Protege tus datos con CMEK (1ª gen.)

Puedes usar las claves de encriptación administradas por el cliente (CMEK) de Cloud Key Management Service para proteger Cloud Run Functions y los datos en reposo relacionados. Estas claves se crean y administran a través de Cloud KMS y se almacenan como claves de software en un clúster de HSM o de forma externa.

La implementación de una función con una CMEK protege los datos asociados con ella usando una clave de encriptación que está bajo tu control total. Este tipo de encriptación te permite satisfacer los requisitos de cumplimiento en ciertos sectores, como servicios financieros. Debido a que la clave es de tu propiedad y Google no la controla, nadie, ni siquiera tú, puede acceder a los datos protegidos por estas claves de encriptación cuando se inhabilitan o destruyen.

Los siguientes tipos de datos de Cloud Run Functions se encriptan cuando se usa una CMEK:

  • El código fuente de la función que Google subió para la implementación y almacenó en Cloud Storage para usarlo en el proceso de compilación
  • Los resultados del proceso de compilación de funciones, incluidos los siguientes:
    • La imagen de contenedor compilada a partir del código fuente de tu función
    • Cada instancia de la función que se implementa
  • Datos en reposo para canales de transporte de eventos internos

El proceso de compilación de la función está protegido por una clave efímera generada de manera inequívoca para cada compilación. Consulta Cumplimiento de CMEK en Cloud Build para obtener más información. Además, ten en cuenta lo siguiente:

  • Los metadatos de archivo, como las rutas de acceso del sistema de archivos o las marcas de tiempo de modificación, no se encriptan.

  • Si se inhabilita una clave, la imagen del contenedor no se puede implementar y las instancias nuevas no pueden iniciarse.

  • La protección con CMEK de Cloud Run Functions solo se aplica a los recursos administrados por Google. Tú eres responsable de proteger los datos y recursos que administras, como los repositorios de código fuente o cualquier servicio que usen tus funciones.

La configuración de CMEK para Cloud Run Functions implica lo siguiente:

  • Otorgar a las cuentas de servicio necesarias acceso a la clave:

    • Para todas las funciones, debes otorgar a las cuentas de servicio de Cloud Run Functions, Artifact Registry y Cloud Storage acceso a la clave.

  • Crear un repositorio de Artifact Registry protegido por CMEK para almacenar las imágenes de la función

  • Habilitar CMEK en la función

  • De manera opcional, habilitar las políticas de la organización de CMEK para aplicar todas las funciones nuevas con el objetivo de que cumplan con CMEK

Estos pasos se describen con más detalle a continuación.

Antes de comenzar

  1. Crea una clave de una sola región para encriptar tus funciones. Para aprender a crear una clave, consulta Crea claves de encriptación simétricas.

  2. Crea un repositorio de Artifact Registry que tenga una CMEK habilitada. Debes usar la misma clave para el repositorio de Artifact Registry que usas cuando habilitas CMEK en una función.

Otorga a las cuentas de servicio acceso a la clave

Para todas las funciones, debes otorgar a las siguientes cuentas de servicio acceso a la clave:

  • Agente de servicio de Cloud Run Functions (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com)

  • Agente de servicio de Artifact Registry (service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com)

  • Agente de servicio de Cloud Storage (service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com)

Para otorgar acceso a la clave a estas cuentas de servicio, agrega cada una como principal de la clave y, luego, otorga a la cuenta de servicio el rol Cloud KMS CryptoKey Encrypter/Decrypter:

Consola

  1. Dirígete a la página Cloud Key Management Service en la consola de Google Cloud :
    Ir a la página de Cloud KMS

  2. Haz clic en el nombre del llavero de claves que contiene la clave elegida.

  3. Haz clic en el nombre de la clave para ver los detalles.

  4. En la pestaña Permisos, haz clic en Otorgar acceso.

  5. En el campo Principales nuevas, ingresa las direcciones de correo electrónico de las tres cuentas de servicio que se mostraron antes para asignarles permisos al mismo tiempo.

  6. En el menú desplegable Seleccionar un rol, selecciona Encriptador/desencriptador de CryptoKey de Cloud KMS.

  7. Haz clic en Guardar.

gcloud

Para cada cuenta de servicio que se mencionó anteriormente, ejecuta el siguiente comando:

gcloud kms keys add-iam-policy-binding KEY \
--keyring KEY_RING \
--location LOCATION \
--member serviceAccount:SERVICE_AGENT_EMAIL \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter

Reemplaza lo siguiente:

  • KEY: Es el nombre de la clave. Por ejemplo, my-key.

  • KEY_RING: Es el nombre del llavero de claves. Por ejemplo, my-keyring.

  • LOCATION: Es la ubicación de la clave. Por ejemplo, us-central1.

  • SERVICE_AGENT_EMAIL: Es la dirección de correo electrónico de la cuenta de servicio.

.

Habilita CMEK para una función

Después de configurar un repositorio de Artifact Registry con CMEK habilitada y otorgar a Cloud Run Functions acceso a tu clave, estará todo listo para habilitar CMEK en tu función.

Para habilitar CMEK para una función, haz lo siguiente:

Consola

  1. Ve a la página de Cloud Run Functions en la consola de Google Cloud :
    Ir a la página de Cloud Run Functions

  2. Haz clic en el nombre de la función en la que deseas habilitar CMEK.

  3. Haz clic en Editar.

  4. Haz clic en Configuración del entorno de ejecución, la compilación… para expandir las opciones de configuración avanzada.

  5. Selecciona la pestaña Seguridad y repositorio de imágenes.

  6. En la sección Encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK).

  7. Selecciona la clave elegida en el menú desplegable.

  8. En Ubicación del contenedor, selecciona Artifact Registry administrado por el cliente.

  9. En el menú desplegable Artifact Registry, selecciona el repositorio protegido por CMEK.

  10. Haz clic en Siguiente.

  11. Haz clic en Implementar.

gcloud

Ejecuta el siguiente comando.

gcloud functions deploy FUNCTION \
--no-gen2 \
--kms-key=KEY \
--docker-repository=REPOSITORY \
--source=YOUR_SOURCE_LOCATION
FLAGS...

Reemplaza lo siguiente:

  • FUNCTION: Es el nombre de la función en la que se habilitará CMEK. Por ejemplo, cmek-function.

  • KEY: Es el nombre de la clave completamente calificada, en el siguiente formato: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME.

  • REPOSITORY: Es el nombre del repositorio de Artifact Registry completamente calificado, en el siguiente formato: projects/PROJECT_NAME/locations/LOCATION/repositories/REPOSITORY.

  • YOUR_SOURCE_LOCATION: Cuando habilites la CMEK para una función preexistente, asegúrate de que el código fuente deseado se vuelva a implementar cuando especifiques este parámetro de forma explícita.

  • FLAGS...: Son marcas adicionales que se pueden requerir para implementar la función, en especial a la hora de crear implementaciones. Para obtener más detalles, consulta Implementa una función de Cloud Run.

La CMEK está habilitada para la función.

Ten en cuenta que Cloud Run Functions siempre usa la versión principal de una clave para la protección con CMEK. No puedes especificar una versión de clave en particular que se usará cuando habilites CMEK para tus funciones.

Si una clave se destruye o se inhabilita, o se revocan los permisos necesarios relacionados con ella, no se cierran las instancias activas de funciones protegidas por esa clave. Las ejecuciones de funciones que ya están en curso seguirán en proceso, pero las nuevas fallarán siempre que Cloud Run Functions no tenga acceso a la clave.

Prueba la protección de CMEK

Si deseas verificar que la protección de CMEK funciona, puedes inhabilitar la clave que usaste para habilitar la CMEK en una función y, luego, intentar activar tu función:

  1. Inhabilita la clave que se usa para proteger tu función.

  2. Intenta ver el código fuente asociado con esta función. El intento debería fallar.

  3. Intenta activar la función protegida por CMEK. El intento debería fallar.

  4. Después de verificar que la protección con CMEK funciona, habilita la clave.

En ese momento, se confirma la protección de CMEK de la función.

¿Qué sigue?