Claves de encriptación administradas por el cliente (CMEK)

En este documento, se proporciona una descripción general del uso de Cloud Key Management Service (Cloud KMS) para las claves de encriptación administradas por el cliente (CMEK). El uso de CMEK de Cloud KMS te otorga la propiedad y el control de las claves que protegen tus datos en reposo enGoogle Cloud.

Comparación de CMEK y Google-owned and Google-managed encryption keys

Las claves de Cloud KMS que creas son claves administradas por el cliente. Se dice que los servicios deGoogle Cloud que usan tus claves tienen una integración de CMEK. Puedes administrar estas CMEK directamente o a través de la Autokey de Cloud KMS. Los siguientes factores diferencian la encriptación predeterminada en reposo de Google Cloudde las claves administradas por el cliente:

Tipo de clave Autokey de Cloud KMS Cloud KMS administrado por el cliente (manual) Google-owned and Google-managed encryption key (encriptación predeterminada de Google)

Puede ver metadatos clave

No

Propiedad de las claves1

Cliente

Cliente

Google

Puede administrar2 y controlar3 llaves

La creación y asignación de claves se automatizan. Se admite por completo el control manual del cliente.

Cliente, solo control manual

Google

Admite los requisitos reglamentarios para las claves administradas por el cliente

No

Uso compartido de claves

Es exclusivo de un cliente.

Es exclusivo de un cliente.

Por lo general, los datos de varios clientes están protegidos por claves de encriptación de claves (KEK) compartidas.

Control de la rotación de claves

No.

Políticas de la organización de CMEK

No

Registro del acceso administrativo y a los datos en las claves de encriptación

No

Separación lógica de datos a través de la encriptación

No.

Precios

Varía

 Varía

Gratis

1 El propietario de la clave indica quién tiene los derechos sobre ella. Las claves que te pertenecen tienen acceso estrictamente restringido o no tienen acceso por parte de Google.

2 La administración de claves incluye las siguientes tareas:

  • Crear claves
  • Elige el nivel de protección de las claves.
  • Asigna autoridad para la administración de las llaves.
  • Controlar el acceso a las claves
  • Controlar el uso de las llaves
  • Establecer y modificar el período de rotación de las claves, o bien activar una rotación de claves
  • Cambia el estado de la llave.
  • Destruir versiones de claves

3 El control de las claves implica establecer controles sobre el tipo de claves y cómo se usan, detectar variaciones y planificar medidas correctivas si es necesario. Puedes controlar tus llaves, pero delegar la administración de las llaves a un tercero.

Encriptación predeterminada con Google-owned and Google-managed encryption keys

Todos los datos almacenados en Google Cloud están encriptados en reposo con los mismos sistemas de administración de claves endurecidos que Google Cloud usa para sus propios datos encriptados. Estos sistemas de administración de claves proporcionan controles de acceso a claves y auditorías estrictos, y encriptan los datos del usuario en reposo con el estándar de encriptación AES-256. Google Cloud es propietario de las claves que se usan para encriptar tus datos y las controla. No puedes ver ni administrar estas claves, ni revisar los registros de uso de las claves. Los datos de varios clientes pueden usar la misma clave de encriptación de claves (KEK). No se requiere configuración ni administración.

Para obtener más información sobre la encriptación predeterminada en Google Cloud, consulta Encriptación en reposo predeterminada.

Claves de encriptación administradas por el cliente (CMEK)

Las claves de encriptación administradas por el cliente son claves de encriptación que te pertenecen. Esta capacidad te permite tener un mayor control sobre las claves que se usan para encriptar los datos en reposo en los servicios Google Cloud compatibles y proporciona un límite criptográfico alrededor de tus datos. Puedes administrar las CMEK directamente en Cloud KMS o automatizar el aprovisionamiento y la asignación con Autokey de Cloud KMS.

Los servicios que admiten CMEK tienen una integración con CMEK. La integración de CMEK es una tecnología de encriptación del servidor que puedes usar en lugar de la encriptación predeterminada deGoogle Cloud. Después de configurar la CMEK, el agente de servicio de recursos controla las operaciones para encriptar y desencriptar recursos. Dado que los servicios integrados en la CMEK controlan el acceso al recurso encriptado, la encriptación y la desencriptación pueden realizarse de forma transparente, sin que el usuario final deba hacer ningún esfuerzo. La experiencia de acceso a los recursos es similar a la de usar la encriptación predeterminada de Google Cloud. Para obtener más información sobre la integración de CMEK, consulta Qué proporciona un servicio integrado en CMEK.

Puedes usar una cantidad ilimitada de versiones para cada clave.

Para saber si un servicio admite CMEK, consulta la lista de servicios compatibles.

El uso de Cloud KMS genera costos relacionados con la cantidad de versiones de claves y las operaciones criptográficas con esas versiones de claves. Para obtener más información sobre los precios, consulta los precios de Cloud Key Management Service. No se requiere compra ni compromiso mínimos.

Claves de encriptación administradas por el cliente (CMEK) con Autokey de Cloud KMS

La clave automática de Cloud KMS simplifica la creación y administración de CMEK mediante la automatización del aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves se generan a pedido como parte de la creación de recursos, y a los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación se les otorgan automáticamente los roles de Identity and Access Management (IAM) necesarios. Usar Autokey es más sencillo que aprovisionar claves por tu cuenta, y es la opción recomendada si las claves que crea Autokey cumplen con todos tus requisitos.

El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el alineamiento de la ubicación de los datos y las claves, la especificidad de las claves, el nivel de protección del hardware de múltiples inquilinos (HSM), el programa de rotación de claves y la separación de obligaciones. Autokey crea claves que siguen los lineamientos generales y los específicos del tipo de recurso para los servicios de Google Cloud que se integran con Autokey. Las claves creadas con Autokey funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración, lo que incluye la compatibilidad con los requisitos reglamentarios para las claves administradas por el cliente. Para obtener más información sobre Autokey, consulta la descripción general de Autokey.

Cuándo usar claves de encriptación administradas por el cliente

Puedes usar CMEK creadas de forma manual o claves creadas por Autokey en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:

  • Ser propietario de las claves de encriptación

  • Controlar y administrar tus claves de encriptación, incluida la elección de su ubicación, su nivel de protección, creación, control de acceso, rotación, uso y destrucción

  • Generar material de claves en Cloud KMS o importar material de claves que se mantenga fuera de Google Cloud.

  • Establecer una política sobre dónde se deben usar tus llaves

  • Borrar de forma selectiva los datos protegidos por tus claves en caso de una desvinculación o para corregir incidentes de seguridad (destrucción criptográfica)

  • Crear y usar claves que sean únicas para cada cliente, lo que establece un límite criptográfico para tus datos

  • Registrar el acceso administrativo y a los datos en las claves de encriptación

  • Cumplir con las reglamentaciones actuales o futuras que requieran cualquiera de estos objetivos

Qué proporciona un servicio integrado en CMEK

Al igual que la encriptación predeterminada de Google Cloud, la CMEK es una encriptación simétrica del lado del servidor y de sobres de los datos del cliente. Google CloudLa diferencia con la encriptación predeterminada de Google Cloudes que la protección con CMEK usa una clave que controla el cliente. Las CMEK creadas de forma manual o automática con Autokey funcionan de la misma manera durante la integración del servicio.

  • Los servicios de Cloud que tienen una integración de CMEK usan las claves que creas en Cloud KMS para proteger tus recursos.

  • Los servicios integrados en Cloud KMS usan encriptación simétrica.

  • Tú eliges el nivel de protección de la llave.

  • Todas las claves son AES-GCM de 256 bits.

  • El material de claves nunca sale del límite del sistema de Cloud KMS.

  • Tus claves simétricas se usan para encriptar y desencriptar en el modelo de encriptación de sobre.

Los servicios integrados en CMEK hacen un seguimiento de las claves y los recursos

  • Los recursos protegidos por CMEK tienen un campo de metadatos que contiene el nombre de la clave que los encripta. Por lo general, esta información será visible para los clientes en los metadatos del recurso.

  • El seguimiento de claves te indica qué recursos protege una clave en los servicios que admiten el seguimiento de claves.

  • Las claves se pueden listar por proyecto.

Los servicios integrados en CMEK controlan el acceso a los recursos

La principal que crea o visualiza recursos en el servicio integrado en CMEK no requiere el rol de Encriptador/Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para la CMEK que se usa para proteger el recurso.

Cada recurso del proyecto tiene una cuenta de servicio especial llamada agente de servicio que realiza la encriptación y desencriptación con claves administradas por el cliente. Después de que le otorgues acceso a un agente de servicio a una CMEK, ese agente de servicio usará esa clave para proteger los recursos que elijas.

Cuando un solicitante desea acceder a un recurso encriptado con una clave administrada por el cliente, el agente de servicio intenta desencriptar automáticamente el recurso solicitado. Si el agente de servicio tiene permiso para desencriptar con la clave y no la inhabilitaste ni destruiste, el agente de servicio proporciona el uso de encriptación y desencriptación de la clave. De lo contrario, la solicitud fallará.

No se requiere acceso adicional del solicitante y, como el agente de servicio controla la encriptación y el desencriptado en segundo plano, la experiencia del usuario para acceder a los recursos es similar a la de la encriptación predeterminada de Google Cloud.

Usa Autokey para CMEK

Para cada carpeta en la que desees usar Autokey, hay un proceso de configuración único. Podrás elegir una carpeta para trabajar con la compatibilidad de Autokey y un proyecto de claves asociado en el que Autokey almacene las claves de esa carpeta. Para obtener más información sobre cómo habilitar Autokey de Cloud KMS, consulta Habilita Cloud KMS Autokey.

En comparación con la creación manual de CMEK, Autokey no requiere los siguientes pasos de configuración:

  • Los administradores de claves no necesitan crear llaveros de claves ni claves de forma manual, ni asignar privilegios a los agentes de servicio que encriptan y desencriptan datos. El agente de servicio de Cloud KMS realiza estas acciones en su nombre.

  • Los desarrolladores no necesitan planificar con anticipación para solicitar claves antes de la creación de recursos. Pueden solicitar claves a Autokey por sí mismos según sea necesario, sin dejar de preservar la separación de obligaciones.

Cuando usas Autokey, solo hay un paso: el desarrollador solicita las claves como parte de la creación de recursos. Las claves que se devuelven son coherentes para el tipo de recurso previsto.

Las CMEK que creaste con Autokey se comportan de la misma manera que las claves creadas manualmente para las siguientes funciones:

  • Los servicios integrados en CMEK se comportan de la misma manera.

  • El administrador de claves puede seguir supervisando todas las claves creadas y utilizadas a través del panel de Cloud KMS y el seguimiento del uso de claves.

  • Las políticas de la organización funcionan de la misma manera con Autokey que con las CMEK creadas manualmente.

Para obtener una descripción general de Autokey, consulta Descripción general de las claves automáticas. Para obtener más información sobre cómo crear recursos protegidos por CMEK con Autokey, consulta Crea recursos protegidos con la clave automática de Cloud KMS.

Creación manual de CMEK

Cuando creas tus CMEK de forma manual, debes planificar y crear llaveros de claves, claves y ubicaciones de recursos antes de poder crear recursos protegidos. Luego, puedes usar tus claves para proteger los recursos.

Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio deGoogle Cloud correspondiente. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Es posible que sigas pasos similares a los siguientes:

  1. Crea un llavero de claves de Cloud KMS o elige uno existente. Cuando crees tu llavero de claves, elige una ubicación que esté geográficamente cerca de los recursos que proteges. El llavero de claves puede estar en el mismo proyecto que los recursos que proteges o en proyectos diferentes. El uso de diferentes proyectos te brinda un mayor control sobre los roles de IAM y ayuda a admitir la separación de obligaciones.

  2. Creas o importas una clave de Cloud KMS en el llavero de claves elegido. Esta clave es la CMEK.

  3. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la CMEK a la cuenta de servicio para el servicio.

  4. Cuando crees un recurso, configúralo para que use la CMEK. Por ejemplo, puedes configurar una tabla de BigQuery para proteger los datos en reposo de la tabla.

Para que un solicitante obtenga acceso a los datos, no necesita acceso directo a la CMEK.

Siempre que el agente de servicio tenga el rol de Encriptador/Desencriptador de CryptoKey, el servicio puede encriptar y desencriptar sus datos. Si revocas este rol, o si inhabilitas o destruyes la CMEK, no se podrá acceder a los datos.

Cumplimiento de CMEK

Algunos servicios tienen integraciones con CMEK y te permiten administrar las claves por tu cuenta. En cambio, algunos servicios ofrecen cumplimiento con la CMEK, lo que significa que los datos temporales y la clave efímera nunca se escriben en el disco. Para obtener una lista completa de los servicios integrados y compatibles, consulta Servicios compatibles con CMEK.

Seguimiento del uso de claves

El seguimiento de uso de claves te muestra los recursos Google Cloud de tu organización que están protegidos por tus CMEK. Con el seguimiento del uso de claves, puedes ver los recursos, los proyectos y los productos Google Cloud únicos protegidos que usan una clave específica, y si las claves están en uso. Para obtener más información sobre el seguimiento del uso de claves, consulta Visualiza el uso de claves.

Políticas de la organización de CMEK

Google Cloud ofrece restricciones de políticas de la organización para ayudar a garantizar el uso coherente de CMEK en un recurso de la organización. Estas restricciones proporcionan controles a los administradores de la organización para exigir el uso de CMEK y especificar limitaciones y controles en las claves de Cloud KMS que se usan para la protección de CMEK, incluidos los siguientes:

¿Qué sigue?