Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

In diesem Dokument finden Sie einen Überblick über die Verwendung von Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Wenn Sie Cloud KMS CMEK verwenden, haben Sie die Inhaberschaft und Kontrolle über die Schlüssel, die Ihre ruhenden Daten inGoogle Cloudschützen.

Vergleich von CMEK und Google-owned and Google-managed encryption keys

Die von Ihnen erstellten Cloud KMS-Schlüssel sind kundenverwaltete Schlüssel.Google Cloud -Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS Autokey verwalten. Die folgenden Faktoren unterscheiden die Standardverschlüsselung ruhender Daten von Google Cloudvon kundenverwalteten Schlüsseln:

Schlüsseltyp Cloud KMS Autokey Cloud KMS (manuell) Google-owned and Google-managed encryption key (standardmäßige Google-Verschlüsselung)

Kann wichtige Metadaten ansehen

Ja

Ja

Nein

Eigentum an Schlüsseln1

Kunde

Kunde

Google

Kann 2- und 3-Schlüssel verwalten und steuern

Die Schlüsselerstellung und ‑zuweisung erfolgt automatisch. Die manuelle Steuerung durch den Kunden wird vollständig unterstützt.

Kunde, nur manuelle Steuerung

Google

Unterstützt gesetzliche Anforderungen für kundenverwaltete Schlüssel

Ja

Ja

Nein

Schlüsselfreigabe

Eindeutig für einen Kunden

Eindeutig für einen Kunden

Daten mehrerer Kunden werden in der Regel durch gemeinsame Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) geschützt.

Steuerung der Schlüsselrotation

Ja

Ja

Nein

CMEK-Organisationsrichtlinien

Ja

Ja

 Nein

Administrativen Zugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren

Ja

Ja

Nein

Logische Datentrennung durch Verschlüsselung

Ja

Ja

Nein

Preise

Variabel

 Variabel

Kostenlos

1 Der Inhaber des Schlüssels gibt an, wer die Rechte an dem Schlüssel hat. Schlüssel, die Ihnen gehören, haben einen stark eingeschränkten oder keinen Zugriff durch Google.

2 Die Verwaltung von Schlüsseln umfasst die folgenden Aufgaben:

  • Schlüssel erstellen
  • Wählen Sie das Schutzniveau der Schlüssel aus.
  • Weisen Sie die Berechtigung zur Verwaltung der Schlüssel zu.
  • Zugriff auf Schlüssel steuern
  • Verwendung von Schlüsseln steuern
  • Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Schlüsselrotation auslösen
  • Schlüsselstatus ändern
  • Schlüsselversionen löschen

3 Schlüssel verwalten: Hierbei werden Steuerelemente für die Art der Schlüssel und die Verwendung der Schlüssel festgelegt, Abweichungen erkannt und bei Bedarf Korrekturmaßnahmen geplant. Sie können Ihre Schlüssel selbst verwalten, die Verwaltung aber an einen Drittanbieter delegieren.

Standardverschlüsselung mit Google-owned and Google-managed encryption keys

Alle in Google Cloud gespeicherten Daten werden im Ruhezustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google Cloud auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungsstandard. Google Cloud ist Eigentümer der Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden, und hat die Kontrolle darüber. Sie können diese Schlüssel weder ansehen noch verwalten und auch keine Logs zur Schlüsselnutzung aufrufen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.

Weitere Informationen zur Standardverschlüsselung in Google Cloudfinden Sie unter Standardverschlüsselung ruhender Daten.

Kundenverwaltete Verschlüsselungsschlüssel (CMEK, Customer-Managed Encryption Keys)

Kundenverwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, die Ihnen gehören. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln ruhender Daten in unterstützten Google Cloud Diensten verwendet werden, und können eine kryptografische Grenze für Ihre Daten festlegen. Sie können CMEKs direkt in Cloud KMS verwalten oder die Bereitstellung und Zuweisung mit Cloud KMS Autokey automatisieren.

Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung vonGoogle Cloudverwenden können. Nachdem CMEK eingerichtet wurde, werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Dienst-Agent für Ressourcen ausgeführt. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource verwalten, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Google Cloud. Weitere Informationen zur CMEK-Integration finden Sie unter Funktionen eines CMEK-integrierten Dienstes.

Sie können eine unbegrenzte Anzahl von Schlüsselversionen für jeden Schlüssel verwenden.

Ob ein Dienst CMEKs unterstützt, erfahren Sie in der Liste der unterstützten Dienste.

Die Verwendung von Cloud KMS verursacht Kosten, die sich nach der Anzahl der Schlüsselversionen und der kryptografischen Vorgänge mit diesen Schlüsselversionen richten. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise. Es ist kein Mindestkauf oder keine Mindestzusicherung erforderlich.

Kundenverwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey

Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEKs durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselringe und Schlüssel bei der Ressourcenerstellung auf Anfrage generiert. Dienst-Agents, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden, erhalten automatisch die erforderlichen IAM-Rollen (Identity and Access Management). Die Verwendung von Autokey ist einfacher als die manuelle Bereitstellung von Schlüsseln und wird empfohlen, wenn die von Autokey erstellten Schlüssel alle Ihre Anforderungen erfüllen.

Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die Branchenstandards und empfohlenen Praktiken für Datensicherheit einhalten, einschließlich der Ausrichtung von Schlüssel und Datenstandort, Schlüsselspezifität, Schutzlevel für Multi-Tenant-Hardware (HSM), Schlüsselrotationszeitplan und Aufgabentrennung. Mit Autokey werden Schlüssel erstellt, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp für Google Cloud -Dienste gelten, die in Autokey integriert sind. Mit Autokey erstellte Schlüssel funktionieren identisch mit anderen Cloud HSM-Schlüsseln mit denselben Einstellungen, einschließlich der Unterstützung für behördliche Anforderungen für kundenverwaltete Schlüssel. Weitere Informationen zu Autokey finden Sie unter Übersicht: Autokey.

Wann sollten kundenverwaltete Verschlüsselungsschlüssel verwendet werden?

Sie können manuell erstellte CMEKs oder von Autokey erstellte Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

  • Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.

  • Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel und können sie verwalten, einschließlich der Auswahl des Speicherorts, des Schutzlevels, der Erstellung, der Zugriffssteuerung, der Rotation, der Verwendung und der Vernichtung.

  • Schlüsselmaterial in Cloud KMS generieren oder Schlüsselmaterial importieren, das außerhalb von Google Cloudverwaltet wird.

  • Legen Sie eine Richtlinie fest, in der angegeben ist, wo Ihre Schlüssel verwendet werden müssen.

  • Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei der Deaktivierung oder zur Behebung von Sicherheitsereignissen selektiv löschen (kryptografisches Löschen).

  • Erstellen und verwenden Sie Schlüssel, die für einen Kunden eindeutig sind, um eine kryptografische Grenze für Ihre Daten zu schaffen.

  • Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren

  • Einhaltung aktueller oder zukünftiger Vorschriften, die eines dieser Ziele erfordern.

Funktionen eines CMEK-integrierten Dienstes

Wie die Standardverschlüsselung von Google Cloudist CMEK eine serverseitige, symmetrische Envelope-Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google Cloudbesteht darin, dass bei CMEK-Schutz ein Schlüssel verwendet wird, den der Kunde kontrolliert. Manuell oder automatisch mit Autokey erstellte CMEKs funktionieren bei der Dienstintegration auf dieselbe Weise.

  • Cloud-Dienste mit CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.

  • Dienste, die in Cloud KMS eingebunden sind, verwenden symmetrische Verschlüsselung.

  • Sie wählen das Schutzniveau des Schlüssels aus.

  • Alle Schlüssel sind 256-Bit-AES-GCM-Schlüssel.

  • Schlüsselmaterial verlässt niemals die Cloud KMS-Systemgrenze.

  • Ihre symmetrischen Schlüssel werden zum Ver- und Entschlüsseln im Envelope-Verschlüsselungsmodell verwendet.

CMEK-integrierte Dienste verfolgen Schlüssel und Ressourcen

  • CMEK-geschützte Ressourcen haben ein Metadatenfeld, das den Namen des Schlüssels enthält, mit dem sie verschlüsselt werden. In der Regel ist dies in den Ressourcenmetadaten für Kunden sichtbar.

  • Schlüssel-Tracking gibt an, welche Ressourcen durch einen Schlüssel geschützt werden, sofern der Dienst Schlüssel-Tracking unterstützt.

  • Schlüssel können nach Projekt aufgelistet werden.

CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff

Für das Konto, mit dem Ressourcen im CMEK-integrierten Dienst erstellt oder aufgerufen werden, ist die Rolle Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK, der zum Schutz der Ressource verwendet wird, nicht erforderlich.

Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agent, der die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln durchführt. Nachdem Sie dem Dienst-Agent Zugriff auf einen CMEK gewährt haben, verwendet dieser Dienst-Agent diesen Schlüssel, um die von Ihnen ausgewählten Ressourcen zu schützen.

Wenn ein Anfragesteller auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung hat, mit dem Schlüssel zu entschlüsseln, und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, kann der Dienst-Agent den Schlüssel zum Verschlüsseln und Entschlüsseln verwenden. Andernfalls schlägt die Anfrage fehl.

Es ist kein zusätzlicher Zugriff für Anfragende erforderlich. Da der Dienst-Agent die Verschlüsselung und Entschlüsselung im Hintergrund übernimmt, ist die Nutzererfahrung für den Zugriff auf Ressourcen ähnlich wie bei der Standardverschlüsselung von Google Cloud.

Autokey für CMEK verwenden

Für jeden Ordner, in dem Sie Autokey verwenden möchten, ist eine einmalige Einrichtung erforderlich. Sie können einen Ordner auswählen, in dem Sie mit Autokey arbeiten möchten, und ein zugehöriges Schlüsselprojekt, in dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Im Vergleich zum manuellen Erstellen von CMEK-Schlüsseln sind bei Autokey die folgenden Einrichtungsschritte nicht erforderlich:

  • Schlüsseladministratoren müssen Schlüsselbunde oder Schlüssel nicht manuell erstellen und den Dienst-Agents, die Daten verschlüsseln und entschlüsseln, keine Berechtigungen zuweisen. Der Cloud KMS-Dienst-Agent führt diese Aktionen in seinem Namen aus.

  • Entwickler müssen nicht im Voraus planen, um Schlüssel vor der Ressourcenerstellung anzufordern. Sie können bei Bedarf selbst Schlüssel von Autokey anfordern, während die Aufgabentrennung beibehalten wird.

Wenn Sie Autokey verwenden, ist nur ein Schritt erforderlich: Der Entwickler fordert die Schlüssel im Rahmen der Ressourcenerstellung an. Die zurückgegebenen Schlüssel sind für den vorgesehenen Ressourcentyp konsistent.

Ihre mit Autokey erstellten CMEKs verhalten sich bei den folgenden Funktionen genauso wie manuell erstellte Schlüssel:

  • CMEK-integrierte Dienste verhalten sich gleich.

  • Der Schlüsseladministrator kann weiterhin alle Schlüssel, die über das Cloud KMS-Dashboard erstellt und verwendet werden, sowie die Schlüsselnutzung im Blick behalten.

  • Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEKs.

Eine Übersicht über Autokey finden Sie unter Übersicht: Autokey. Weitere Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

CMEKs manuell erstellen

Wenn Sie Ihre CMEKs manuell erstellen, müssen Sie Schlüsselbunde, Schlüssel und Ressourcenstandorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Anschließend können Sie Ihre Schlüssel zum Schutz der Ressourcen verwenden.

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligenGoogle Cloud -Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Gehen Sie wie folgt vor:

  1. Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen Ihres Schlüsselbunds einen Standort aus, der geografisch in der Nähe der Ressourcen liegt, die Sie schützen. Der Schlüsselbund kann sich im selben Projekt wie die Ressourcen befinden, die Sie schützen, oder in verschiedenen Projekten. Durch die Verwendung verschiedener Projekte haben Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung besser unterstützen.

  2. Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.

  3. Sie weisen dem Dienstkonto für den Dienst die IAM-Rolle „CryptoKey Encrypter/Decrypter“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel zu.

  4. Konfigurieren Sie beim Erstellen einer Ressource, dass der CMEK verwendet wird. Sie können beispielsweise eine BigQuery-Tabelle so konfigurieren, dass inaktive Daten in der Tabelle geschützt werden.

Damit ein Antragsteller Zugriff auf die Daten erhält, ist kein direkter Zugriff auf den CMEK erforderlich.

Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.

CMEK-Compliance

Einige Dienste haben CMEK-Integrationen und ermöglichen es Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Konformität. Das bedeutet, dass die temporären Daten und der sitzungsspezifische Schlüssel nie auf die Festplatte geschrieben werden. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.

Tracking der Schlüsselnutzung

Mit der Schlüsselverwendungsanalyse können Sie die Google Cloud Ressourcen in Ihrer Organisation sehen, die durch Ihre CMEKs geschützt sind. Mithilfe des Trackings der Schlüsselnutzung können Sie die geschützten Ressourcen, Projekte und eindeutigen Google Cloud Produkte ansehen, die einen bestimmten Schlüssel verwenden, und sehen, ob Schlüssel verwendet werden. Weitere Informationen zum Tracking der Schlüsselnutzung finden Sie unter Schlüsselnutzung ansehen.

CMEK-Organisationsrichtlinien

Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um eine einheitliche CMEK-Nutzung in einer Organisationsressource zu gewährleisten. Diese Einschränkungen bieten Organisationsadministratoren die Möglichkeit, die Verwendung von CMEK zu erzwingen und Einschränkungen und Kontrollen für die für den CMEK-Schutz verwendeten Cloud KMS-Schlüssel festzulegen, einschließlich der folgenden:

Nächste Schritte