Arquitectura de Cloud HSM

Este contenido se actualizó por última vez en enero de 2025 y representa el statu quo en el momento de su redacción. Es posible que en el futuro cambien las políticas y los sistemas de seguridad de Google, ya que mejoramos la protección de nuestros clientes de forma continua.

Cloud HSM forma parte de la arquitectura de Cloud Key Management Service (Cloud KMS) y proporciona el backend para aprovisionar y administrar claves protegidas por hardware. Para ayudarte a cumplir con las regulaciones corporativas y de cumplimiento, Cloud HSM te permite generar tus claves de encriptación y realizar operaciones criptográficas en los módulos de seguridad de hardware (HSM) certificados con el nivel 3 del estándar FIPS 140-2.

En este documento se describe la arquitectura de Cloud HSM, incluido cómo se administra y se crean las claves y el hardware. Para obtener más información sobre Cloud KMS, consulta Encriptación de Cloud Key Management Service.

Descripción general

Las operaciones criptográficas incluyen las siguientes:

  • Encripta datos en reposo
  • Protección de las claves privadas para Certificate Authority Service
  • Proteger las claves de encriptación de datos para que se puedan almacenar junto con los datos encriptados
  • Generar y usar claves asimétricas para operaciones criptográficas, como firmas digitales y autenticación

Cloud HSM usa Marvell LiquidSecurity HSM (modelos CNL3560-NFBE-2.0-G y CNL3560-NFBE-3.0-G) con la versión de firmware 3.4 compilación 09. Para obtener más información sobre nuestra certificación, consulta Certificado 4399. Para obtener información sobre los dispositivos HSM y las claves protegidas por hardware, consulta atestación de claves.

Cloud HSM está completamente administrado para que puedas proteger tus cargas de trabajo sin la sobrecarga operativa de administrar un clúster de HSM. El servicio proporciona las siguientes ventajas:

  • Disponibilidad global
  • Una API coherente y unificada
  • Ajuste de escala automático según tu uso
  • Administración centralizada y cumplimiento de las normativas

Cloud HSM está disponible en todas las Google Cloud regiones del mundo, incluidas las multirregiones que abarcan ubicaciones geográficas más grandes. Debes usar el extremo del servicio de Cloud KMS para crear y usar claves protegidas por hardware en Cloud HSM para proteger tus datos, incluidos los datos que almacenas en otros servicios deGoogle Cloud , como BigQuery, Cloud Storage y Persistent Disk.

Con Cloud HSM, puedes usar claves protegidas por hardware sin tener que administrar el hardware del HSM por tu cuenta. Google posee y administra el hardware del HSM, lo que incluye la implementación, la configuración, la supervisión, la aplicación de parches y el mantenimiento. Cuando usas Cloud HSM, tus datos están estrictamente aislados de otros usuarios y servicios en Google Cloud. La API del plano de datos de Cloud HSM, que forma parte de la API de Cloud Key Management Service, te permite administrar las claves protegidas por hardware de manera programática.

Cloud HSM admite la clave automática de Cloud KMS protegida por hardware y las claves de encriptación administradas por el cliente (CMEK), en los lugares en los que los servicios de Google Cloud admiten las claves CMEK. Por ejemplo, puedes encriptar datos en buckets de Cloud Storage o tablas de Cloud SQL con una clave de Cloud HSM que administres.

Administración de Cloud HSM

Dentro de Cloud HSM, los ingenieros de confiabilidad de sitios (SRE) y los técnicos que trabajan en cada Google Cloudmantienen los clústeres de los HSM. Google maneja la seguridad física, la seguridad lógica, la infraestructura, la planificación de la capacidad, la expansión geográfica y la planificación de recuperación ante desastres del centro de datos.

Abstracción del hardware de HSM

Por lo general, las aplicaciones se comunican directamente con los HSM mediante PKCS#11 y una API de administración de clústeres. Esta comunicación requiere que mantengas un código especializado para cargas de trabajo que usan o administran claves protegidas por hardware.

Cloud HSM abstrae la comunicación del HSM mediante el proxy de solicitudes para claves protegidas por hardware, a través de la API de Cloud Key Management Service. La abstracción reduce la necesidad de código específico de HSM. Cloud HSM hereda la integración estrecha con Cloud KMS.

La integración estrecha con Cloud KMS proporciona importantes beneficios de seguridad. La API de Cloud Key Management Service reduce de forma significativa la amplitud de la interfaz de HSM disponible, lo que reduce el riesgo en el caso de una violación de la seguridad del cliente. Por ejemplo, un atacante no podría limpiar los HSM completos. De forma predeterminada, los intentos de destruir claves individuales se mitigan mediante un período de seguridad de 30 días predeterminado. Puedes configurar el política de la organización constraints/cloudkms.minimumDestroyScheduledDuration para aplicar una longitud mínima programada para la duración de la destrucción de las claves nuevas y la política de la organización constraints/cloudkms.disableBeforeDestroy para borrar versiones de clave solo cuando están inhabilitadas. Para obtener más información, consulta Controla la destrucción de las versiones de claves.

Puedes controlar el acceso a los recursos de HSM mediante Identity and Access Management (IAM). Es menos probable que la configuración de IAM sufra configuraciones incorrectas y errores que una solución de HSM personalizada.

En el siguiente diagrama, se muestra la arquitectura de Cloud HSM.

Diagrama de la arquitectura de Cloud HSM

Separación geográfica estricta por diseño

En Cloud HSM, puedes elegir hacer que las claves estén disponibles de forma global o aplicar restricciones geográficas estrictas en las claves que requieren restricciones.

A menudo, los HSM se dividen en particiones para que un solo dispositivo físico pueda funcionar como varios dispositivos lógicos. Puedes usar particiones para reducir los costos de implementación en casos en los que necesites separar la administración y las claves de HSM. En el siguiente diagrama, se muestran las particiones en tres regiones.

Diagrama de la ubicación geográfica de Cloud HSM

Para aislar las claves de cada región y multirregión, cada región de Cloud HSM está asociada con una clave de unión regional de HSM independiente (consulta el diagrama en Creación de claves). Para admitir la alta disponibilidad, la clave de unión se clona en particiones en cada HSM ubicado físicamente en la región. Las claves regionales del HSM no salen del HSM en esa ubicación. La clonación permite que los HSM en la misma región entreguen el mismo conjunto de claves de cliente y garantiza que los HSM fuera de la región no puedan entregar esas claves.

Cloud HSM también crea multirregiones con claves de unión. Todas las claves de cliente de una multirregión se unen con una clave de unión presente en una partición en todas las ubicaciones que constituyen la multirregión. El servicio usa el mismo hardware para multirregiones, pero proporciona el mismo aislamiento sólido entre regiones y multirregiones que existe entre diferentes regiones.

El esquema de regionalización requiere que las claves de unión solo se repliquen en las particiones adecuadas. Varios miembros del equipo de Cloud HSM deben aprobar cada cambio de configuración antes de que se active. Los técnicos de centros de datos no pueden acceder a una configuración de HSM, un entorno de ejecución ni un almacenamiento.

Administración centralizada

En un centro de datos convencional que aloja HSM, la administración de los HSM y sus recursos es completamente independiente de la administración de otras claves protegidas por hardware. Cloud HSM está estrechamente integrado en Google Cloud, lo que te permite administrar sin problemas tus recursos de Cloud HSM. Por ejemplo, puedes administrar lo siguiente:

  • Administra tus claves protegidas por hardware junto con tus otras claves en Cloud KMS y las claves administradas de forma externa en Cloud External Key Manager (Cloud EKM).
  • Administras el acceso a las claves protegidas por hardware dentro de IAM.
  • Los informes de costos para las operaciones criptográficas que usan claves protegidas por hardware se informan en Facturación de Cloud.
  • Puedes usar las claves protegidas por hardware de manera transparente en todos los Google Cloudservicios que admiten la encriptación de recursos con CMEK. Las integraciones de CMEK requieren que la clave de CMEK y los datos que encripta se encuentren en ubicaciones geográficas compatibles. Debido a la estricta restricción geográfica de las claves de Cloud HSM, toda encriptación y desencriptación de los datos de CMEK también están restringidas geográficamente.
  • Las operaciones administrativas en las claves protegidas por hardware siempre se registran en la capa de la API en Registros de auditoría de Cloud. También puedes optar por habilitar el registro de acceso a los datos. Para obtener más información, consulta Información de registro de auditoría de Cloud KMS.
  • Google trabaja directamente con el fabricante de HSM para mantener el hardware y el software de cada HSM actualizados, además de encontrar y solucionar problemas en tiempo real. En el caso de un ataque de día cero en HSM, Google puede inhabilitar de manera selectiva las instrucciones de código afectadas en los clústeres de HSM afectados hasta que se corrija el ataque.
  • Puedes hacer un seguimiento de tus claves, incluidas las protegidas por hardware y los recursos que encriptan, con los paneles de seguimiento del uso de claves.

Experiencia del desarrollador y del usuario

Debido a que Google es responsable de la administración de HSM, Cloud HSM ofrece importantes beneficios para los desarrolladores y usuarios finales.

HSM a escala de Google

Cuando dependes de hardware que existe de forma local o en centros de datos, el hardware puede crear un cuello de botella en el rendimiento o convertirse en un punto único de fallo. Cloud HSM está diseñado para ser extremadamente resiliente a las cargas de trabajo y las fallas de hardware impredecibles. El backend de Cloud HSM usa un grupo de HSM en cada región para garantizar una alta disponibilidad y escalabilidad. Este grupo de HSM permite que Cloud HSM también proporcione una alta capacidad de procesamiento. Para obtener más información, consulta Supervisa y ajusta las cuotas de Cloud KMS.

Todas las claves de cliente se almacenan unidas con una clave de unión regional en la base de datos de Cloud KMS y solo pueden separarse mediante un HSM en la región como parte de una operación criptográfica. Esta unión tiene los siguientes beneficios:

  • La durabilidad de una clave no está vinculada a un HSM o subconjunto de HSM específico en una región.
  • Cada cliente de Cloud HSM experimenta la escala y disponibilidad completas de los clústeres de Cloud HSM que entregan sus claves.
  • Cloud HSM puede manejar un conjunto de claves mucho más grande que se puede almacenar en un HSM.
  • Agregar o reemplazar un HSM es rápido y seguro.

Diseño unificado de API

Cloud HSM y Cloud KMS comparten una API común de administración y plano de datos. Los detalles internos de la comunicación con un HSM se abstraen del emisor.

En consecuencia, no se requieren cambios de código para actualizar una aplicación existente que usa claves de software en Cloud KMS a fin de admitir claves protegidas por hardware. En su lugar, debes actualizar el nombre del recurso de la clave que deseas usar.

Compatibilidad con PKCS#11

Puedes usar la API de Cloud Key Management Service para conectar tus aplicaciones existentes a Cloud HSM y administrar las claves criptográficas. La biblioteca PKCS#11 te permite usar claves protegidas por hardware para firmar tus objetos binarios y entregar sesiones web de TLS.

Seguridad y cumplimiento de las normativas

Cloud HSM obtuvo el cumplimiento de varias regulaciones, incluidas FedRAMP High, C5:2020 y OSPAR. Además, Cloud HSM te ayuda a aplicar el cumplimiento normativo para tus cargas de trabajo en la nube.

Certificación de claves criptográficas

Cada vez que generas o importas una clave de Cloud HSM, el HSM genera una declaración de certificación que se firma con una clave de firma asociada con la partición. La instrucción contiene información sobre los atributos de tu clave. La clave de firma está respaldada por cadenas de certificados con permisos de administrador de Google y del fabricante de HSM. Puedes descargar la declaración de certificación y los certificados para verificar la autenticidad de la declaración y validar las propiedades de la clave y el HSM que la generó o importó.

La cadena de certificados te permite verificar lo siguiente:

  • El hardware y firmware de HSM son genuinos.
  • Google administra el HSM y la partición de HSM.
  • HSM está en el modo de operación FIPS.

El contenido de la declaración de certificación te permite verificar lo siguiente:

  • La clave no se puede extraer.
  • La clave se generó para tu CryptoKeyVersion.
  • La clave pública en un par de claves asimétricas corresponde a una clave privada protegida por hardware.
  • El material de clave de una clave simétrica importada coincide con el valor que uniste.

Importación de claves segura directamente a HSM

Puedes importar claves existentes de forma segura a Cloud HSM para mantener una copia de seguridad del material de la clave fuera de Google Cloudo simplificar la migración de ciertas cargas de trabajo a Google Cloud. El proceso de importación de claves no permite a Google ningún acceso directo al material de clave separado. Cloud HSM te proporciona una declaración de certificación para la clave de unión generada por HSM para validar que no se produjo el acceso.

Debido a que la importación de claves podría generar riesgos de seguridad y cumplimiento, ya que permite que los usuarios traigan claves de fuentes desconocidas, los roles de IAM separados permiten un control detallado sobre quién puede importar claves a un proyecto. Las claves importadas se pueden distinguir por la declaración de certificación que HSM genera en la importación.

Para obtener más información, consulta Importa una clave a Cloud Key Management Service.

Protección del hardware de HSM por los procedimientos de seguridad estrictos

Tal como lo exige el nivel 3 del estándar FIPS 140-2, los dispositivos HSM tienen mecanismos integrados para ofrecer protección contra la manipulación física y proporcionar evidencia de estos.

Además de las garantías proporcionadas por el hardware de HSM, la infraestructura de Cloud HSM se administra de acuerdo con la descripción general del diseño de seguridad de la infraestructura de Google.

Los siguientes procedimientos documentados y auditables protegen la integridad de cada HSM durante el aprovisionamiento, la implementación y la producción:

  • Todos los SRE de Cloud HSM deben verificarse mediante todas las configuraciones de HSM antes de implementarlas en un centro de datos.
  • Después de que un HSM se activa, solo los SRE de Cloud HSM pueden iniciar y verificar un cambio de configuración.
  • Un HSM solo puede recibir firmware que esté firmado por el fabricante de HSM.
  • El hardware de HSM no está expuesto directamente a ninguna red.
  • Los servidores que alojan el hardware de HSM no pueden ejecutar procesos no autorizados.

Las obligaciones para los operadores de sistemas se definen en procedimientos operativos estándar. Los operadores de sistemas no pueden acceder al material de las claves de cliente, usarlo ni extraerlo mientras realizan sus tareas.

Aislamiento de servicios y usuarios

La arquitectura de Cloud HSM garantiza que los HSM estén protegidos de la interferencia maliciosa o involuntaria de otros servicios o usuarios.

Un HSM que forma parte de esta arquitectura acepta solicitudes solo desde Cloud HSM, y el servicio de Cloud HSM acepta solicitudes solo desde el servicio de Cloud KMS. El servicio de Cloud KMS exige que los llamadores tengan los permisos de IAM adecuados en las claves que intentan usar. Las solicitudes no autorizadas no llegan a los HSM.

Las claves protegidas por hardware también están sujetas a cuotas para las operaciones criptográficas. Estas cuotas protegen tu capacidad de ejecutar las cargas de trabajo, ya que ayudan a evitar intentos involuntarios o maliciosos de sobrecargar el servicio. Las cuotas predeterminadas se basan en los patrones de uso observados. Las cuotas son significativamente por debajo de la capacidad del servicio y se pueden aumentar bajo solicitud.

Flujos de solicitud

En esta sección, se muestra cómo se aplica la arquitectura de Cloud HSM en la práctica, ya que se muestran los pasos para diferentes tipos de solicitudes. Estos flujos destacan las partes de Cloud HSM. Para obtener más información sobre los pasos comunes a todas las claves, consulta el análisis detallado de Cloud Key Management Service.

Crea claves

Cuando creas una clave protegida por hardware, la API de Cloud Key Management Service no crea el material de clave, pero solicita que el HSM lo cree.

Un HSM solo puede crear claves en ubicaciones que admita. Cada partición en un HSM contiene una clave de unión correspondiente a una ubicación de Cloud KMS. La clave de unión se comparte entre todas las particiones que admiten la ubicación de Cloud KMS.

En el siguiente diagrama, se muestra cómo se empaquetan las claves protegidas por hardware en Cloud KMS.

Diagrama de creación de claves de HSM.

El proceso de creación de claves se ve de la siguiente manera:

  1. El Google Front End Service (GFE) enruta la solicitud de creación de claves a un servidor de Cloud KMS en la ubicación que corresponde a la solicitud.
  2. La API de Cloud Key Management Service verifica la identidad del emisor, su permiso para crear claves en el proyecto y que tenga suficiente cuota de solicitudes de escritura.
  3. La API de Cloud Key Management Service reenvía la solicitud a Cloud HSM.
  4. Cloud HSM interactúa directamente con el HSM. El HSM:
    1. Crea la clave y la une con la clave de unión específica de la ubicación.
    2. Crea la declaración de certificación para la clave y la firma con la clave de firma de partición.
  5. Después de que Cloud HSM devuelve la clave unida y la certificación a Cloud KMS, la API de Cloud Key Management Service une la clave unida con HSM según la jerarquía de claves de Cloud KMS y, luego, la escribe en el proyecto.

Este diseño garantiza que la clave no se pueda separar ni usar fuera de un HSM, no se pueda extraer del HSM y exista en su estado separado solo dentro de ubicaciones especificadas.

Operaciones criptográficas

Cuando realizas una operación criptográfica en Cloud KMS, no necesitas saber si usas una clave protegida por hardware o por software. Cuando la API de Cloud Key Management Service detecta que una operación involucra una clave protegida por hardware, reenvía la solicitud a un HSM en la misma ubicación. Los siguientes son los pasos para una operación criptográfica:

  1. El GFE enruta la solicitud a un servidor de Cloud KMS en la ubicación adecuada. La API de Cloud Key Management Service verifica la identidad del emisor, su permiso para acceder a la clave y realizar la operación, y la cuota del proyecto para las operaciones criptográficas.
  2. La API de Cloud Key Management Service recupera la clave unida del almacén de datos y desencripta un nivel de encriptación mediante la clave maestra de Cloud KMS. La clave aún está unida con la clave de unión de HSM para la ubicación de KMS.
  3. La API de Cloud Key Management Service detecta que el nivel de protección es HSM y envía la clave parcialmente separada, junto con las entradas a la operación criptográfica, a Cloud HSM.
  4. Cloud HSM interactúa directamente con el HSM. HSM completa las siguientes operaciones:
    1. Comprueba que la clave unida y sus atributos no se hayan modificado.
    2. Separa la clave y la carga en el almacenamiento de HSM.
    3. Realiza la operación criptográfica y muestra el resultado.
  5. La API de Cloud Key Management Service pasa el resultado al emisor.

Las operaciones criptográficas que usan claves protegidas por hardware se realizan completamente dentro de un HSM en la ubicación configurada, y solo el resultado es visible para el emisor.

En este diagrama, se muestra la diferencia entre crear claves protegidas por hardware y claves protegidas por software en Cloud KMS.

Integraciones de CMEK

Todas las claves protegidas por hardware son CMEK. Configurar un servicio habilitado para CMEK para usar claves de Cloud HSM es tan simple como elegir una clave con un nivel de protección de HSM cuando sigues las instrucciones específicas del servicio.

Cuando el emisor lee o escribe datos en un servicio habilitado para CMEK, el emisor no necesita permiso directo para usar la clave y no necesita saber si la clave está almacenada en un HSM.

El mismo flujo de operación de CMEK se usa con las claves protegidas por hardware y las claves protegidas por software, con las siguientes excepciones cuando se usan claves protegidas por hardware:

  • La solicitud del servicio habilitado para CMEK se inicia dentro de la red de Google y no necesita desviarse hacia el GFE.
  • La API de Cloud Key Management Service verifica que la cuenta de servicio del servicio habilitado para CMEK tenga los permisos adecuados a fin de usar la clave. La API de Cloud Key Management Service no valida los permisos en el usuario final del servicio habilitado para CMEK.

Se requiere Cloud HSM si deseas usar Autokey para aprovisionar claves de Cloud KMS. Autokey permite que el agente de servicio de Cloud KMS aprovisione automáticamente claves protegidas por hardware a pedido. Para obtener más información, consulta Aprovisionamiento automático para CMEK.

Usa tus propios HSM

Google administra los HSM que usa Cloud HSM. Sin embargo, en ciertas circunstancias, es posible que tu organización quiera usar sus propios HSM para almacenar las claves protegidas por hardware de tus cargas de trabajo. Por ejemplo, usar tus propios HSM puede ayudarte a migrar tus cargas de trabajo a Google Cloud.

Solo en algunas ubicaciones, Google ofrece un HSM como servicio de infraestructura que proporciona operaciones de claves criptográficas para transacciones criptográficas seguras enGoogle Cloud. Los productos se conocen como HSM para bastidor Bare Metal y HSM Bare Metal. Con Bare Metal Rack HSM o Bare Metal HSM, compras y configuras tus propios HSM y, luego, los envías a los centros de datos de Google para que Google los aloje. Mantienes el acceso lógico completo a tus HSMs y debes trabajar directamente con tu proveedor de HSM para administrar tus dispositivos y solucionar problemas relacionados con ellos. Google proporciona seguridad física y de red, espacio en racks, energía e integración de red por una tarifa. Para obtener más información, consulta HSM de rack de Bare Metal y HSM de Bare Metal.

¿Qué sigue?

Para obtener más información, explora los siguientes recursos: