da chave usada para encriptar o disco e, em seguida, usar essa chave para encriptar a captura de ecrã.
Encripte discos com chaves de encriptação geridas pelo cliente
Para mais informações sobre como usar chaves de encriptação geridas pelo cliente (CMEK) criadas manualmente para encriptar discos e outros recursos do Compute Engine, consulte o artigo Proteja os recursos através de chaves do Cloud KMS.
Encripte discos com chaves de encriptação fornecidas pelos clientes
Para saber como usar chaves de encriptação fornecidas pelo cliente (CSEK) para encriptar discos e outros recursos do Compute Engine, consulte o artigo Encriptar discos com chaves de encriptação fornecidas pelo cliente.
Veja o tipo de encriptação de um disco
Para ver o tipo de encriptação de um disco, siga os passos descritos no artigo Veja informações sobre a encriptação de um disco.
Modo confidencial para o Hyperdisk Balanced
Se usar a computação confidencial, pode estender a encriptação baseada em hardware aos seus volumes Hyperdisk Balanced ativando o modo confidencial.
O modo confidencial para os seus volumes Hyperdisk Balanced permite-lhe ativar segurança adicional sem ter de refatorar a aplicação. O modo confidencial é uma propriedade que pode especificar quando cria um novo volume equilibrado do Hyperdisk.
Os volumes equilibrados do Hyperdisk no modo confidencial só podem ser usados com VMs confidenciais.
Para criar um volume Hyperdisk Balanced no modo confidencial, siga os passos em Crie um volume Hyperdisk Balanced no modo confidencial.
Tipos de máquinas suportados para volumes Hyperdisk Balanced no modo confidencial
Os volumes equilibrados do Hyperdisk no modo confidencial só podem ser usados com VMs confidenciais que usam o tipo de máquina N2D.
Regiões suportadas para volumes Hyperdisk Balanced no modo confidencial
O modo confidencial para volumes Hyperdisk Balanced está disponível nas seguintes regiões:
europe-west4us-central1us-east4us-east5us-south1us-west4
Limitações para volumes Hyperdisk Balanced no modo confidencial
- O Hyperdisk Extreme, o Hyperdisk Throughput, o Hyperdisk ML e o Hyperdisk Balanced de alta disponibilidade não suportam o modo confidencial.
- Não é possível suspender nem retomar uma VM que use volumes Hyperdisk Balanced no modo confidencial.
- Não pode usar pools de armazenamento Hyperdisk com volumes Hyperdisk Balanced no modo confidencial.
- Não pode criar uma imagem de máquina nem uma imagem personalizada a partir de um volume Hyperdisk Balanced no modo confidencial.
O que se segue?
- Para saber como automatizar a criação de CMEKs, consulte o artigo Cloud KMS com Autokey (pré-visualização).
- Para saber como criar CMEKs, consulte o artigo Crie chaves de encriptação com o Cloud KMS.
- Encriptar um disco com chaves de encriptação geridas pelo cliente (CMEKs).
- Para criar um volume Hyperdisk Balanced no modo confidencial, consulte o artigo Crie um volume Hyperdisk Balanced no modo confidencial.
- Saiba mais acerca do formato e da especificação para CSEKs.