Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Livelli di protezione

Questa pagina confronta i diversi livelli di protezione supportati in Cloud KMS:

Software: Le chiavi Cloud KMS con il livello di protezione SOFTWARE vengono utilizzate per le operazioni di crittografia eseguite nel software. Le chiavi Cloud KMS possono essere generate da Google o importate.

Hardware multi-tenant: Le chiavi Cloud HSM con il livello di protezione HSM vengono archiviate in un modulo di sicurezza hardware (HSM) di proprietà di Google. Le operazioni di crittografia che utilizzano queste chiavi vengono eseguite nei nostri HSM. Puoi utilizzare le chiavi Cloud HSM nello stesso modo in cui utilizzi le chiavi Cloud KMS. Le chiavi Cloud HSM possono essere generate da Google o importate.
Hardware a tenant singolo: Le chiavi Cloud HSM con il livello di protezione HSM_SINGLE_TENANT vengono archiviate in un'istanza a tenant singolo in un modulo di sicurezza hardware (HSM) di proprietà di Google. Controlli e gestisci l'istanza Cloud HSM a tenant singolo, che è un cluster dedicato di partizioni HSM che gestisci. Le operazioni di crittografia che utilizzano queste chiavi vengono eseguite nei nostri HSM. Puoi utilizzare le chiavi Cloud HSM a tenant singolo nello stesso modo in cui utilizzi le chiavi Cloud KMS. Le chiavi Cloud HSM a tenant singolo possono essere generate da Google o importate. Per saperne di più, consulta Cloud HSM a tenant singolo.

Esterno tramite internet: Le chiavi Cloud EKM con il livello di protezione EXTERNAL vengono generate e archiviate nel sistema di gestione delle chiavi esterne (EKM). Cloud EKM archivia materiale di crittografia aggiuntivo e un percorso alla tua chiave univoca, che viene utilizzata per accedere alla chiave tramite internet.
Esterno tramite VPC: Le chiavi Cloud EKM con il livello di protezione EXTERNAL_VPC vengono generate e archiviate nel sistema di gestione delle chiavi esterne (EKM). Cloud EKM archivia materiale di crittografia aggiuntivo e un percorso a alla tua chiave univoca, che viene utilizzata per accedere alla chiave tramite una rete Virtual Private Cloud (VPC).

Le chiavi con tutti questi livelli di protezione condividono le seguenti funzionalità:

Utilizza le chiavi per i servizi integrati con le chiavi di crittografia gestite dal cliente (CMEK) Google Cloud .

Nota: alcuni servizi integrati con CMEK non supportano le chiavi Cloud EKM. Per scoprire quali servizi integrati con CMEK supportano le chiavi Cloud EKM, consulta Integrazioni CMEK.
Utilizza le chiavi con le API o le librerie client di Cloud KMS, senza codice specializzato basato sul livello di protezione della chiave.
Controlla l'accesso alle chiavi utilizzando i ruoli IAM (Identity and Access Management).
Controlla se ogni versione della chiave è attivata o disattivata da Cloud KMS.
Le operazioni sulle chiavi vengono acquisite nei log di controllo. È possibile attivare la registrazione degli accessi ai dati.

Livello di protezione software

Cloud KMS utilizza il modulo BoringCrypto (BCM) per tutte le operazioni di crittografia per le chiavi software. Il modulo BCM è convalidato secondo lo standard FIPS 140-3. Le chiavi software Cloud KMS utilizzano le primitive crittografiche del modulo BCM convalidate secondo lo standard FIPS 140-3 livello 1.

Il livello di protezione software è il più economico. Le chiavi software sono una buona scelta per i casi d'uso che non hanno requisiti normativi specifici per un livello di convalida FIPS 140-3 più elevato.

Livello di protezione hardware

Cloud HSM ti aiuta a garantire la conformità legale per i tuoi carichi di lavoro in Google Cloud. Con Cloud HSM puoi generare chiavi di crittografia ed eseguire operazioni di crittografia in HSM convalidati secondo lo standard FIPS 140-2 livello 3. Il servizio è completamente gestito, quindi puoi proteggere i carichi di lavoro più sensibili senza doverti preoccupare del sovraccarico operativo connesso alla gestione di un cluster HSM. Cloud HSM fornisce un livello di astrazione sopra i moduli HSM. Questa astrazione ti consente di utilizzare le chiavi nelle integrazioni CMEK o nelle API o librerie client di Cloud KMS senza codice specifico per HSM.

Le versioni delle chiavi hardware sono più costose, ma offrono notevoli vantaggi in termini di sicurezza rispetto alle chiavi software. Ogni chiave Cloud HSM ha una dichiarazione di attestazione che contiene informazioni certificate sulla chiave. Questa attestazione e le relative catene di certificati possono essere utilizzate per verificare l'autenticità della dichiarazione e degli attributi della chiave e dell'HSM.

Livello di protezione hardware a tenant singolo

Con Cloud HSM a tenant singolo, crei e gestisci la tua istanza Cloud HSM a tenant singolo all'interno degli HSM gestiti da Google. Ogni istanza è un cluster di partizioni dedicate sugli HSM in un' Google Cloud area geografica. Gli amministratori dell'istanza hanno il controllo amministrativo dell'istanza.

Cloud HSM a tenant singolo offre le stesse funzionalità di Cloud HSM multi-tenant, con il vantaggio aggiuntivo dell'isolamento crittografico da altri Google Cloud clienti. Per saperne di più sulle funzionalità condivise da tutte le chiavi Cloud HSM, consulta Livello di protezione hardware più avanti in questa pagina.

Le istanze Cloud HSM a tenant singolo comportano costi aggiuntivi rispetto a Cloud HSM multi-tenant.

Livelli di protezione esterni

Le chiavi Cloud External Key Manager (Cloud EKM) sono chiavi che gestisci in un servizio partner di gestione delle chiavi esterne (EKM) supportato e utilizzi in Google Cloud servizi e nelle API e librerie client di Cloud KMS. Le chiavi Cloud EKM possono essere software o hardware, a seconda del provider EKM. Puoi utilizzare le chiavi Cloud EKM nei servizi integrati con CMEK o utilizzando le API e le librerie client di Cloud KMS.

I livelli di protezione Cloud EKM sono i più costosi. Quando utilizzi le chiavi Cloud EKM, puoi essere certo che Google Cloud non può accedere al materiale della chiave.

Per scoprire quali servizi integrati con CMEK supportano le chiavi Cloud EKM, consulta Integrazioni CMEK e applica il filtro Mostra solo i servizi compatibili con EKM.

Livello di protezione esterno tramite internet

Puoi utilizzare le chiavi Cloud EKM tramite internet in tutte le località supportate da Cloud KMS, tranne nam-eur-asia1 e global.

Livello di protezione esterno tramite VPC

Puoi utilizzare le chiavi Cloud EKM su una rete VPC per una migliore disponibilità delle chiavi esterne. Questa migliore disponibilità significa che è meno probabile che le chiavi Cloud EKM e le risorse che proteggono diventino non disponibili.

Puoi utilizzare le chiavi Cloud EKM su una rete VPC nella maggior parte delle località regionali supportate da Cloud KMS. Cloud EKM su una rete VPC non è disponibile in località multiregionali.

Passaggi successivi

Scopri di più sui servizi compatibili che ti consentono di utilizzare le chiavi in Google Cloud.
Scopri di più sul livello di protezione Cloud HSM a tenant singolo e su come creare e gestire un'istanza Cloud HSM a tenant singolo.
Scopri come creare portachiavi e creare chiavi di crittografia.
Scopri di più sull'importazione delle chiavi.
Scopri di più sulle chiavi esterne.
Scopri di più su altre considerazioni per l'utilizzo di Cloud EKM.