Diese Seite wurde von der Cloud Translation API übersetzt.

Schutzniveaus

Auf dieser Seite werden die verschiedenen in Cloud KMS unterstützten Schutzstufen verglichen:

Software: Cloud KMS-Schlüssel mit dem Schutzniveau SOFTWARE werden für kryptografische Vorgänge verwendet, die in Software ausgeführt werden. Cloud KMS-Schlüssel können von Google generiert oder importiert werden.

Mehrmandantenfähige Hardware: Cloud HSM-Schlüssel mit dem Schutzniveau HSM werden in einem HSM (Hardware Security Module) von Google gespeichert. Kryptografische Vorgänge mit diesen Schlüsseln werden in unseren HSMs ausgeführt. Cloud HSM-Schlüssel können genauso verwendet werden wie Cloud KMS-Schlüssel. Cloud HSM-Schlüssel können von Google generiert oder importiert werden.
Hardware für einzelne Mandanten: Cloud HSM-Schlüssel mit dem Schutzniveau HSM_SINGLE_TENANT werden in einer Single-Tenant-Instanz in einem HSM (Hardware Security Module) von Google gespeichert. Sie steuern und verwalten die Cloud HSM-Instanz für einen einzelnen Mandanten, die ein dedizierter Cluster von HSM-Partitionen ist, die Sie verwalten. Kryptografische Vorgänge mit diesen Schlüsseln werden in unseren HSMs ausgeführt. Sie können Single-Tenant Cloud HSM-Schlüssel genauso verwenden wie Cloud KMS-Schlüssel. Cloud HSM-Schlüssel für einzelne Mandanten können von Google generiert oder importiert werden. Weitere Informationen finden Sie unter Cloud HSM für einzelne Mandanten.

Extern über das Internet: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL werden in Ihrem externen Schlüsselverwaltungssystem (External Key Management, EKM) generiert und gespeichert. In Cloud EKM werden zusätzliches kryptografisches Material und ein Pfad zu Ihrem eindeutigen Schlüssel gespeichert, der für den Zugriff auf Ihren Schlüssel über das Internet verwendet wird.
Extern über VPC: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL_VPC werden in Ihrem externen Schlüsselverwaltungssystem (External Key Management, EKM) generiert und gespeichert. In Cloud EKM werden zusätzliches kryptografisches Material und ein Pfad zu Ihrem eindeutigen Schlüssel gespeichert, mit dem über ein VPC-Netzwerk (Virtual Private Cloud) auf Ihren Schlüssel zugegriffen wird.

Schlüssel mit allen diesen Schutzstufen haben die folgenden Funktionen gemeinsam:

Verwenden Sie Ihre Schlüssel für CMEK-integrierteGoogle Cloud -Dienste (Customer Managed Encryption Keys, kundenverwaltete Verschlüsselungsschlüssel).

Hinweis: Einige CMEK-integrierte Dienste unterstützen keine Cloud EKM-Schlüssel. Informationen dazu, welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, finden Sie unter CMEK-Integrationen.
Verwenden Sie Ihre Schlüssel mit den Cloud KMS APIs oder Clientbibliotheken, ohne dass spezieller Code basierend auf dem Schutzlevel des Schlüssels erforderlich ist.
Sie können den Zugriff auf Ihre Schlüssel mithilfe von IAM-Rollen (Identity and Access Management) steuern.
Sie können festlegen, ob jede Schlüsselversion in Cloud KMS Aktiviert oder Deaktiviert ist.
Schlüsselvorgänge werden in Audit-Logs erfasst. Das Logging des Datenzugriffs kann aktiviert werden.

Softwareschutzniveau

Cloud KMS verwendet das BoringCrypto-Modul (BCM) für alle kryptografischen Vorgänge für Softwareschlüssel. BCM ist gemäß FIPS 140-2 validiert. Für Cloud KMS-Softwareschlüssel werden die gemäß FIPS 140-2 Level 1 validierten kryptografischen Primitive des BCM verwendet.

Das Software-Schutzniveau ist das kostengünstigste Schutzniveau. Softwareschlüssel sind eine gute Wahl für Anwendungsfälle, die keine spezifischen behördlichen Anforderungen für eine höhere FIPS 140-2-Validierungsstufe haben.

Hardwareschutzebene

Mit Cloud HSM können Sie die Compliance mit Vorschriften für Ihre Arbeitslasten inGoogle Clouderzwingen. Mit Cloud HSM können Sie Verschlüsselungsschlüssel generieren und kryptografische Vorgänge in gemäß FIPS 140-2 Level 3 geprüften HSMs ausführen. Der Dienst ist vollständig verwaltet, sodass Sie vertrauliche Arbeitslasten schützen können, ohne einen HSM-Cluster verwalten zu müssen. Cloud HSM bietet eine Abstraktionsebene für die HSM-Module. Dank dieser Abstraktion können Sie Ihre Schlüssel in CMEK-Integrationen oder den Cloud KMS APIs oder Clientbibliotheken verwenden, ohne HSM-spezifischen Code zu benötigen.

Hardware-Schlüsselversionen sind teurer, bieten aber im Vergleich zu Software-Schlüsseln erhebliche Sicherheitsvorteile. Jeder Cloud HSM-Schlüssel hat eine Attestierungserklärung, die zertifizierte Informationen zu Ihrem Schlüssel enthält. Mit dieser Attestierung und den zugehörigen Zertifikatsketten lässt sich die Authentizität der Erklärung und der Attribute des Schlüssels und des HSM überprüfen.

Schutzniveau für Hardware mit einem einzelnen Mandanten

Mit Single-Tenant Cloud HSM erstellen und verwalten Sie Ihre eigene Single-Tenant Cloud HSM-Instanz in von Google verwalteten HSMs. Jede Instanz ist ein Cluster dedizierter Partitionen auf HSMs in einer Google Cloud -Region. Ihre Instanzadministratoren haben die administrative Kontrolle über Ihre Instanz.

Cloud HSM für einzelne Mandanten bietet dieselbe Funktionalität wie Cloud HSM für mehrere Mandanten, hat aber den zusätzlichen Vorteil der kryptografischen Isolation von anderen Google Cloud Kunden. Weitere Informationen zu Funktionen, die von allen Cloud HSM-Schlüsseln gemeinsam genutzt werden, finden Sie weiter oben auf dieser Seite unter Hardware-Schutzstufe.

Für Cloud HSM-Instanzen für einzelne Mandanten fallen im Vergleich zu Cloud HSM für mehrere Mandanten zusätzliche Kosten an.

Externe Schutzebenen

Cloud External Key Manager-Schlüssel (Cloud EKM-Schlüssel) sind Schlüssel, die Sie in einem unterstützten EKM-Partnerdienst (External Key Management) verwalten und inGoogle Cloud -Diensten sowie Cloud KMS-APIs und -Clientbibliotheken verwenden. Cloud EKM-Schlüssel können je nach EKM-Anbieter software- oder hardwaregestützt sein. Sie können Ihre Cloud EKM-Schlüssel in CMEK-integrierten Diensten oder mit den Cloud KMS-APIs und -Clientbibliotheken verwenden.

Cloud EKM-Schutzniveaus sind am teuersten. Wenn Sie Cloud EKM-Schlüssel verwenden, können Sie sicher sein, dass Google Cloud nicht auf Ihr Schlüsselmaterial zugreifen kann.

Welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, erfahren Sie unter CMEK-Integrationen. Wenden Sie dort den Filter Nur EKM-kompatible Dienste anzeigen an.

Schutzstufe für externe Verbindungen über das Internet

Sie können Cloud EKM-Schlüssel über das Internet an allen von Cloud KMS unterstützten Standorten verwenden, mit Ausnahme von nam-eur-asia1 und global.

Schutzniveau „Extern über VPC“

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk verwenden, um die Verfügbarkeit Ihrer externen Schlüssel zu verbessern. Durch die bessere Verfügbarkeit ist die Wahrscheinlichkeit geringer, dass Ihre Cloud EKM-Schlüssel und die von ihnen geschützten Ressourcen nicht mehr verfügbar sind.

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk an den meisten regionalen Standorten verwenden, die von Cloud KMS unterstützt werden. Cloud EKM über ein VPC-Netzwerk ist an multiregionalen Standorten nicht verfügbar.

Nächste Schritte

Weitere Informationen zu kompatiblen Diensten, mit denen Sie Ihre Schlüssel in Google Cloudverwenden können
Informationen zum Schutzniveau von Cloud HSM für einzelne Mandanten und zum Erstellen und Verwalten einer Cloud HSM-Instanz für einzelne Mandanten
Schlüsselbunde erstellen und Verschlüsselungsschlüssel erstellen
Weitere Informationen zum Importieren von Schlüsseln
Weitere Informationen zu externen Schlüsseln
Weitere Überlegungen zur Verwendung von Cloud EKM