In diesem Dokument finden Sie eine Übersicht zur Verwendung von Cloud Key Management Service (Cloud KMS) für kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Mit Cloud KMS CMEK haben Sie die Inhaberschaft und Kontrolle über die Schlüssel, die Ihre ruhenden Daten in Google Cloudschützen.
Vergleich von CMEK und Google-owned and Google-managed encryption keys
Die von Ihnen erstellten Cloud KMS-Schlüssel sind kundenverwaltete Schlüssel. Google Cloud Bei Diensten, die Ihre Schlüssel verwenden, spricht man von einer CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS Autokey verwalten. Die folgenden Faktoren unterscheiden die Standardverschlüsselung inaktiver Daten von von kundenverwalteten Schlüsseln: Google Cloud
| Schlüsseltyp | Cloud KMS Autokey | Cloud KMS kundenverwaltet (manuell) | Google-owned and Google-managed encryption key (Standardverschlüsselung von Google) |
|---|---|---|---|
Schlüsselmetadaten ansehen |
Ja |
Ja |
Nein |
Inhaberschaft der Schlüssel1 |
Kunde |
Kunde |
|
Die Erstellung und Zuweisung von Schlüsseln ist automatisiert. Die manuelle Steuerung durch den Kunden wird vollständig unterstützt. |
Manuelle Steuerung nur durch den Kunden |
||
Unterstützt gesetzliche Anforderungen für kundenverwaltete Schlüssel |
Ja |
Ja |
Nein |
Schlüsselfreigabe |
Eindeutig für einen Kunden |
Eindeutig für einen Kunden |
Daten mehrerer Kunden werden in der Regel durch gemeinsame Schlüsselverschlüsselung schlüssel (Key Encryption Keys, KEKs) geschützt. |
Steuerung der Schlüsselrotation |
Ja |
Ja |
|
Ja |
Ja |
Nein | |
Protokollieren des administrativen Zugriffs und des Datenzugriffs auf Verschlüsselungsschlüssel |
Ja |
Ja |
Nein |
Logische Datentrennung durch Verschlüsselung |
Ja |
Ja |
|
Preise |
Variiert | Kostenlos |
1 Der Inhaber des Schlüssels gibt an, wer die Rechte an dem Schlüssel hat. Für Schlüssel, deren Inhaber Sie sind, ist der Zugriff durch Google stark eingeschränkt oder nicht möglich.
2 Die Verwaltung von Schlüsseln umfasst die folgenden Aufgaben:
- Schlüssel erstellen.
- Das Schutzlevel der Schlüssel auswählen.
- Die Berechtigung für die Verwaltung der Schlüssel zuweisen.
- Den Zugriff auf Schlüssel steuern.
- Die Verwendung von Schlüsseln steuern.
- Den Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Schlüsselrotation auslösen.
- Den Schlüsselstatus ändern.
- Schlüsselversionen löschen.
3 Die Steuerung von Schlüsseln umfasst das Festlegen von Kontrollen für die Art der Schlüssel und die Verwendung der Schlüssel, das Erkennen von Abweichungen und das Planen von Korrekturmaßnahmen, falls erforderlich. Sie können Ihre Schlüssel steuern, die Verwaltung der Schlüssel aber an einen Dritten delegieren.
Standardverschlüsselung mit Google-owned and Google-managed encryption keys
Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google Cloud auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungs standard. Google Cloud ist Inhaber der Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden, und steuert diese. Sie können diese Schlüssel weder ansehen noch verwalten oder Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloud, siehe Standardverschlüsselung inaktiver Daten.Kundenverwaltete Verschlüsselungsschlüssel (CMEK)
Kundenverwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Inhaber Sie sind. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln ruhender Daten in unterstützten Google Cloud Diensten verwendet werden, und es wird eine kryptografische Grenze um Ihre Daten gezogen. Sie können CMEKs direkt in Cloud KMS verwalten oder die Bereitstellung und Zuweisung mit Cloud KMS Autokeyautomatisieren.
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Google Cloud's Standardverschlüsselung verwenden können. Nachdem CMEK eingerichtet wurde, werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Dienst-Agent der Ressource verarbeitet. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource verwalten, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Google Cloud. Weitere Informationen zur CMEK-Integration finden Sie unter Was bietet ein CMEK-integrierter Dienst?.
Sie können für jeden Schlüssel unbegrenzt viele Schlüsselversionen verwenden.
Ob ein Dienst CMEKs unterstützt, erfahren Sie in der Liste der unterstützten Dienste.
Bei der Verwendung von Cloud KMS fallen Kosten an, die von der Anzahl der Schlüsselversionen und kryptografischen Vorgänge mit diesen Schlüsselversionen abhängen. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise. Es ist kein Mindestkauf oder keine Mindestverpflichtung erforderlich.
Kundenverwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey
Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEKs durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung auf Anfrage generiert und Dienst-Agents, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden, erhalten automatisch die erforderlichen IAM-Rollen (Identity and Access Management).
Mit von Autokey generierten Schlüsseln können Sie die Industriestandards und empfohlenen Best Practices für die Datensicherheit einhalten, einschließlich der Abstimmung von Schlüssel- und Datenstandort, der Schlüsselspezifität, des Schutzlevels für Multi-Tenant-Hardware (HSM) Schutzstufe, des Schlüsselrotationszeitplans und der Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien entsprechen, die für den Ressourcentyp von Google Cloud Diensten spezifisch sind, die in Autokey integriert sind. Mit Autokey erstellte Schlüssel funktionieren genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen, einschließlich der Unterstützung für gesetzliche Anforderungen für kundenverwaltete Schlüssel. Weitere Informationen zu Autokey finden Sie unter Übersicht: Autokey.
Wann sollten kundenverwaltete Verschlüsselungsschlüssel verwendet werden?
Sie können manuell erstellte CMEKs oder von Autokey erstellte Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:Inhaber Ihrer Verschlüsselungsschlüssel sein.
Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Auswahl von Standort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Löschung.
Schlüsselmaterial in Cloud KMS generieren oder Schlüsselmaterial importieren, das außerhalb von Google Cloudverwaltet wird.
Eine Richtlinie festlegen, wo Ihre Schlüssel verwendet werden müssen.
Daten, die durch Ihre Schlüssel geschützt sind, bei der Deaktivierung oder zur Behebung von Sicherheitsereignissen selektiv löschen (Crypto-Shredding).
Schlüssel erstellen und verwenden, die für einen Kunden eindeutig sind, und so eine kryptografische Grenze um Ihre Daten ziehen.
Protokollieren des administrativen Zugriffs und des Datenzugriffs auf Verschlüsselung schlüssel.
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.
Was bietet ein CMEK-integrierter Dienst?
Wie die Standardverschlüsselung von Google Cloud's ist CMEK eine serverseitige, symmetrische, Envelope-Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google Cloud's besteht darin, dass der CMEK-Schutz einen Schlüssel verwendet, der vom Kunden gesteuert wird. Manuell oder automatisch mit Autokey erstellte CMEKs funktionieren bei der Dienstintegration gleich.
Cloud-Dienste mit einer CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
Dienste, die in Cloud KMS integriert sind, verwenden symmetrische Verschlüsselung.
Sie wählen das Schutzlevel des Schlüssels aus.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Systemgrenze von Cloud KMS.
Ihre symmetrischen Schlüssel werden verwendet, um im Envelope Verschlüsselungsmodell zu verschlüsseln und zu entschlüsseln.
CMEK-integrierte Dienste verfolgen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadatenfeld, das den Namen des Schlüssels enthält, mit dem sie verschlüsselt werden. Im Allgemeinen ist dies in den Ressourcenmetadaten für Kunden sichtbar.
Mit der Schlüsselverfolgung können Sie für Dienste, die die Schlüsselverfolgung unterstützen, sehen, welche Ressourcen durch einen Schlüssel geschützt werden.
CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff
Das Prinzipal, das Ressourcen im CMEK-integrierten Dienst erstellt oder ansieht,
benötigt die
Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“
(roles/cloudkms.cryptoKeyEncrypterDecrypter) nicht für den CMEK, der zum Schutz der
Ressource verwendet wird.
Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agenten, der die Verschlüsselung und Entschlüsselung mit kundenverwalteten Schlüsseln durchführt. Nachdem Sie dem Dienst-Agent Zugriff auf einen CMEK gewährt haben, verwendet dieser Dienst-Agent diesen Schlüssel, um die Ressourcen Ihrer Wahl zu schützen.
Wenn ein Anfragesteller auf eine Ressource zugreifen möchte, die mit einem kundenverwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung hat, mit dem Schlüssel zu entschlüsseln, und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, kann der Dienst-Agent den Schlüssel zum Verschlüsseln und Entschlüsseln verwenden. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Zugriff für den Anfragesteller erforderlich. Da der Dienst-Agent die Verschlüsselung und Entschlüsselung im Hintergrund verarbeitet, ähnelt der Zugriff auf Ressourcen der Verwendung der Standardverschlüsselung von Google Cloud'.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie Autokey verwenden möchten, ist eine einmalige Einrichtung erforderlich. Sie müssen einen Ordner auswählen, in dem Sie mit Autokey arbeiten möchten, und ein zugehöriges Schlüsselprojekt, in dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEKs sind bei Autokey die folgenden Einrichtungsschritte nicht erforderlich:
Schlüsseladministratoren müssen keine Schlüsselbunde oder Schlüssel manuell erstellen oder Berechtigungen für die Dienst-Agents zuweisen, die Daten verschlüsseln und entschlüsseln. Der Cloud KMS-Dienst-Agent führt diese Aktionen in ihrem Namen aus.
Entwickler müssen nicht im Voraus planen, um Schlüssel vor der Ressource erstellung anzufordern. Sie können Schlüssel bei Bedarf selbst von Autokey anfordern, wobei die Aufgabentrennung erhalten bleibt.
Wenn Sie Autokey verwenden, ist nur ein Schritt erforderlich: Der Entwickler fordert die Schlüssel im Rahmen der Ressourcenerstellung an. Die zurückgegebenen Schlüssel sind für den beabsichtigten Ressourcentyp konsistent.
Ihre mit Autokey erstellten CMEKs verhalten sich bei den folgenden Funktionen genauso wie manuell erstellte Schlüssel:
CMEK-integrierte Dienste verhalten sich gleich.
Der Schlüsseladministrator kann weiterhin alle Schlüssel, die über das Cloud KMS-Dashboard und die Schlüsselnutzungsverfolgung erstellt und verwendet werden, im Blick behalten.
Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEKs.
Eine Übersicht über Autokey finden Sie unter Übersicht: Autokey. Weitere Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.
CMEKs manuell erstellen
Wenn Sie Ihre CMEKs manuell erstellen, müssen Sie Schlüsselbunde, Schlüssel, und Ressourcenstandorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Anschließend können Sie Ihre Schlüssel verwenden, um die Ressourcen zu schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation für den jeweiligen Google Cloud Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Sie müssen mit Schritten rechnen, die den folgenden ähneln:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen des Schlüsselbunds einen Standort aus, der geografisch in der Nähe der Ressourcen liegt, die Sie schützen. Der Schlüsselbund kann sich im selben Projekt wie die Ressourcen befinden, die Sie schützen, oder in verschiedenen Projekten. Die Verwendung verschiedener Projekte bietet Ihnen mehr Kontrolle über IAM-Rollen und unterstützt die Aufgabentrennung.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.
Sie weisen dem Dienstkonto für den Dienst die CryptoKey-Verschlüsseler/Entschlüsseler-IAM Rolle (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK zu.Konfigurieren Sie beim Erstellen einer Ressource, dass der CMEK verwendet wird. Sie können beispielsweise eine BigQuery-Tabelle konfigurieren, um ruhende Daten in der Tabelle zu schützen.
Damit ein Anfragesteller Zugriff auf die Daten erhält, ist kein direkter Zugriff auf den CMEK erforderlich.
Solange der Dienst-Agent die CryptoKey-Verschlüsseler/Entschlüsseler Rolle hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen und ermöglichen Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Compliance, d. h., die temporären Daten und der sitzungsspezifische Schlüssel werden nie auf die Festplatte geschrieben. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.
Schlüsselnutzung verfolgen
Mit der Schlüsselnutzungsverfolgung können Sie die Google Cloud Ressourcen in Ihrer Organisation sehen, die durch Ihre CMEKs geschützt sind. Mit der Schlüsselnutzungsverfolgung können Sie die geschützten Ressourcen, Projekte und eindeutigen Produkte sehen, die einen bestimmten Schlüssel verwenden, und ob Schlüssel verwendet werden. Google Cloud Weitere Informationen zur Schlüsselnutzungsverfolgung finden Sie unter Schlüsselnutzung ansehen
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um eine konsistente CMEK-Nutzung in einer Organisationsressource zu gewährleisten. Diese Einschränkungen bieten Organisationsadministratoren die Möglichkeit, die CMEK-Nutzung zu erzwingen und Einschränkungen und Kontrollen für die Cloud KMS-Schlüssel festzulegen, die für den CMEK-Schutz verwendet werden, einschließlich der folgenden:
Einschränkungen für die Cloud KMS-Schlüssel, die für den CMEK Schutz verwendet werden
Einschränkungen für die zulässigen Schutzlevel von Schlüsseln
Einschränkungen für den Standort von CMEKs
Kontrollen für die Löschung von Schlüsselversionen
Nächste Schritte
- Liste der Dienste mit CMEK Integrationen.
- Liste der CMEK-kompatiblen Dienste.
- Liste der Ressourcentypen, für die die Schlüsselnutzung verfolgt werden kann.
- Liste der von Autokey unterstützten Dienste