En este documento, se proporciona una descripción general del uso de Cloud Key Management Service (Cloud KMS) para las claves de encriptación administradas por el cliente (CMEK). El uso de CMEK de Cloud KMS te otorga la propiedad y el control de las claves que protegen tus datos en reposo en Google Cloud.
Comparación de CMEK y Google-owned and Google-managed encryption keys
Las claves de Cloud KMS que creas son claves administradas por el cliente. Google Cloud Los servicios que usan tus claves tienen una integración con CMEK. Puedes administrar estas CMEK directamente o a través de Autokey de Cloud KMS. Los siguientes factores diferencian la encriptación en reposo predeterminada de Google Cloud's de las claves administradas por el cliente:
| Tipo de clave | Autokey de Cloud KMS | Cloud KMS administrado por el cliente (manual) | Google-owned and Google-managed encryption key (Encriptación predeterminada de Google) |
|---|---|---|---|
Puede ver los metadatos de la clave |
Sí |
Sí |
No |
Propiedad de las claves1 |
Cliente |
Cliente |
|
La creación y la asignación de claves están automatizadas. El control manual del cliente es totalmente compatible. |
Cliente, solo control manual |
||
Satisface los requisitos reglamentarios para las claves administradas por el cliente |
Sí |
Sí |
No |
Uso compartido de claves |
Es exclusivo de un cliente |
Es exclusivo de un cliente |
Los datos de varios clientes suelen estar protegidos por claves de encriptación de claves (KEK) compartidas. |
Control de la rotación de claves |
Sí |
Sí |
|
Sí |
Sí |
No | |
Registra el acceso administrativo y a los datos en las claves de encriptación |
Sí |
Sí |
No |
Separación lógica de datos a través de la encriptación |
Sí |
Sí |
|
Precios |
Varían | Gratis |
1 El propietario de la clave indica quién tiene los derechos de la clave. Las claves que posees tienen acceso muy restringido o no tienen acceso por parte de Google.
2 La administración de claves incluye las siguientes tareas:
- Crear claves
- Elegir el nivel de protección de las claves
- Asignar autoridad para la administración de las claves
- Controlar el acceso a las claves
- Controlar el uso de las claves
- Configurar y modificar el período de rotación de las claves o activar una rotación de claves
- Cambiar el estado de la clave
- Destruir versiones de claves
3 El control de las claves significa establecer controles sobre el tipo de claves y cómo se usan, detectar variaciones y planificar medidas correctivas si es necesario. Puedes controlar tus claves, pero delegar la administración de las claves a un tercero.
Encriptación predeterminada con Google-owned and Google-managed encryption keys
Todos los datos almacenados en Google Cloud están encriptados en reposo con los mismos sistemas de administración de claves endurecidos que Google Cloud usa para sus propios datos encriptados. Estos sistemas de administración de claves proporcionan controles de acceso a claves y auditorías estrictos y encriptan los datos del usuario en reposo con el estándar de encriptación AES-256. Google Cloud posee y controla las claves que se usan para encriptar tus datos. No puedes ver ni administrar estas claves ni revisar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave de encriptación de claves (KEK). No se requiere configuración ni administración.
Para obtener más información sobre la encriptación predeterminada en Google Cloud, consulta Encriptación en reposo predeterminada.Claves de encriptación administradas por el cliente (CMEK)
Las claves de encriptación administradas por el cliente son claves de encriptación que posees. Esta capacidad te permite tener un mayor control sobre las claves que se usan para encriptar los datos en reposo en servicios compatibles Google Cloud y proporciona un límite criptográfico para tus datos. Puedes administrar las CMEK directamente en Cloud KMS o automatizar el aprovisionamiento y la asignación con Autokey de Cloud KMS.
Los servicios que admiten CMEK tienen una integración con CMEK. La integración con CMEK es una tecnología de encriptación del servidor que puedes usar en lugar de Google Cloud's encriptación predeterminada. Después de configurar CMEK, el agente de servicio de recursos controla las operaciones para encriptar y desencriptar recursos. Debido a que los servicios integrados en CMEK controlan el acceso al recurso encriptado, la encriptación y la desencriptación pueden realizarse de forma transparente, sin esfuerzo del usuario final. La experiencia de acceder a los recursos es similar a la de usar Google Cloudla encriptación predeterminada de. Para obtener más información sobre la integración con CMEK, consulta Qué proporciona un servicio integrado en CMEK.
Puedes usar versiones de claves ilimitadas para cada clave.
Para saber si un servicio admite CMEK, consulta la lista de servicios compatibles.
El uso de Cloud KMS genera costos relacionados con la cantidad de versiones de claves y operaciones criptográficas con esas versiones de claves. Para obtener más información sobre los precios, consulta los precios de Cloud Key Management Service. No se requiere compra ni compromiso mínimos.
Claves de encriptación administradas por el cliente (CMEK) con Autokey de Cloud KMS
Autokey de Cloud KMS simplifica la creación y la administración de CMEK mediante la automatización del aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves se generan a pedido como parte de la creación de recursos, y a los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación se les otorgan automáticamente los roles de Identity and Access Management (IAM) necesarios.
El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el alineamiento de la ubicación de los datos y las claves, la especificidad de las claves, el nivel de protección de hardware de múltiples usuarios (HSM) el programa de rotación de claves y la separación de obligaciones. Autokey crea claves que siguen lineamientos generales y lineamientos específicos del tipo de recurso para los Google Cloud servicios que se integran con Autokey. Las claves creadas con Autokey funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración, incluida la compatibilidad con los requisitos reglamentarios para las claves administradas por el cliente. Para obtener más información sobre Autokey, consulta Descripción general de las claves automáticas.
Cuándo usar claves de encriptación administradas por el cliente
Puedes usar CMEK creadas de forma manual o claves creadas por Autokey en servicios compatibles para ayudarte a cumplir con los siguientes objetivos:Ser propietario de las claves de encriptación
Controlar y administrar tus claves de encriptación, incluida la elección de su ubicación, su nivel de protección, creación, control de acceso, rotación, uso y destrucción
Generar material de claves en Cloud KMS o importar material de claves que se mantenga fuera de Google Cloud.
Establecer una política sobre dónde se deben usar tus llaves
Borrar de forma selectiva los datos protegidos por tus claves en caso de una desvinculación o para corregir incidentes de seguridad (destrucción criptográfica)
Crear y usar claves que sean únicas para cada cliente, lo que establece un límite criptográfico para tus datos
Registrar el acceso administrativo y a los datos en las claves de encriptación
Cumplir con las reglamentaciones actuales o futuras que requieran cualquiera de estos objetivos
Qué proporciona un servicio integrado en CMEK
Al igual que la encriptación predeterminada de Google Cloud, CMEK es una encriptación de sobre simétrica del servidor de los datos del cliente. La diferencia con la encriptación predeterminada de Google Cloud's es que la protección de CMEK usa una clave que controla un cliente. Las CMEK creadas de forma manual o automática con Autokey funcionan de la misma manera durante la integración del servicio.
Los servicios en la nube que tienen una integración con CMEK usan las claves que creas en Cloud KMS para proteger tus recursos.
Los servicios que están integrados con Cloud KMS usan encriptación simétrica.
Eliges el nivel de protección de la clave.
Todas las claves son AES-GCM de 256 bits.
El material de claves nunca sale del límite del sistema de Cloud KMS.
Tus claves simétricas se usan para encriptar y desencriptar en el modelo de encriptación de sobre.
Los servicios integrados en CMEK realizan un seguimiento de las claves y los recursos
Los recursos protegidos por CMEK tienen un campo de metadatos que contiene el nombre de la clave que los encripta. Por lo general, esto será visible para el cliente en los metadatos del recurso.
El seguimiento de claves te indica qué recursos protege una clave para los servicios que admiten el seguimiento de claves.
Las claves se pueden enumerar por proyecto.
Los servicios integrados en CMEK controlan el acceso a los recursos
El principal que crea o visualiza recursos en el servicio integrado en CMEK
no requiere el
rol de encriptador/desencriptador de CryptoKey de Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) para la CMEK que se usa para proteger el
recurso.
Cada recurso del proyecto tiene una cuenta de servicio especial llamada un agente de servicio que realiza la encriptación y desencriptación con claves administradas por el cliente. Después de otorgar acceso al agente de servicio a una CMEK, ese agente de servicio usará esa clave para proteger los recursos que elijas.
Cuando un solicitante desea acceder a un recurso encriptado con una clave administrada por el cliente, el agente de servicio intenta desencriptar automáticamente el recurso solicitado. Si el agente de servicio tiene permiso para desencriptar con la clave y no inhabilitaste ni destruiste la clave, el agente de servicio proporciona el uso de encriptación y desencriptación de la clave. De lo contrario, la solicitud fallará.
No se requiere acceso adicional del solicitante y, como el agente de servicio controla la encriptación y la desencriptación en segundo plano, la experiencia del usuario para acceder a los recursos es similar a la de usar Google Cloud's la encriptación predeterminada.
Usa Autokey para CMEK
Para cada carpeta en la que deseas usar Autokey, hay un proceso de configuración único. Puedes elegir una carpeta para trabajar con la compatibilidad de Autokey y un proyecto de claves asociado en el que Autokey almacena las claves de esa carpeta. Para obtener más información sobre cómo habilitar Autokey, consulta Habilita Autokey de Cloud KMS.
En comparación con la creación manual de CMEK, Autokey no requiere los siguientes pasos de configuración:
Los administradores de claves no necesitan crear llaveros de claves ni claves de forma manual, ni asignar privilegios a los agentes de servicio que encriptan y desencriptan datos. El agente de servicio de Cloud KMS realiza estas acciones en su nombre.
Los desarrolladores no necesitan planificar con anticipación para solicitar claves antes de la creación de recursos. Pueden solicitar claves a Autokey según sea necesario, sin dejar de preservar la separación de obligaciones.
Cuando usas Autokey, solo hay un paso: el desarrollador solicita las claves como parte de la creación de recursos. Las claves que se muestran son coherentes para el tipo de recurso deseado.
Las CMEK creadas con Autokey se comportan de la misma manera que las claves creadas de forma manual para las siguientes funciones:
Los servicios integrados en CMEK se comportan de la misma manera.
El administrador de claves puede seguir supervisando todas las claves creadas y usadas a través del panel de Cloud KMS y el seguimiento de uso de claves.
Las políticas de la organización funcionan de la misma manera con Autokey que con las CMEK creadas de forma manual.
Para obtener una descripción general de Autokey, consulta Descripción general de las claves automáticas. Para obtener más información sobre cómo crear recursos protegidos por CMEK con Autokey, consulta Crea recursos protegidos con Autokey de Cloud KMS.
Crea CMEK de forma manual
Cuando creas tus CMEK de forma manual, debes planificar y crear llaveros de claves, claves, y ubicaciones de recursos antes de poder crear recursos protegidos. Luego, puedes usar tus claves para proteger los recursos.
Para conocer los pasos exactos para habilitar CMEK, consulta la documentación del servicio pertinente Google Cloud . Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Puedes seguir pasos similares a los siguientes:
Crea un llavero de claves de Cloud KMS o elige uno existente. Cuando crees tu llavero de claves, elige una ubicación que esté geográficamente cerca de los recursos que proteges. El llavero de claves puede estar en el mismo proyecto que los recursos que proteges o en proyectos diferentes. El uso de proyectos diferentes te brinda un mayor control sobre los roles de IAM y ayuda a admitir la separación de obligaciones.
Crea o importa una clave de Cloud KMS en el llavero de claves elegido. Esta clave es la CMEK.
Otorga la función de IAM de encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la CMEK a la cuenta de servicio para el servicio.Cuando crees un recurso, configúralo para que use la CMEK. Por ejemplo, puedes configurar una tabla de BigQuery para proteger los datos en reposo en la tabla.
Para que un solicitante obtenga acceso a los datos, no necesita acceso directo a la CMEK.
Siempre que el agente de servicio tenga el rol de encriptador/desencriptador de CryptoKey, el servicio puede encriptar y desencriptar sus datos. Si revocas este rol, o si inhabilitas o destruyes la CMEK, no se podrá acceder a los datos.
Cumplimiento de CMEK
Algunos servicios tienen integraciones con CMEK y te permiten administrar las claves por tu cuenta. En cambio, algunos servicios ofrecen cumplimiento de CMEK, lo que significa que los datos temporales y la clave efímera nunca se escriben en el disco. Para obtener una lista completa de los servicios integrados y compatibles, consulta Servicios compatibles con CMEK.
Seguimiento de uso de claves
El seguimiento de uso de claves te muestra los Google Cloud recursos de tu organización que están protegidos por tus CMEK. Con el seguimiento de uso de claves, puedes ver los recursos protegidos, los proyectos y los productos únicos Google Cloud que usan una clave específica, y si las claves están en uso. Para obtener más información sobre el seguimiento de uso de claves, consulta Visualiza el uso de claves
Políticas de la organización de CMEK
Google Cloud ofrece restricciones de políticas de la organización para ayudar a garantizar el uso coherente de CMEK en un recurso de la organización. Estas restricciones proporcionan controles a los administradores de la organización para requerir el uso de CMEK y especificar limitaciones y controles en las claves de Cloud KMS que se usan para la protección de CMEK, incluidos los siguientes:
Límites sobre las claves de Cloud KMS que se usan para la protección de CMEK
Límites sobre los niveles de protección permitidos de las claves
Límites sobre la ubicación de las CMEK
Controles para la destrucción de versiones de claves
¿Qué sigue?
- Consulta la lista de servicios con CMEK integraciones.
- Consulta la lista de servicios compatibles con CMEK.
- Consulta la lista de tipos de recursos que pueden tener seguimiento de uso de claves.
- Consulta la lista de servicios compatibles con Autokey.