Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Este documento oferece uma visão geral do uso do Cloud Key Management Service (Cloud KMS) para chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). O uso da CMEK do Cloud KMS dá a você a propriedade e o controle das chaves que protegem seus dados em repouso no Google Cloud.

Comparação entre CMEK e Google-owned and Google-managed encryption keys

As chaves do Cloud KMS que você cria são chaves gerenciadas pelo cliente. Google Cloud Os serviços que usam suas chaves têm uma integração de CMEK. É possível gerenciar essas CMEKs diretamente ou pelo Cloud KMS Autokey. Os seguintes fatores diferenciam a criptografia padrão em repouso das chaves gerenciadas pelo cliente: Google Cloud

Tipo de chave Cloud KMS Autokey Cloud KMS gerenciada pelo cliente (manual) Google-owned and Google-managed encryption key (criptografia padrão do Google)

É possível visualizar os metadados da chave

Sim

Sim

Não

Propriedade das chaves1

Cliente

Cliente

Google

É possível gerenciar2 e controlar3 chaves

A criação e a atribuição de chaves são automatizadas. O controle manual do cliente é totalmente aceito.

Controle manual do cliente apenas

Google

Aceita requisitos regulamentares para chaves gerenciadas pelo cliente

Sim

Sim

Não

Compartilhamento de chaves

Exclusivo para um cliente

Exclusivo para um cliente

Os dados de vários clientes geralmente são protegidos por chaves de criptografia de chaves (KEKs, na sigla em inglês) compartilhadas.

Controle da rotação de chaves

Sim

Sim

Não

Políticas da organização CMEK

Sim

Sim

 Não

Registrar acesso administrativo e de dados a chaves de criptografia

Sim

Sim

Não

Separação lógica de dados por criptografia

Sim

Sim

Não

Preços

Varia

 Varia

Sem custo financeiro

1 O proprietário da chave indica quem detém os direitos dela. As chaves que você possui têm acesso restrito ou nenhum acesso pelo Google.

2 O gerenciamento de chaves inclui as seguintes tarefas:

  • Criar chaves.
  • Escolher o nível de proteção das chaves.
  • Atribuir autoridade para o gerenciamento das chaves.
  • Controlar o acesso às chaves.
  • Controlar o uso das chaves.
  • Definir e modificar o período de rotação das chaves ou acionar uma rotação de chaves.
  • Mudar o status da chave.
  • Destruir versões de chave.

3 O controle de chaves significa definir controles sobre o tipo de chaves e como elas são usadas, detectar variações e planejar ações corretivas, se necessário. É possível controlar suas chaves, mas delegar o gerenciamento delas a terceiros.

Criptografia padrão com Google-owned and Google-managed encryption keys

Todos os dados armazenados no Google Cloud são criptografados em repouso usando os mesmos sistemas de gerenciamento de chaves protegidos que Google Cloud usamos para nossos próprios dados criptografados. Esses sistemas de gerenciamento de chaves fornecem controles de auditoria e chaves de acesso rigorosos e auditoria, e criptografam dados do usuário em repouso usando o padrão de criptografia AES-256 padrão. Google Cloud possui e controla as chaves usadas para criptografar seus dados. Não é possível visualizar ou gerenciar essas chaves nem revisar os registros de uso de chaves. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves (KEK, na sigla em inglês). Nenhuma configuração ou gerenciamento é necessário.

Para mais informações sobre a criptografia padrão no Google Cloud, consulte Criptografia padrão em repouso.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

As chaves de criptografia gerenciadas pelo cliente são chaves de criptografia que você possui. Esse recurso permite que você tenha mais controle sobre as chaves usadas para criptografar dados em repouso nos serviços aceitos Google Cloud , e fornece um limite criptográfico para seus dados. É possível gerenciar as CMEKs diretamente no Cloud KMS ou automatizar o provisionamento e a atribuição usando o Cloud KMS Autokey.

Os serviços que aceitam CMEK têm uma integração de CMEK. A integração de CMEK é uma tecnologia de criptografia do lado do servidor que pode ser usada no lugar da Google Cloudcriptografia padrão do. Depois que a CMEK é configurada, as operações para criptografar e descriptografar recursos são processadas pelo agente de serviço de recursos. Como os serviços integrados à CMEK processam o acesso ao recurso criptografado, a criptografia e a descriptografia podem ocorrer de maneira transparente, sem esforço do usuário final. A experiência de acesso a recursos é semelhante ao uso da criptografia padrão do Google Cloud's. Para mais informações sobre a integração de CMEK, consulte O que um serviço integrado à CMEK oferece.

É possível usar versões de chave ilimitadas para cada chave.

Para saber se um serviço aceita CMEKs, consulte a lista de serviços aceitos.

O uso do Cloud KMS gera custos relacionados ao número de versões de chave e operações criptográficas com essas versões de chave. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service. Nenhuma compra ou compromisso mínimo é necessário.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Cloud KMS Autokey

O Cloud KMS Autokey simplifica a criação e o gerenciamento de CMEKs automatizando o provisionamento e a atribuição. Com o Autokey, keyrings e as chaves são geradas sob demanda como parte da criação de recursos, e os agentes de serviço que usam as chaves para operações de criptografia e descriptografia recebem automaticamente os papéis necessários do Identity and Access Management (IAM).

O uso das chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o alinhamento da localização de chaves e dados, a especificidade da chave, o hardware multitenant (HSM) nível de proteção, a programação de rotação de chaves e a separação de deveres. O Autokey cria chaves que seguem diretrizes gerais e específicas para o tipo de recurso dos Google Cloud serviços que se integram ao Autokey. As chaves criadas usando o Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações, incluindo suporte a requisitos regulamentares para chaves gerenciadas pelo cliente. Para mais informações sobre o Autokey, consulte Visão geral do Autokey.

Quando usar chaves de criptografia gerenciadas pelo cliente

É possível usar CMEKs criadas manualmente ou chaves criadas pelo Autokey em serviços compatíveis para ajudar você a atingir as seguintes metas:

  • Possuir suas chaves de criptografia.

  • Controlar e gerenciar suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.

  • Gerar material de chave no Cloud KMS ou importar material de chave que seja mantido fora do Google Cloud.

  • Definir a política sobre onde as chaves precisam ser usadas.

  • Excluir seletivamente dados protegidos pelas chaves em caso de desativação ou para corrigir eventos de segurança (criptografia).

  • Criar e usar chaves exclusivas para um cliente, estabelecendo um limite criptográfico para seus dados.

  • Registrar acesso administrativo e de dados a chaves de criptografia.

  • Atender à regulamentação atual ou futura que exige qualquer uma dessas metas.

O que um serviço integrado à CMEK oferece

Assim como a criptografia padrão do Google Cloud, a CMEK é uma criptografia de envelope simétrica do lado do servidor dos dados do cliente. A diferença da criptografia padrão do Google Cloud's é que a proteção CMEK usa uma chave controlada pelo cliente. As CMEKs criadas manual ou automaticamente usando o Autokey funcionam da mesma maneira durante a integração do serviço.

  • Os serviços de nuvem que têm uma integração de CMEK usam chaves criadas no Cloud KMS para proteger seus recursos.

  • Os serviços integrados ao Cloud KMS usam criptografia simétrica.

  • Você escolhe o nível de proteção da chave.

  • Todas as chaves são AES-GCM de 256 bits.

  • O material da chave nunca sai do limite do sistema do Cloud KMS.

  • As chaves simétricas são usadas para criptografar e descriptografar no modelo de criptografia de envelope.

Os serviços integrados à CMEK rastreiam chaves e recursos

  • Os recursos protegidos por CMEK têm um campo de metadados que contém o nome da chave que o criptografa. Geralmente, isso fica visível para o cliente nos metadados do recurso.

  • O rastreamento de chaves informa quais recursos uma chave protege, para serviços que aceitam o rastreamento de chaves.

  • As chaves podem ser listadas por projeto.

Os serviços integrados à CMEK processam o acesso a recursos

O principal que cria ou visualiza recursos no serviço integrado à CMEK não exige o criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o recurso.

Cada recurso de projeto tem uma conta de serviço especial chamada a agente de serviço que executa a criptografia e a descriptografia com chaves gerenciadas pelo cliente. Depois de conceder ao agente de serviço acesso a uma CMEK, esse agente de serviço usará essa chave para proteger os recursos de sua escolha.

Quando um solicitante quer acessar um recurso criptografado com uma chave gerenciada pelo cliente, o agente de serviço tenta descriptografar automaticamente o recurso solicitado. Se o agente de serviço tiver permissão para descriptografar usando a chave e você não tiver desativado ou destruído a chave, o agente de serviço fornecerá o uso de criptografia e descriptografia da chave. Caso contrário, a solicitação falhará.

Nenhum acesso adicional do solicitante é necessário e, como o agente de serviço processa a criptografia e a descriptografia em segundo plano, a experiência do usuário para acessar recursos é semelhante ao uso da criptografia padrão do Google Cloud.

Como usar o Autokey para CMEK

Para cada pasta em que você quer usar o Autokey, há um processo de configuração única. É possível escolher uma pasta para trabalhar com suporte do Autokey e um projeto de chave associado em que o Autokey armazena as chaves dessa pasta. Para mais informações sobre como ativar o Autokey, consulte Ativar o Cloud KMS Autokey.

Em comparação com a criação manual de CMEKs, o Autokey não exige as seguintes etapas de configuração:

  • Os administradores de chaves não precisam criar keyrings ou chaves manualmente nem atribuir privilégios aos agentes de serviço que criptografam e descriptografam dados. O agente de serviço do Cloud KMS realiza essas ações em nome deles.

  • Os desenvolvedores não precisam planejar com antecedência para solicitar chaves antes da criação de recursos. Eles podem solicitar chaves do Autokey conforme necessário, mantendo a separação de deveres.

Ao usar o Autokey, há apenas uma etapa: o desenvolvedor solicita as chaves como parte da criação de recursos. As chaves retornadas são consistentes para o tipo de recurso pretendido.

As CMEKs criadas com o Autokey se comportam da mesma maneira que as chaves criadas manualmente para os seguintes recursos:

  • Os serviços integrados à CMEK se comportam da mesma maneira.

  • O administrador de chaves pode continuar monitorando todas as chaves criadas e usadas pelo painel do Cloud KMS e pelo rastreamento de uso de chaves.

  • As políticas da organização funcionam da mesma maneira com o Autokey que com as CMEKs criadas manualmente.

Para uma visão geral do Autokey, consulte Visão geral do Autokey. Para mais informações sobre como criar recursos protegidos por CMEK com o Autokey, consulte Criar recursos protegidos usando o Cloud KMS Autokey.

Como criar CMEKs manualmente

Ao criar suas CMEKs manualmente, é necessário planejar e criar keyrings, chaves, e locais de recursos antes de criar recursos protegidos. Em seguida, é possível usar as chaves para proteger os recursos.

Para conferir as etapas exatas para ativar a CMEK, consulte a documentação do serviço relevante Google Cloud . Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. É possível seguir etapas semelhantes a estas:

  1. Crie um keyring do Cloud KMS ou escolha um keyring atual. Ao criar o keyring, escolha um local geograficamente próximo aos recursos que você está protegendo. O keyring pode estar no mesmo projeto que os recursos que você está protegendo ou em projetos diferentes. O uso de projetos diferentes oferece maior controle sobre os papéis do IAM e ajuda a oferecer suporte à separação de deveres.

  2. Crie ou importe uma chave do Cloud KMS no keyring escolhido. Essa chave é a CMEK.

  3. Conceda o papel de IAM do criptografador/descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) na CMEK para a conta de serviço.

  4. Ao criar um recurso, configure-o para usar a CMEK. Por exemplo, é possível configurar uma tabela do BigQuery para proteger dados em repouso na tabela.

Para que um solicitante tenha acesso aos dados, ele não precisa de acesso direto à CMEK.

Enquanto o agente de serviço tiver o papel de criptografador/descriptografador de CryptoKey, o serviço poderá criptografar e descriptografar os dados. Se você revogar esse papel ou desativar ou destruir a CMEK, esses dados não poderão ser acessados.

Conformidade com CMEK

Alguns serviços têm integrações de CMEK e permitem que você gerencie as chaves. Alguns serviços oferecem conformidade com CMEK, o que significa que os dados temporários e a chave temporária nunca são gravados no disco. Para uma lista completa de serviços integrados e compatíveis, consulte Serviços compatíveis com CMEK.

Rastreamento de uso de chaves

O rastreamento de uso de chaves mostra os Google Cloud recursos da sua organização que são protegidos pelas CMEKs. Usando o rastreamento de uso de chaves, é possível visualizar os recursos protegidos, projetos e produtos exclusivos que usam uma chave específica e se as chaves estão em uso. Google Cloud Para mais informações sobre o rastreamento de uso de chaves, consulte Conferir o uso de chaves

Políticas da organização CMEK

Google Cloud oferece restrições de política da organização para ajudar a garantir o uso consistente de CMEK em um recurso da organização. Essas restrições fornecem controles aos administradores da organização para exigir o uso de CMEK e especificar limitações e controles nas chaves do Cloud KMS usadas para proteção de CMEK, incluindo o seguinte:

A seguir