Se usó la API de Cloud Translation para traducir esta página.

Niveles de protección

En esta página, se comparan los diferentes niveles de protección que admite Cloud KMS:

Software: Google puede generar las claves de Cloud KMS, o bien se pueden importar.

Hardware multiusuario: Las claves de Cloud HSM con el nivel de protección HSM se almacenan en un módulo de seguridad de hardware (HSM) propiedad de Google. Las operaciones criptográficas que usan estas claves se realizan en nuestros HSM. Puedes usar las claves de Cloud HSM de la misma manera que usas las claves de Cloud KMS. Google puede generar o importar claves de Cloud HSM.
Hardware de un solo arrendatario: Las claves de Cloud HSM con el nivel de protección HSM_SINGLE_TENANT se almacenan en una instancia de un solo arrendatario en un módulo de seguridad de hardware (HSM) propiedad de Google. Tú controlas y administras la instancia de Cloud HSM de usuario único, que es un clúster dedicado de particiones de HSM que tú administras. Las operaciones criptográficas que usan estas claves se realizan en nuestros HSM. Puedes usar claves de Cloud HSM de usuario único de la misma manera que usas las claves de Cloud KMS. Google puede generar o importar claves de Cloud HSM de usuario único. Para obtener más información, consulta Cloud HSM de usuario único.

Externo a través de Internet: Las claves de Cloud EKM con el nivel de protección EXTERNAL se generan y almacenan en tu sistema externo de administración de claves (EKM). Cloud EKM almacena material criptográfico adicional y una ruta de acceso a tu clave única, que se usa para acceder a tu clave a través de Internet.
Externo a través de la VPC: Las claves de Cloud EKM con el nivel de protección EXTERNAL_VPC se generan y almacenan en tu sistema externo de administración de claves (EKM). Cloud EKM almacena material criptográfico adicional y una ruta de acceso a tu clave única, que se usa para acceder a tu clave a través de una red de nube privada virtual (VPC).

Las llaves con todos estos niveles de protección comparten las siguientes características:

Usar tus claves para los servicios integrados en la clave de encriptación administrada por el cliente (CMEK)Google Cloud

Nota: Algunos servicios integrados en la CMEK no admiten claves de Cloud EKM. Para saber qué servicios integrados en CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK.
Usa tus claves con las APIs o bibliotecas cliente de Cloud KMS, sin ningún código especializado basado en el nivel de protección de la clave.
Controla el acceso a tus claves con los roles de Identity and Access Management (IAM).
Controla si cada versión de la clave está Habilitada o Inhabilitada desde Cloud KMS.
Las operaciones de claves se capturan en los registros de auditoría. Se puede habilitar el registro de acceso a los datos.

Nivel de protección del software

Cloud KMS usa el módulo BoringCrypto (BCM) para todas las operaciones criptográficas de las claves de software. El BCM está validado en función del estándar FIPS 140-2. Las claves de software de Cloud KMS usan algoritmos criptográficos primitivos del BCM validados en función del nivel 1 del estándar FIPS 140-2.

El nivel de protección de software es el más económico. Las claves de software son una buena opción para los casos de uso que no tienen requisitos reglamentarios específicos para un nivel de validación FIPS 140-2 más alto.

Nivel de protección de hardware

Cloud HSM te ayuda a aplicar el cumplimiento normativo para tus cargas de trabajo enGoogle Cloud. Con Cloud HSM, puedes generar claves de encriptación y realizar operaciones criptográficas en HSM validados con FIPS 140-2 nivel 3. El servicio es completamente administrado, por lo que puedes proteger tus cargas de trabajo más sensibles sin preocuparte por la sobrecarga operativa de administrar un clúster de HSM. Cloud HSM proporciona una capa de abstracción sobre los módulos HSM. Esta abstracción te permite usar tus claves en las integraciones de CMEK o en las APIs o bibliotecas cliente de Cloud KMS sin código específico del HSM.

Las versiones de llaves de hardware son más costosas, pero proporcionan beneficios de seguridad sustanciales en comparación con las llaves de software. Cada clave de Cloud HSM tiene una declaración de certificación que contiene información certificada sobre tu clave. Esta certificación y sus cadenas de certificados asociadas se pueden usar para verificar la autenticidad de la declaración y los atributos de la clave y el HSM.

Nivel de protección de hardware de usuario único

Con Cloud HSM de usuario único, puedes crear y administrar tu propia instancia de Cloud HSM de usuario único dentro de los HSM administrados por Google. Cada instancia es un clúster de particiones dedicadas en HSMs en una región Google Cloud . Los administradores de tu instancia tienen control administrativo sobre ella.

Cloud HSM de usuario único proporciona la misma funcionalidad que Cloud HSM de usuarios múltiples, con el beneficio adicional del aislamiento criptográfico de otros clientes de Google Cloud . Para obtener más información sobre la funcionalidad que comparten todas las claves de Cloud HSM, consulta Nivel de protección de hardware en esta página.

Las instancias de Cloud HSM de usuario único generan gastos adicionales en comparación con Cloud HSM de múltiples usuarios.

Niveles de protección externos

Las claves de Cloud External Key Manager (Cloud EKM) son claves que administras en un servicio de socio externo de administración de claves (EKM) compatible y que usas en losGoogle Cloud servicios y las APIs y bibliotecas cliente de Cloud KMS. Las claves de Cloud EKM pueden estar respaldadas por software o hardware, según tu proveedor de EKM. Puedes usar tus claves de Cloud EKM en servicios integrados en CMEK o con las APIs y bibliotecas cliente de Cloud KMS.

Los niveles de protección de Cloud EKM son los más costosos. Cuando usas claves de Cloud EKM, puedes tener la certeza de que Google Cloud no puede acceder a tu material de claves.

Para ver qué servicios integrados en CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK y aplica el filtro Mostrar solo los servicios compatibles con EKM.

Nivel de protección externo a través de Internet

Puedes usar claves de Cloud EKM a través de Internet en todas las ubicaciones compatibles con Cloud KMS, excepto nam-eur-asia1 y global.

Nivel de protección externo a través de la VPC

Puedes usar claves de Cloud EKM a través de una red de VPC para mejorar la disponibilidad de tus claves externas. Esta mejor disponibilidad significa que hay menos probabilidades de que tus claves de Cloud EKM y los recursos que protegen dejen de estar disponibles.

Puedes usar claves de Cloud EKM en una red de VPC en la mayoría de las ubicaciones regionales compatibles con Cloud KMS. Cloud EKM en una red de VPC no está disponible en ubicaciones multirregionales.

¿Qué sigue?

Obtén más información sobre los servicios compatibles que te permiten usar tus claves en Google Cloud.
Obtén información sobre el nivel de protección de Cloud HSM de un solo usuario y cómo crear y administrar una instancia de Cloud HSM de un solo usuario.
Aprende a crear llaveros de claves y crear claves de encriptación.
Obtén más información para importar claves.
Obtén más información sobre las claves externas.
Obtén más información sobre otras consideraciones para usar Cloud EKM.