מפתחות הצפנה בניהול הלקוח (CMEK)

במסמך הזה מוסבר איך להשתמש ב-Cloud Key Management Service‏ (Cloud KMS) כדי לנהל מפתחות הצפנה בניהול הלקוח (CMEK). שימוש ב-CMEK של Cloud KMS מאפשר לכם להיות הבעלים של המפתחות שמגנים על הנתונים שלכם במצב מנוחה ב-Google Cloudולשלוט בהם.

השוואה בין CMEK לבין Google-owned and Google-managed encryption keys

המפתחות שאתם יוצרים ב-Cloud KMS הם מפתחות בניהול הלקוח. נאמר על שירותיGoogle Cloud שמשתמשים במפתחות שלכם שיש להם שילוב של CMEK. אתם יכולים לנהל את מפתחות ה-CMEK האלה ישירות או דרך Cloud KMS Autokey. ההבדלים בין הצפנת ברירת המחדל של Google Cloudבמנוחה לבין מפתחות בניהול הלקוח הם:

סוג המפתח Cloud KMS Autokey ניהול ידני על ידי הלקוח ב-Cloud KMS ‫Google-owned and Google-managed encryption key (Google default encryption)

הרשאה לצפייה במטא-נתונים חשובים

כן

כן

לא

בעלות על מפתחות1

לקוח/ה

לקוח/ה

Google

יכולים לנהל2 ולשלוט3 במפתחות

יצירה והקצאה של מפתחות מתבצעות באופן אוטומטי. יש תמיכה מלאה בשליטה ידנית של הלקוח.

לקוח, שליטה ידנית בלבד

Google

תמיכה בדרישות רגולטוריות לגבי מפתחות בניהול הלקוח

כן

כן

לא

שיתוף מפתחות

ייחודיים ללקוח

ייחודיים ללקוח

בדרך כלל, נתונים מכמה לקוחות מוגנים באמצעות מפתחות הצפנה משותפים (KEK).

שליטה ברוטציית מפתחות

כן

כן

לא

מדיניות הארגון לגבי CMEK

כן

כן

לא

רישום ביומן של גישה מנהלתית וגישה לנתונים למפתחות הצפנה

כן

כן

לא

הפרדה לוגית של נתונים באמצעות הצפנה

כן

כן

לא

תמחור

משתנה

משתנה

חינם

1 הבעלים של המפתח מציין למי יש זכויות על המפתח. הגישה של Google למפתחות שבבעלותכם מוגבלת מאוד או לא קיימת.

2 ניהול מפתחות כולל את המשימות הבאות:

  • יוצרים מפתחות.
  • בוחרים את רמת ההגנה של המפתחות.
  • הקצאת סמכות לניהול המפתחות.
  • שליטה בגישה למפתחות.
  • שליטה בשימוש במפתחות.
  • הגדרה ושינוי של תקופת הרוטציה של המפתחות, או הפעלה של רוטציה של מפתחות.
  • משנים את הסטטוס של המפתח.
  • השמדת גרסאות של מפתחות.

3 שליטה במקשים פירושה הגדרת אמצעי בקרה על סוג המקשים ועל אופן השימוש בהם, זיהוי שונות ותכנון פעולות מתקנות אם יש צורך בכך. אתם יכולים לשלוט במפתחות, אבל להעביר את הניהול שלהם לצד שלישי.

הצפנת ברירת המחדל באמצעות Google-owned and Google-managed encryption keys

כל הנתונים שמאוחסנים ב- Google Cloud מוצפנים במצב מנוחה באמצעות אותן מערכות מוקשחות לניהול מפתחות שבהן Google Cloud משתמשת לנתונים המוצפנים שלה. מערכות ניהול המפתחות האלה מספקות בקרות גישה מחמירות למפתחות וביקורת, ומצפינות את נתוני המשתמשים באחסון באמצעות תקן ההצפנה AES-256. Google Cloud היא הבעלים של המפתחות שמשמשים להצפנת הנתונים שלכם ושולטת בהם. אין לכם אפשרות לראות או לנהל את המפתחות האלה, או לבדוק את יומני השימוש במפתחות. אותו מפתח להצפנת מפתחות הצפנה (KEK) יכול לשמש לנתונים מכמה לקוחות. אין צורך בהגדרה, בקביעת הגדרות או בניהול.

מידע נוסף על הצפנת ברירת מחדל ב- Google Cloudזמין במאמר ברירת המחדל להצפנה במנוחה.

מפתחות הצפנה בניהול הלקוח (CMEK)

מפתחות הצפנה בניהול הלקוח הם מפתחות הצפנה שנמצאים בבעלותכם. היכולת הזו מאפשרת לכם לקבל שליטה רבה יותר על המפתחות שמשמשים להצפנת נתונים במנוחה בשירותים נתמכים Google Cloud , ומספקת גבול קריפטוגרפי מסביב לנתונים שלכם. אפשר לנהל את מפתחות ה-CMEK ישירות ב-Cloud KMS, או להשתמש ב-Cloud KMS Autokey כדי להקצות אותם באופן אוטומטי.

שירותים שתומכים ב-CMEK כוללים שילוב CMEK. שילוב CMEK הוא טכנולוגיית הצפנה בצד השרת שבה אפשר להשתמש במקום בהצפנה שמוגדרת כברירת מחדל ב-Google Cloud. אחרי שמגדירים את CMEK, סוכן השירות של המשאב מטפל בפעולות של הצפנה ופענוח של משאבים. מכיוון ששירותים עם שילוב של CMEK מטפלים בגישה למשאב המוצפן, ההצפנה והפענוח יכולים להתבצע באופן שקוף, בלי שמשתמשי הקצה יצטרכו לעשות משהו. חוויית הגישה למשאבים דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב- Google Cloud. מידע נוסף על שילוב CMEK זמין במאמר מה שירות עם שילוב CMEK מספק.

אפשר להשתמש במספר בלתי מוגבל של גרסאות מפתח לכל מפתח.

כדי לדעת אם שירות תומך ב-CMEK, אפשר לעיין ברשימת השירותים הנתמכים.

השימוש ב-Cloud KMS כרוך בעלויות שקשורות למספר גרסאות המפתח ולפעולות הקריפטוגרפיות שמתבצעות באמצעות גרסאות המפתח האלה. מידע נוסף על תמחור זמין במאמר תמחור של Cloud Key Management Service. אין דרישה לרכישה מינימלית או להתחייבות.

מפתחות הצפנה בניהול הלקוח (CMEK) עם Cloud KMS Autokey

‫Cloud KMS Autokey מפשט את היצירה והניהול של CMEK באמצעות אוטומציה של הקצאה והקצאת הרשאות. ב-Autokey, מחזיקי מפתחות ומפתחות נוצרים לפי דרישה כחלק מיצירת משאבים, וסוכני שירות שמשתמשים במפתחות לפעולות הצפנה ופענוח מקבלים באופן אוטומטי את התפקידים הנדרשים בניהול זהויות והרשאות גישה (IAM). השימוש ב-Autokey פשוט יותר מאשר הקצאת מפתחות באופן עצמאי, והוא הבחירה המומלצת אם המפתחות שנוצרו על ידי Autokey עומדים בכל הדרישות שלכם.

שימוש במפתחות שנוצרו על ידי Autokey יכול לעזור לכם לעמוד באופן עקבי בתקנים המקובלים בתעשייה ובשיטות המומלצות לאבטחת נתונים, כולל התאמה של מיקום נתוני המפתח, ספציפיות של המפתח, רמת ההגנה של חומרה (HSM) עם ריבוי דיירים, לוח זמנים לרוטציית מפתחות והפרדת תפקידים. ‫Autokey יוצר מפתחות בהתאם להנחיות הכלליות ולהנחיות הספציפיות לסוג המשאב של Google Cloud שירותים שמשולבים עם Autokey. מפתחות שנוצרו באמצעות Autokey פועלים באופן זהה למפתחות אחרים של Cloud HSM עם אותן הגדרות, כולל תמיכה בדרישות רגולטוריות למפתחות בניהול הלקוח. מידע נוסף על Autokey זמין במאמר סקירה כללית על Autokey.

מתי כדאי להשתמש במפתחות הצפנה בניהול הלקוח

אפשר להשתמש במפתחות CMEK שנוצרו באופן ידני או במפתחות שנוצרו על ידי Autokey בשירותים תואמים כדי להשיג את המטרות הבאות:

  • בעלות על מפתחות ההצפנה.

  • שליטה וניהול של מפתחות ההצפנה, כולל בחירת מיקום, רמת הגנה, יצירה, בקרת גישה, רוטציה, שימוש והשמדה.

  • יוצרים חומר מפתח ב-Cloud KMS או מייבאים חומר מפתח שמנוהל מחוץ ל- Google Cloud.

  • הגדרת מדיניות לגבי המקומות שבהם אפשר להשתמש במפתחות.

  • מחיקה סלקטיבית של נתונים שמוגנים על ידי המפתחות במקרה של ביטול הרשאה או כדי לטפל באירועי אבטחה (מחיקה קריפטוגרפית).

  • יצירה ושימוש במפתחות ייחודיים ללקוח, כדי ליצור גבול קריפטוגרפי סביב הנתונים.

  • רישום ביומן של גישה אדמיניסטרטיבית וגישה לנתונים למפתחות הצפנה.

  • עמידה בתקנות קיימות או עתידיות שמחייבות את השימוש באחד מהיעדים האלה.

מה שירות עם שילוב CMEK מספק

בדומה להצפנת ברירת המחדל של Google Cloud,‏ CMEK היא הצפנה סימטרית בצד השרת של נתוני הלקוחות. ההבדל מההצפנה שמוגדרת כברירת מחדל ב- Google Cloudהוא שההגנה באמצעות CMEK משתמשת במפתח שנמצא בשליטת הלקוח. מפתחות CMEK שנוצרו באופן ידני או אוטומטי באמצעות Autokey פועלים באותו אופן במהלך שילוב השירות.

  • שירותי ענן שיש להם שילוב CMEK משתמשים במפתחות שאתם יוצרים ב-Cloud KMS כדי להגן על המשאבים שלכם.

  • שירותים שמשולבים עם Cloud KMS משתמשים בהצפנה סימטרית.

  • אתם בוחרים את רמת ההגנה של המפתח.

  • כל המפתחות הם AES-GCM‏ (256 ביטים).

  • חומר המפתח אף פעם לא יוצא מגבולות המערכת של Cloud KMS.

  • המפתחות הסימטריים משמשים להצפנה ולפענוח במודל ההצפנה של מעטפת.

שירותים עם שילובי CMEK עוקבים אחרי מפתחות ומשאבים

  • למשאבים שמוגנים באמצעות CMEK יש שדה מטא-נתונים שמכיל את שם המפתח שמצפין אותם. בדרך כלל, הנתונים האלה יהיו גלויים ללקוחות במטא-נתונים של המשאב.

  • מעקב אחר מפתחות מאפשר לכם לדעת אילו משאבים מוגנים על ידי מפתח מסוים, בשירותים שתומכים במעקב אחר מפתחות.

  • אפשר לראות את המפתחות לפי פרויקט.

שירותים עם שילובי CMEK מטפלים בגישה למשאבים

לגורם הראשי שיוצר משאבים בשירות המשולב עם CMEK או צופה בהם לא נדרשת ההרשאה Cloud KMS CryptoKey Encrypter/Decrypter ‏(roles/cloudkms.cryptoKeyEncrypterDecrypter) עבור ה-CMEK שמשמש להגנה על המשאב.

לכל משאב בפרויקט יש חשבון שירות מיוחד שנקרא סוכן שירות, שמבצע הצפנה ופענוח באמצעות מפתחות בניהול הלקוח. אחרי שנותנים לסוכן השירות גישה למפתח CMEK, סוכן השירות משתמש במפתח הזה כדי להגן על המשאבים שתבחרו.

כשמגיש בקשה רוצה לגשת למשאב שהוצפן באמצעות מפתח בניהול הלקוח, סוכן השירות מנסה לפענח את המשאב המבוקש באופן אוטומטי. אם לסוכן השירות יש הרשאה לפענח את ההצפנה באמצעות המפתח, ולא השבתתם או השמדתם את המפתח, סוכן השירות מספק שימוש במפתח להצפנה ולפענוח. אחרת, הבקשה תיכשל.

לא נדרשת גישה נוספת של השולח, ומכיוון שסוכן השירות מטפל בהצפנה ובפענוח ברקע, חוויית המשתמש בגישה למשאבים דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב- Google Cloud.

שימוש ב-Autokey ל-CMEK

לכל תיקייה שבה רוצים להשתמש ב-Autokey, יש תהליך הגדרה חד-פעמי. אפשר לצפות לבחור תיקייה לעבודה עם תמיכה ב-Autokey, ופרויקט מפתח משויך שבו Autokey מאחסן את המפתחות של התיקייה הזו. מידע נוסף על הפעלת Cloud KMS Autokey זמין במאמר הפעלת Cloud KMS Autokey.

בהשוואה ליצירה ידנית של מפתחות CMEK, ב-Autokey לא צריך לבצע את שלבי ההגדרה הבאים:

  • אדמינים של מפתחות לא צריכים ליצור ידנית אוספי מפתחות או מפתחות, או להקצות הרשאות לסוכני השירות שמצפינים ומפענחים נתונים. סוכן השירות של Cloud KMS מבצע את הפעולות האלה בשמם.

  • מפתחים לא צריכים לתכנן מראש כדי לבקש מפתחות לפני יצירת משאבים. הם יכולים לבקש מפתחות בעצמם מ-Autokey לפי הצורך, תוך שמירה על הפרדת תפקידים.

כשמשתמשים ב-Autokey, יש רק שלב אחד: המפתח מבקש את המפתחות כחלק מיצירת המשאב. המפתחות שמוחזרים עקביים עבור סוג המשאב המיועד.

מפתחות ה-CMEK שנוצרו באמצעות Autokey מתנהגים באופן זהה למפתחות שנוצרו באופן ידני בתכונות הבאות:

  • ההתנהגות של שירותים עם שילובי CMEK זהה.

  • אדמין המפתחות יכול להמשיך לעקוב אחרי כל המפתחות שנוצרו ושנעשה בהם שימוש באמצעות לוח הבקרה של Cloud KMS ומעקב אחרי השימוש במפתחות.

  • מדיניות הארגון פועלת עם Autokey באותו אופן שבו היא פועלת עם מפתחות CMEK שנוצרו באופן ידני.

בסקירה הכללית על Autokey תוכלו לקרוא על התכונה. מידע נוסף על יצירת משאבים שמוגנים באמצעות CMEK עם Autokey זמין במאמר יצירת משאבים מוגנים באמצעות Cloud KMS Autokey.

יצירה ידנית של CMEK

כשיוצרים מפתחות CMEK באופן ידני, צריך לתכנן וליצור אוספי מפתחות, מפתחות ומיקומי משאבים לפני שיוצרים משאבים מוגנים. אחר כך תוכלו להשתמש במפתחות כדי להגן על המשאבים.

הוראות מדויקות להפעלת CMEK מופיעות במסמכי העזרה שלGoogle Cloud השירות הרלוונטי. בשירותים מסוימים, כמו GKE, יש כמה שילובי CMEK להגנה על סוגים שונים של נתונים שקשורים לשירות. אפשר לצפות לשלבים דומים לאלה:

  1. יוצרים אוסף מפתחות של Cloud KMS או בוחרים אוסף מפתחות קיים. כשיוצרים את מחזיק המפתחות, צריך לבחור מיקום שקרוב גיאוגרפית למשאבים שרוצים להגן עליהם. אוסף המפתחות יכול להיות באותו פרויקט שבו נמצאים המשאבים שאתם מגנים עליהם, או בפרויקטים שונים. שימוש בפרויקטים שונים מאפשר לכם שליטה רבה יותר בתפקידי IAM ועוזר לתמוך בהפרדת תפקידים.

  2. יוצרים או מייבאים מפתח Cloud KMS באוסף המפתחות שנבחר. המפתח הזה הוא מפתח ההצפנה שבניהול הלקוח (CMEK).

  3. מקצים את תפקיד ה-IAM של הצפנה/פענוח של CryptoKey ‏(roles/cloudkms.cryptoKeyEncrypterDecrypter) ב-CMEK לחשבון השירות של השירות.

  4. כשיוצרים משאב, מגדירים את המשאב לשימוש ב-CMEK. לדוגמה, אפשר להגדיר טבלה ב-BigQuery כדי להגן על נתונים במצב מנוחה בטבלה.

כדי לקבל גישה לנתונים, המבקש לא צריך גישה ישירה למפתח CMEK.

כל עוד לסוכן השירות יש את התפקיד CryptoKey Encrypter/Decrypter, השירות יכול להצפין ולפענח את הנתונים שלו. אם מבטלים את התפקיד הזה, או אם משביתים או משמידים את ה-CMEK, אי אפשר לגשת לנתונים האלה.

תאימות ל-CMEK

חלק מהשירותים כוללים שילובי CMEK, ומאפשרים לכם לנהל את המפתחות בעצמכם. שירותים אחרים מציעים במקום זאת תאימות ל-CMEK, כלומר הנתונים הזמניים והמפתח האפימרי לא נכתבים אף פעם לדיסק. במאמר הזה מפורטת הרשימה המלאה של שירותים עם שילובי CMEK ושירותים שתואמים ל-CMEK.

מעקב אחר שימוש במַפְתח

מעקב אחר השימוש במפתחות מראה לכם את Google Cloud המשאבים בארגון שלכם שמוגנים על ידי מפתחות CMEK. באמצעות מעקב אחר השימוש במפתחות, אפשר לראות את המשאבים, הפרויקטים והמוצרים הייחודיים המוגנים שמשתמשים במפתח ספציפי, וגם אם המפתחות נמצאים בשימוש. Google Cloud מידע נוסף על מעקב אחר השימוש במפתחות זמין במאמר הצגת השימוש במפתחות

מדיניות הארגון ל-CMEK

Google Cloud מציע אילוצים על מדיניות הארגון כדי לוודא שימוש עקבי ב-CMEK במשאב ארגוני. האילוצים האלה מספקים לאדמינים של הארגון אמצעי בקרה שמאפשרים להם לחייב שימוש ב-CMEK ולציין מגבלות ואמצעי בקרה על מפתחות Cloud KMS שמשמשים להגנה באמצעות CMEK, כולל:

המאמרים הבאים