Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Level perlindungan

Halaman ini membandingkan berbagai tingkat perlindungan yang didukung di Cloud KMS:

Software: Kunci Cloud KMS dengan tingkat perlindungan SOFTWARE digunakan untuk operasi kriptografis yang dilakukan di software. Kunci Cloud KMS dapat dibuat oleh Google atau diimpor.

Hardware multi-tenant: Kunci Cloud HSM dengan tingkat perlindungan HSM disimpan di Modul Keamanan Hardware (HSM) milik Google. Operasi kriptografis menggunakan kunci ini dilakukan di HSM kami. Anda dapat menggunakan kunci Cloud HSM dengan cara yang sama seperti menggunakan kunci Cloud KMS. Kunci Cloud HSM dapat dibuat oleh Google atau diimpor.
Hardware single-tenant: Kunci Cloud HSM dengan tingkat perlindungan HSM_SINGLE_TENANT disimpan dalam instance single-tenant di Modul Keamanan Hardware (HSM) milik Google. Anda mengontrol dan mengelola instance Cloud HSM Single-tenant, yang merupakan cluster khusus partisi HSM yang Anda kelola. Operasi kriptografis menggunakan kunci ini dilakukan di HSM kami. Anda dapat menggunakan kunci Cloud HSM single-tenant dengan cara yang sama seperti menggunakan kunci Cloud KMS. Kunci Cloud HSM single-tenant dapat dibuat oleh Google atau diimpor. Untuk mengetahui informasi selengkapnya, lihat Cloud HSM Single-tenant.

Eksternal melalui internet: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL dibuat dan disimpan di sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografis tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui internet.
Eksternal melalui VPC: Kunci Cloud EKM dengan tingkat perlindungan EXTERNAL_VPC dibuat dan disimpan di sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografis tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui jaringan virtual private cloud (VPC).

Kunci dengan semua tingkat perlindungan ini memiliki fitur berikut:

Menggunakan kunci Anda untuk layanan terintegrasi kunci enkripsi yang dikelola pelanggan (CMEK) Google Cloud .

Catatan: Beberapa layanan terintegrasi CMEK tidak mendukung kunci Cloud EKM. Untuk mempelajari layanan terintegrasi CMEK yang mendukung kunci Cloud EKM, lihat Integrasi CMEK.
Menggunakan kunci Anda dengan Cloud KMS API atau library klien, tanpa kode khusus berdasarkan tingkat perlindungan kunci.
Mengontrol akses ke kunci Anda menggunakan peran Identity and Access Management (IAM).
Mengontrol apakah setiap versi kunci Diaktifkan atau Dinonaktifkan dari Cloud KMS.
Operasi kunci dicatat dalam log audit. Logging akses data dapat diaktifkan.

Tingkat perlindungan software

Cloud KMS menggunakan modul BoringCrypto (BCM) untuk semua operasi kriptografis untuk kunci software. BCM divalidasi FIPS 140-3. Kunci software Cloud KMS menggunakan Primitif Kriptografis Tingkat 1 yang divalidasi FIPS 140-3 dari BCM.

Tingkat perlindungan software adalah tingkat perlindungan termurah. Kunci software adalah pilihan yang tepat untuk kasus penggunaan yang tidak memiliki persyaratan peraturan khusus untuk tingkat validasi FIPS 140-3 yang lebih tinggi.

Tingkat perlindungan hardware

Cloud HSM membantu Anda menegakkan kepatuhan terhadap peraturan untuk workload Anda di Google Cloud. Dengan Cloud HSM, Anda dapat menghasilkan kunci enkripsi dan menjalankan operasi kriptografi di FIPS 140-2 Level 3 HSM yang divalidasi. Layanan ini terkelola sepenuhnya, sehingga Anda dapat melindungi workload yang paling sensitif tanpa perlu mengkhawatirkan beban operasional pengelolaan cluster HSM. Cloud HSM menyediakan lapisan abstraksi di atas modul HSM. Abstraksi ini memungkinkan Anda menggunakan kunci di integrasi CMEK atau Cloud KMS API atau library klien tanpa kode khusus HSM.

Versi kunci hardware lebih mahal, tetapi memberikan manfaat keamanan yang substansial dibandingkan dengan kunci software. Setiap kunci Cloud HSM memiliki pernyataan pengesahan yang berisi informasi bersertifikat tentang kunci Anda. Pengesahan ini dan rantai sertifikat terkait dapat digunakan untuk memverifikasi keaslian pernyataan dan atribut kunci serta HSM.

Tingkat perlindungan hardware single-tenant

Dengan Cloud HSM Single-tenant, Anda membuat dan mengelola instance Cloud HSM Single-tenant Anda sendiri dalam HSM yang dikelola Google. Setiap instance adalah cluster partisi khusus di HSM di Google Cloud region. Administrator instance Anda memiliki kontrol administratif atas instance Anda.

Cloud HSM Single-tenant menyediakan fungsi yang sama dengan Cloud HSM Multi-tenant, dengan manfaat tambahan berupa isolasi kriptografis dari pelanggan Google Cloud lain. Untuk mengetahui informasi selengkapnya tentang fungsi yang dibagikan oleh semua kunci Cloud HSM, lihat Tingkat perlindungan hardware di bagian sebelumnya pada halaman ini.

Instance Cloud HSM Single-tenant menimbulkan biaya tambahan dibandingkan dengan Cloud HSM Multi-tenant.

Tingkat perlindungan eksternal

Kunci Cloud External Key Manager (Cloud EKM) adalah kunci yang Anda kelola di layanan partner pengelolaan kunci eksternal (EKM) yang didukung dan digunakan dalam Google Cloud layanan serta Cloud KMS API dan library klien. Kunci Cloud EKM dapat didukung software atau hardware, bergantung pada penyedia EKM Anda. Anda dapat menggunakan kunci Cloud EKM di layanan terintegrasi CMEK atau menggunakan Cloud KMS API dan library klien.

Tingkat perlindungan Cloud EKM adalah yang paling mahal. Saat menggunakan kunci Cloud EKM, Anda dapat memastikan bahwa Google Cloud tidak dapat mengakses materi kunci Anda.

Untuk melihat layanan terintegrasi CMEK yang mendukung kunci Cloud EKM, lihat Integrasi CMEK dan terapkan filter Tampilkan hanya layanan yang kompatibel dengan EKM.

Tingkat perlindungan eksternal melalui internet

Anda dapat menggunakan kunci Cloud EKM melalui internet di semua lokasi yang didukung oleh Cloud KMS, kecuali nam-eur-asia1 dan global.

Tingkat perlindungan eksternal melalui VPC

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC untuk ketersediaan kunci eksternal yang lebih baik. Ketersediaan yang lebih baik ini berarti ada lebih sedikit peluang kunci Cloud EKM dan resource yang dilindunginya menjadi tidak tersedia.

Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC di sebagian besar lokasi regional yang didukung oleh Cloud KMS. Cloud EKM melalui jaringan VPC tidak tersedia di lokasi multi-region.

Langkah berikutnya

Pelajari tentang layanan yang kompatibel yang memungkinkan Anda menggunakan kunci di Google Cloud.
Pelajari tentang tingkat perlindungan Cloud HSM Single-tenant dan cara membuat serta mengelola instance Cloud HSM Single-tenant.
Pelajari cara membuat key ring dan membuat kunci enkripsi.
Pelajari cara mengimpor kunci.
Pelajari kunci eksternal.
Pelajari pertimbangan lain untuk menggunakan Cloud EKM.