Questo documento fornisce una panoramica sull'utilizzo di Cloud Key Management Service (Cloud KMS) per le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo di CMEK di Cloud KMS ti offre la proprietà e il controllo delle chiavi che proteggono i dati at-rest in Google Cloud.
Confronto tra CMEK e Google-owned and Google-managed encryption keys
Le chiavi Cloud KMS che crei sono chiavi gestite dal cliente. Google Cloud Si dice che i servizi che utilizzano le tue chiavi hanno un' integrazione CMEK. Puoi gestire queste CMEK direttamente o tramite Autokey di Cloud KMS. I seguenti fattori distinguono la crittografia at-rest predefinita di dalle chiavi gestite dal cliente: Google Cloud
| Tipo di chiave | Autokey di Cloud KMS | Cloud KMS gestita dal cliente (manuale) | Google-owned and Google-managed encryption key (Crittografia predefinita di Google) |
|---|---|---|---|
Può visualizzare i metadati delle chiavi |
Yes |
Sì |
No |
Proprietà delle chiavi1 |
Cliente |
Cliente |
|
La creazione e l'assegnazione delle chiavi sono automatizzate. Il controllo manuale del cliente è completamente supportato. |
Controllo manuale del cliente |
||
Supporta i requisiti normativi per le chiavi gestite dal cliente |
Yes |
Sì |
No |
Condivisione delle chiavi |
Unica per un cliente |
Unica per un cliente |
In genere, i dati di più clienti sono protetti da chiavi di crittografia delle chiavi (KEK) condivise . |
Controllo della rotazione della chiave |
Yes |
Sì |
|
Yes |
Sì |
No | |
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia |
Yes |
Sì |
No |
Separazione logica dei dati tramite crittografia |
Yes |
Sì |
|
Prezzi |
Varia | Nessun costo |
1 Il proprietario della chiave indica chi detiene i diritti sulla chiave. Le chiavi di tua proprietà hanno accesso limitato o nessun accesso da parte di Google.
2 La gestione delle chiavi include le seguenti attività:
- Crea chiavi.
- Scegli il livello di protezione delle chiavi.
- Assegna l'autorità per la gestione delle chiavi.
- Controlla l'accesso alle chiavi.
- Controlla l'utilizzo delle chiavi.
- Imposta e modifica il periodo di rotazione delle chiavi o attiva una rotazione delle chiavi.
- Modifica lo stato della chiave.
- Distruggi le versioni delle chiavi.
3 Il controllo delle chiavi significa impostare i controlli sul tipo di chiavi e su come vengono utilizzate, rilevare le variazioni e pianificare azioni correttive, se necessario. Puoi controllare le tue chiavi, ma delegare la gestione delle chiavi a una terza parte.
Crittografia predefinita con Google-owned and Google-managed encryption keys
Tutti i dati archiviati in Google Cloud sono criptati in modalità non attiva mediante gli stessi sistemi avanzati di gestione delle chiavi che Google Cloud utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi forniscono controlli e processi di revisione rigorosi per l'accesso alle chiavi e processi di revisione, oltre a criptare i dati utente at-rest utilizzando lo standard di crittografia AES-256. Google Cloud possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave (KEK). Non sono richieste attività di configurazione, impostazione o gestione.
Per ulteriori informazioni sulla crittografia predefinita in Google Cloud, consulta Crittografia at-rest predefinita.Chiavi di crittografia gestite dal cliente (CMEK)
Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi supportati Google Cloud , e fornisce un limite crittografico intorno ai tuoi dati. Puoi gestire le CMEK direttamente in Cloud KMS o automatizzare il provisioning e l'assegnazione utilizzando Autokey di Cloud KMS.
I servizi che supportano CMEK hanno un'integrazione CMEK. L'integrazione CMEK è una tecnologia di crittografia lato server che puoi utilizzare al posto della Google Cloudcrittografia predefinita di. Una volta configurata CMEK, le operazioni di crittografia e decrittografia delle risorse vengono gestite dall'agente di servizio delle risorse. Poiché i servizi integrati con CMEK gestiscono l'accesso alla risorsa criptata, la crittografia e la decrittografia possono avvenire in modo trasparente, senza che l'utente finale debba fare nulla. L'esperienza di accesso alle risorse è simile all'utilizzo della crittografia predefinita di Google Cloud. Per ulteriori informazioni sull'integrazione CMEK, consulta Che cosa fornisce un servizio integrato con CMEK.
Puoi utilizzare versioni illimitate delle chiavi per ogni chiave.
Per scoprire se un servizio supporta le CMEK, consulta l' elenco dei servizi supportati.
L'utilizzo di Cloud KMS comporta costi correlati al numero di versioni delle chiavi e alle operazioni di crittografia con queste versioni delle chiavi. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service. Non è richiesto alcun acquisto o impegno minimo.
Chiavi di crittografia gestite dal cliente (CMEK) con Autokey di Cloud KMS
Autokey di Cloud KMS semplifica la creazione e la gestione delle CMEK automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand durante la creazione delle risorse e ai service agent che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono concesse automaticamente le autorizzazioni IAM (Identity and Access Management) necessarie.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui l'allineamento della località dei dati delle chiavi, la specificità delle chiavi, il livello di protezione hardware multi-tenant (HSM), la pianificazione rotazione della chiave delle chiavi e la separazione delle responsabilità. Autokey crea chiavi che seguono sia le linee guida generali sia le linee guida specifiche per il tipo di risorsa per i Google Cloud servizi che si integrano con Autokey. Le chiavi create utilizzando Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni, incluso il supporto per i requisiti normativi per le chiavi gestite dal cliente. Per ulteriori informazioni su Autokey, consulta Panoramica di Autokey.
Quando utilizzare le chiavi di crittografia gestite dal cliente
Puoi utilizzare le CMEK create manualmente o le chiavi create da Autokey nei servizi compatibili per raggiungere i seguenti obiettivi:Possedere le chiavi di crittografia.
Controllare e gestire le chiavi di crittografia, inclusa la scelta della località, del livello di protezione, della creazione, del controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.
Generare materiale delle chiavi in Cloud KMS o importare materiale delle chiavi gestito al di fuori di Google Cloud.
Impostare una policy relativa a dove devono essere utilizzate le chiavi.
Eliminare selettivamente i dati protetti dalle chiavi in caso di offboarding o per correggere eventi di sicurezza (crypto-shredding).
Creare e utilizzare chiavi univoche per un cliente, stabilendo un limite crittografico intorno ai dati.
Registrare l'accesso amministrativo e ai dati alle chiavi di crittografia.
Rispettare le normative attuali o future che richiedono uno di questi obiettivi.
Che cosa fornisce un servizio integrato con CMEK
Come la crittografia predefinita di Google Cloud, CMEK è una crittografia a busta simmetrica lato server dei dati dei clienti. La differenza rispetto alla crittografia predefinita di Google Cloud's è che la protezione CMEK utilizza una chiave controllata da un cliente. Le CMEK create manualmente o automaticamente utilizzando Autokey funzionano allo stesso modo durante l'integrazione del servizio.
I servizi cloud che hanno un'integrazione CMEK utilizzano le chiavi create in Cloud KMS per proteggere le risorse.
I servizi integrati con Cloud KMS utilizzano la crittografia simmetrica.
Scegli il livello di protezione della chiave.
Tutte le chiavi sono AES-GCM a 256 bit.
Il materiale delle chiavi non esce mai dal limite del sistema Cloud KMS.
Le chiavi simmetriche vengono utilizzate per la crittografia e la decrittografia nel modello di crittografia a busta.
I servizi integrati con CMEK monitorano le chiavi e le risorse
Le risorse protette da CMEK hanno un campo di metadati che contiene il nome della chiave che le cripta. In genere, questo sarà visibile al cliente nei metadati delle risorse.
Il monitoraggio delle chiavi indica quali risorse sono protette da una chiave, per i servizi che supportano il monitoraggio delle chiavi.
Le chiavi possono essere elencate per progetto.
I servizi integrati con CMEK gestiscono l'accesso alle risorse
Il principale che crea o visualizza le risorse nel servizio integrato con CMEK
non richiede il
ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) per la CMEK utilizzata per proteggere la
risorsa.
Ogni risorsa di progetto ha un account di servizio speciale chiamato a agente di servizio che esegue la crittografia e la decrittografia con chiavi gestite dal cliente. Dopo aver concesso all'agente di servizio l'accesso a una CMEK, questo agente di servizio utilizzerà la chiave per proteggere le risorse di tua scelta.
Quando un richiedente vuole accedere a una risorsa criptata con una chiave gestita dal cliente, l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio ha l'autorizzazione per decriptare utilizzando la chiave e non hai disabilitato o distrutto la chiave, l'agente di servizio fornisce l'utilizzo della chiave per la crittografia e la decrittografia. In caso contrario, la richiesta non va a buon fine.
Non è richiesto alcun accesso aggiuntivo al richiedente e, poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per l'accesso alle risorse è simile all'utilizzo della crittografia predefinita di Google Cloud.
Utilizzo di Autokey per CMEK
Per ogni cartella in cui vuoi utilizzare Autokey, è prevista una procedura di configurazione una tantum. Puoi scegliere una cartella in cui lavorare con il supporto di Autokey e un progetto di chiavi associato in cui Autokey archivia le chiavi per quella cartella. Per ulteriori informazioni sull'attivazione di Autokey, consulta Attivare Autokey di Cloud KMS.
Rispetto alla creazione manuale delle CMEK, Autokey non richiede i seguenti passaggi di configurazione:
Gli amministratori delle chiavi non devono creare manualmente chiavi e chiavi automatizzate o assegnare privilegi ai service agent che criptano e decriptano i dati. Il service agent di Cloud KMS esegue queste azioni per loro conto.
Gli sviluppatori non devono pianificare in anticipo la richiesta delle chiavi prima della creazione delle risorse. Possono richiedere le chiavi direttamente da Autokey in base alle esigenze, mantenendo comunque la separazione delle responsabilità.
Quando utilizzi Autokey, è previsto un solo passaggio: lo sviluppatore richiede le chiavi durante la creazione delle risorse. Le chiavi restituite sono coerenti per il tipo di risorsa previsto.
Le CMEK create con Autokey si comportano allo stesso modo delle chiavi create manualmente per le seguenti funzionalità:
I servizi integrati con CMEK si comportano allo stesso modo.
L'amministratore delle chiavi può continuare a monitorare tutte le chiavi create e utilizzate tramite la dashboard di Cloud KMS e il monitoraggio dell'utilizzo delle chiavi.
Le policy dell'organizzazione funzionano allo stesso modo con Autokey e con le CMEK create manualmente.
Per una panoramica di Autokey, consulta Panoramica di Autokey. Per ulteriori informazioni sulla creazione di risorse protette da CMEK con Autokey, consulta Creare risorse protette utilizzando Autokey di Cloud KMS.
Creazione manuale delle CMEK
Quando crei manualmente le CMEK, devi pianificare e creare chiavi, chiavi automatizzate, e località delle risorse prima di poter creare risorse protette. Puoi quindi utilizzare le chiavi per proteggere le risorse.
Per i passaggi esatti per attivare CMEK, consulta la documentazione del servizio pertinente Google Cloud Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio. Puoi aspettarti di seguire passaggi simili ai seguenti:
Crea una chiave automatizzata di Cloud KMS o scegli una chiave automatizzata esistente. Quando crei la chiave automatizzata, scegli una località geograficamente vicina alle risorse che stai proteggendo. La chiave automatizzata può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di progetti diversi ti offre un maggiore controllo sui ruoli IAM e contribuisce a supportare la separazione delle responsabilità.
Crea o importa una chiave Cloud KMS nella chiave automatizzata scelta. Questa chiave è la CMEK.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla CMEK al service account del servizio.Quando crei una risorsa, configurala in modo che utilizzi la CMEK. Ad esempio, puoi configurare una tabella BigQuery per proteggere i dati at rest nella tabella.
Affinché un richiedente possa accedere ai dati, non ha bisogno dell'accesso diretto alla CMEK.
Se il service agent ha il ruolo Autore crittografia/decrittografia CryptoKey, il servizio può criptare e decriptare i dati. Se revochi questo ruolo o se disabiliti o distruggi la CMEK, non è possibile accedere ai dati.
Conformità CMEK
Alcuni servizi hanno integrazioni CMEK e ti consentono di gestire le chiavi autonomamente. Alcuni servizi offrono invece la conformità CMEK, il che significa che i dati temporanei e la chiave effimera non vengono mai scritti su disco. Per un elenco completo dei servizi integrati e conformi, consulta Servizi compatibili con CMEK.
Monitoraggio dell'utilizzo delle chiavi
Il monitoraggio dell'utilizzo delle chiavi mostra le Google Cloud risorse all'interno della tua organizzazione che sono protette dalle tue CMEK. Utilizzando il monitoraggio dell'utilizzo delle chiavi, puoi visualizzare le risorse protette, i progetti e i prodotti univoci che utilizzano una chiave specifica e se le chiavi sono in uso. Google Cloud Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, consulta Visualizzare l'utilizzo delle chiavi
Policy dell'organizzazione CMEK
Google Cloud offre vincoli dei criteri dell'organizzazione per garantire un utilizzo coerente di CMEK in una risorsa organizzazione. Questi vincoli forniscono ai criteri amministratori dell'organizzazione i controlli per richiedere l'utilizzo di CMEK e per specificare limitazioni e controlli sulle chiavi Cloud KMS utilizzate per la protezione CMEK, tra cui:
Limiti alle chiavi Cloud KMS utilizzate per la protezione CMEK
Limiti alla località delle CMEK
Controlli per la distruzione delle versioni delle chiavi
Passaggi successivi
- Consulta l'elenco dei servizi con integrazioni CMEK.
- Consulta l'elenco dei servizi conformi a CMEK.
- Consulta l'elenco dei tipi di risorse che possono avere il monitoraggio dell'utilizzo delle chiavi.
- Consulta l'elenco dei servizi supportati da Autokey.