Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :
- Logiciel Les clés Cloud KMS de niveau de protection
- Les clés Cloud KMS peuvent être générées par Google ou importées.
- Matériel mutualisé Les clés Cloud HSM avec le niveau de protection
- Les opérations de chiffrement utilisant ces clés sont effectuées dans nos HSM. Vous pouvez utiliser les clés Cloud HSM de la même manière que les clés Cloud KMS. Les clés Cloud HSM peuvent être générées par Google ou importées.
- Matériel à locataire unique
- Les clés Cloud HSM avec le niveau de protection
HSM_SINGLE_TENANTsont stockées dans une instance à locataire unique dans un module de sécurité matérielle (HSM) appartenant à Google. Vous contrôlez et gérez l'instance Cloud HSM à locataire unique, qui est un cluster dédié de partitions HSM que vous gérez. Les opérations de chiffrement utilisant ces clés sont effectuées dans nos HSM. Vous pouvez utiliser des clés Cloud HSM à locataire unique de la même manière que des clés Cloud KMS. Les clés Cloud HSM à locataire unique peuvent être générées par Google ou importées. Pour en savoir plus, consultez Cloud HSM à locataire unique. - Externe via Internet Les clés Cloud EKM avec le niveau de protection
- Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé sur Internet.
- Externe via VPC Les clés Cloud EKM de niveau de protection
- Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisée pour accéder à votre clé sur un réseau de cloud privé virtuel (VPC).
SOFTWARE sont utilisées pour les opérations de chiffrement effectuées dans un logiciel.HSM sont stockées dans un module de sécurité matériel (HSM) appartenant à Google.EXTERNAL sont générées et stockées dans votre système externe de gestion des clés (EKM).EXTERNAL_VPC sont générées et stockées dans votre système externe de gestion des clés (EKM).Les clés avec tous ces niveaux de protection partagent les fonctionnalités suivantes :
Utilisez vos clés pour les servicesGoogle Cloud intégrant des clés de chiffrement gérées par le client (CMEK).
Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).
Contrôlez si chaque version de clé est activée ou désactivée depuis Cloud KMS.
Les opérations clés sont enregistrées dans les journaux d'audit. La journalisation des accès aux données peut être activée.
Niveau de protection du logiciel
Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le module BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-2 de niveau 1.
Le niveau de protection logicielle est le moins cher. Les clés logiciellessont un bon choix pour les cas d'utilisation qui ne sont pas soumis à des exigences réglementaires spécifiques pour un niveau de validation FIPS 140-2 plus élevé.Niveau de protection matérielle
Cloud HSM peut vous aider à appliquer la conformité réglementaire pour vos charges de travail dansGoogle Cloud. Ce service vous permet de générer des clés de chiffrement et d'effectuer des opérations de cryptographie dans des modules HSM validés FIPS 140-2 de niveau 3. Il est entièrement géré. Vous pouvez donc protéger vos charges de travail les plus sensibles, sans avoir à vous soucier des coûts opérationnels engendrés par la gestion d'un cluster HSM. Cloud HSM fournit une couche d'abstraction au-dessus des modules HSM. Cette abstraction vous permet d'utiliser vos clés dans les intégrations CMEK ou les API ou bibliothèques clientes Cloud KMS sans code spécifique à HSM.
Les versions matérielles des clés sont plus coûteuses, mais elles offrent des avantages considérables en termes de sécurité par rapport aux clés logicielles. Chaque clé Cloud HSM est associée à une instruction d'attestation contenant des informations certifiées sur votre clé. Cette attestation et ses chaînes de certificats associées peuvent être utilisées pour vérifier l'authenticité de la déclaration et les attributs de la clé et du HSM.Niveau de protection du matériel à locataire unique
Avec Single-tenant Cloud HSM, vous créez et gérez votre propre instance Single-tenant Cloud HSM dans des HSM gérés par Google. Chaque instance est un cluster de partitions dédiées sur des HSM dans une région Google Cloud . Les administrateurs de votre instance ont le contrôle administratif de celle-ci.
Cloud HSM à locataire unique offre les mêmes fonctionnalités que Cloud HSM multilocataire, avec l'avantage supplémentaire d'un isolement cryptographique des autres clients Google Cloud . Pour en savoir plus sur les fonctionnalités partagées par toutes les clés Cloud HSM, consultez la section Niveau de protection matérielle plus haut sur cette page.
Les instances Cloud HSM à locataire unique entraînent des dépenses supplémentaires par rapport à Cloud HSM multilocataire.Niveaux de protection externes
Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externes (EKM) compatible et que vous utilisez dans les servicesGoogle Cloud , ainsi que dans les API et les bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être logicielles ou matérielles, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans les services intégrés à CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS.
Les niveaux de protection Cloud EKM sont les plus coûteux. Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Google Cloud ne peut pas accéder à votre matériel de clé.Pour savoir quels services intégrés à CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.
Niveau de protection externe sur Internet
Vous pouvez utiliser les clés Cloud EKM sur Internet dans tous les emplacements compatibles avec Cloud KMS, à l'exception de nam-eur-asia1 et global.
Niveau de protection "Externe via VPC"
Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC pour améliorer la disponibilité de vos clés externes. Cette meilleure disponibilité signifie que vos clés Cloud EKM et les ressources qu'elles protègent ont moins de chances de devenir indisponibles.
Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des emplacements régionaux compatibles avec Cloud KMS. Cloud EKM sur un réseau VPC n'est pas disponible dans les emplacements multirégionaux.
Étapes suivantes
- Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Google Cloud.
- Découvrez le niveau de protection Cloud HSM à locataire unique et comment créer et gérer une instance Cloud HSM à locataire unique.
- Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
- Découvrez comment importer des clés.
- En savoir plus sur les clés externes
- Découvrez d'autres éléments à prendre en compte pour l'utilisation de Cloud EKM.