En esta página se comparan los distintos niveles de protección que admite Cloud KMS:
- Software Las claves de
- Cloud KMS con el nivel de protección
SOFTWAREse usan en operaciones criptográficas que se realizan en software. Google puede generar o importar claves de Cloud KMS. - Hardware multiinquilino Las claves de
- Cloud HSM con el nivel de protección
HSMse almacenan en un módulo de seguridad de hardware (HSM) propiedad de Google. Las operaciones criptográficas que usan estas claves se realizan en nuestros HSMs. Puedes usar las claves de Cloud HSM de la misma forma que las de Cloud KMS. Google puede generar claves de Cloud HSM o se pueden importar. - Hardware de un solo arrendatario Las claves de Cloud HSM con el nivel de protección
- Tú controlas y gestionas la instancia de Cloud HSM de un solo inquilino, que es un clúster dedicado de particiones de HSM que gestionas. Las operaciones criptográficas que utilizan estas claves se realizan en nuestros HSMs. Puedes usar claves de Cloud HSM de un solo arrendatario del mismo modo que usas las claves de Cloud KMS. Google puede generar o importar claves de Cloud HSM de un solo inquilino. Para obtener más información, consulta Cloud HSM de un solo inquilino.
- Externo a través de Internet Las claves de
- Cloud EKM con el nivel de protección
EXTERNALse generan y almacenan en tu sistema de gestión de claves externo (EKM). Cloud EKM almacena material criptográfico adicional y una ruta a tu clave única, que se usa para acceder a tu clave a través de Internet. - Externo a través de VPC Las claves de Cloud EKM con el nivel de protección
- Cloud EKM almacena material criptográfico adicional y una ruta a tu clave única, que se usa para acceder a tu clave a través de una red de nube privada virtual (VPC).
HSM_SINGLE_TENANT se almacenan en una instancia de un solo inquilino en un módulo de seguridad de hardware (HSM) propiedad de Google.EXTERNAL_VPC se generan y almacenan en tu sistema de gestión de claves externo (EKM).Las claves con todos estos niveles de protección comparten las siguientes características:
Usa tus claves para losGoogle Cloud serviciosGoogle Cloud integrados con claves de cifrado gestionadas por el cliente (CMEK).
Usa tus claves con las APIs o las bibliotecas de cliente de Cloud KMS sin necesidad de usar código especializado en función del nivel de protección de la clave.
Controla el acceso a tus claves mediante roles de Gestión de Identidades y Accesos (IAM).
Controla si cada versión de la clave está habilitada o inhabilitada en Cloud KMS.
Las operaciones con claves se registran en los registros de auditoría. Se puede habilitar el registro de acceso a datos.
Nivel de protección del software
Cloud KMS utiliza el módulo BoringCrypto (BCM) para todas las operaciones criptográficas de las claves de software. El BCM está validado según el estándar FIPS 140-2. Las claves de software de Cloud KMS usan los primitivos criptográficos con la validación FIPS 140-2 de nivel 1 del módulo BoringCrypto (BCM).
El nivel de protección de software es el más económico. Las llaves de software son una buena opción para los casos prácticos que no tienen requisitos normativos específicos para un nivel de validación FIPS 140-2 superior.Nivel de protección de hardware
Cloud HSM te ayuda a cumplir las normativas de tus cargas de trabajo en Google Cloud. Con Cloud HSM, puedes generar claves de cifrado y realizar operaciones criptográficas en HSMs con validación FIPS 140-2 de nivel 3. El servicio está totalmente gestionado, por lo que puedes proteger tus cargas de trabajo más sensibles sin preocuparte por los costes innecesarios que se derivan de la gestión de clústeres de HSM. Cloud HSM proporciona una capa de abstracción sobre los módulos HSM. Esta abstracción te permite usar tus claves en integraciones de CMEK o en las APIs o bibliotecas de cliente de Cloud KMS sin código específico de HSM.
Las versiones de claves de hardware son más caras, pero ofrecen ventajas de seguridad considerables en comparación con las claves de software. Cada clave de Cloud HSM tiene una declaración de atestación que contiene información certificada sobre tu clave. Esta atestación y sus cadenas de certificados asociadas se pueden usar para verificar la autenticidad de la declaración y los atributos de la clave y el HSM.Nivel de protección de hardware de un solo arrendatario
Con Cloud HSM de un solo inquilino, puedes crear y gestionar tu propia instancia de Cloud HSM de un solo inquilino en HSMs gestionados por Google. Cada instancia es un clúster de particiones dedicadas en HSMs de una Google Cloud región. Los administradores de tu instancia tienen control administrativo sobre ella.
Cloud HSM de un solo arrendatario ofrece las mismas funciones que Cloud HSM de varios arrendatarios, con la ventaja añadida del aislamiento criptográfico de otros clientes. Google Cloud Para obtener más información sobre las funciones compartidas por todas las claves de Cloud HSM, consulta la sección Nivel de protección de hardware de esta página.
Las instancias de Cloud HSM de un solo inquilino conllevan gastos adicionales en comparación con Cloud HSM de varios inquilinos.Niveles de protección externos
Las claves de Cloud External Key Manager (Cloud EKM) son claves que gestionas en un servicio de partner de gestión de claves externo (EKM) admitido y que usas enGoogle Cloud servicios y en las APIs y bibliotecas de cliente de Cloud KMS. Las claves de Cloud EKM pueden estar respaldadas por software o por hardware, en función de tu proveedor de EKM. Puedes usar tus claves de Cloud EKM en servicios integrados con CMEK o mediante las APIs y bibliotecas de cliente de Cloud KMS.
Los niveles de protección de Cloud EKM son los más caros. Cuando usas claves de Cloud EKM, puedes tener la certeza de que Google Cloud no puede acceder al material de tu clave.Para ver qué servicios integrados con CMEK admiten claves de EKM de Cloud, consulta las integraciones de CMEK y aplica el filtro Mostrar solo servicios compatibles con EKM.
Nivel de protección externa a través de Internet
Puedes usar claves de Cloud EKM a través de Internet en todas las ubicaciones admitidas por Cloud KMS, excepto nam-eur-asia1 y global.
Nivel de protección externa a través de VPC
Puedes usar claves de Cloud EKM en una red de VPC para mejorar la disponibilidad de tus claves externas. Esta mayor disponibilidad significa que hay menos probabilidades de que tus claves de Cloud EKM y los recursos que protegen dejen de estar disponibles.
Puedes usar claves de Cloud EKM en una red de VPC en la mayoría de las ubicaciones regionales compatibles con Cloud KMS. Cloud EKM a través de una red de VPC no está disponible en ubicaciones multirregión.
Siguientes pasos
- Consulta los servicios compatibles que te permiten usar tus llaves en Google Cloud.
- Consulta información sobre el nivel de protección Cloud HSM de un solo inquilino y cómo crear y gestionar una instancia de Cloud HSM de un solo inquilino.
- Consulta cómo crear llaveros de claves y crear claves de cifrado.
- Más información sobre la importación de claves
- Consulta información sobre las claves externas.
- Consulta otras consideraciones sobre el uso de Cloud EKM.