Esta página foi traduzida pela API Cloud Translation.

Níveis de proteção

Esta página compara os diferentes níveis de proteção suportados no Cloud KMS:

Software: As chaves do Cloud KMS com o nível de proteção SOFTWARE são usadas para operações criptográficas realizadas no software. As chaves do Cloud KMS podem ser geradas pela Google ou importadas.

Hardware multiinquilino: As chaves de HSM na nuvem com o nível de proteção HSM são armazenadas num módulo de segurança de hardware (HSM) pertencente à Google. As operações criptográficas que usam estas chaves são realizadas nos nossos HSMs. Pode usar chaves do Cloud HSM da mesma forma que usa chaves do Cloud KMS. As chaves do HSM na nuvem podem ser geradas pela Google ou importadas.
Hardware de inquilino único: Controla e gere a instância do HSM na nuvem de inquilino único, que é um cluster dedicado de partições do HSM que gere. As operações criptográficas que usam estas chaves são realizadas nos nossos HSMs. Pode usar chaves do Cloud HSM de inquilino único da mesma forma que usa chaves do Cloud KMS. As chaves do HSM na nuvem de inquilino único podem ser geradas pela Google ou importadas. Para mais informações, consulte o artigo HSM na nuvem de inquilino único.

Externo através da Internet: As chaves do Cloud EKM com o nível de proteção EXTERNAL são geradas e armazenadas no seu sistema de gestão de chaves externo (EKM). O EKM na nuvem armazena material criptográfico adicional e um caminho para a sua chave exclusiva, que é usado para aceder à sua chave através da Internet.
Externo através da VPC: As chaves do Cloud EKM com o nível de proteção EXTERNAL_VPC são geradas e armazenadas no seu sistema de gestão de chaves externo (EKM). O EKM do Google Cloud armazena material criptográfico adicional e um caminho para a sua chave única, que é usada para aceder à sua chave através de uma rede da nuvem virtual privada (VPC).

As chaves com todos estes níveis de proteção partilham as seguintes funcionalidades:

Use as suas chaves para a chave de encriptação gerida pelo cliente (CMEK) integrada Google Cloud serviços.

Nota: alguns serviços integrados com a CMEK não suportam chaves do EKM na nuvem. Para saber que serviços integrados com CMEK suportam chaves do Cloud EKM, consulte o artigo Integrações de CMEK.
Use as suas chaves com as APIs ou as bibliotecas cliente do Cloud KMS, sem código especializado com base no nível de proteção da chave.
Controle o acesso às suas chaves através de funções da gestão de identidade e de acesso (IAM).
Controlar se cada versão da chave está ativada ou desativada no Cloud KMS.
As operações principais são captadas nos registos de auditoria. O registo de acesso aos dados pode ser ativado.

Nível de proteção do software

O Cloud KMS usa o módulo BoringCrypto (BCM) para todas as operações criptográficas para chaves de software. O BCM está validado de acordo com a norma FIPS 140-2. As chaves de software do Cloud KMS usam primitivas criptográficas validadas ao nível 1 da FIPS 140-2 do BCM.

O nível de proteção de software é o nível de proteção mais barato. As chaves de software são uma boa escolha para exemplos de utilização que não tenham requisitos regulamentares específicos para um nível de validação FIPs 140-2 mais elevado.

Nível de proteção de hardware

O HSM na nuvem ajuda a aplicar a conformidade regulamentar às suas cargas de trabalho no Google Cloud. Com o Cloud HSM, pode gerar chaves de encriptação e realizar operações criptográficas em HSMs validados de nível 3 da FIPS 140-2. O serviço é totalmente gerido, pelo que pode proteger as suas cargas de trabalho mais confidenciais sem se preocupar com a sobrecarga operacional da gestão de um cluster de HSM. O Cloud HSM oferece uma camada de abstração sobre os módulos HSM. Esta abstração permite-lhe usar as suas chaves em integrações de CMEK ou nas APIs Cloud KMS ou bibliotecas de cliente sem código específico do HSM.

As versões de chaves de hardware são mais caras, mas oferecem vantagens de segurança substanciais em relação às chaves de software. Cada chave do Cloud HSM tem uma declaração de atestação que contém informações certificadas sobre a sua chave. Esta atestação e as respetivas cadeias de certificados associadas podem ser usadas para validar a autenticidade da declaração e dos atributos da chave e do HSM.

Nível de proteção de hardware de inquilino único

Com o Cloud HSM de inquilino único, cria e gere a sua própria instância do Cloud HSM de inquilino único em HSMs geridos pela Google. Cada instância é um cluster de partições dedicadas em HSMs numa Google Cloud região. Os administradores da sua instância têm controlo administrativo da mesma.

O HSM na nuvem de inquilino único oferece a mesma funcionalidade que o HSM na nuvem de vários inquilinos, com a vantagem adicional do isolamento criptográfico de outros Google Cloud clientes. Para mais informações sobre a funcionalidade partilhada por todas as chaves do HSM na nuvem, consulte o Nível de proteção de hardware anteriormente nesta página.

As instâncias do Cloud HSM de inquilino único incorrem em despesas adicionais relativamente ao Cloud HSM de vários inquilinos.

Níveis de proteção externos

As chaves do Cloud External Key Manager (Cloud EKM) são chaves que gere num serviço de parceiro de gestão de chaves externas (EKM) suportado e usa em Google Cloud serviços e APIs e bibliotecas cliente do Cloud KMS. As chaves do Cloud EKM podem ser suportadas por software ou hardware, consoante o seu fornecedor de EKM. Pode usar as suas chaves do EKM na nuvem em serviços integrados com CMEK ou através das APIs e das bibliotecas cliente do Cloud KMS.

Os níveis de proteção da EKM na nuvem são os mais caros. Quando usa chaves do EKM na nuvem, pode ter a certeza de que não Google Cloud consegue aceder ao seu material de chaves.

Para ver que serviços integrados com CMEK suportam chaves do EKM da nuvem, consulte as integrações de CMEK e aplique o filtro Mostrar apenas serviços compatíveis com EKM.

Nível de proteção externo através da Internet

Pode usar chaves do Cloud EKM através da Internet em todas as localizações suportadas pelo Cloud KMS, exceto nam-eur-asia1 e global.

Nível de proteção externo sobre VPC

Pode usar chaves do Cloud EKM numa rede VPC para uma melhor disponibilidade das suas chaves externas. Esta melhor disponibilidade significa que existe uma menor probabilidade de as suas chaves do EKM do Google Cloud e os recursos que protegem ficarem indisponíveis.

Pode usar chaves do EKM da nuvem numa rede VPC na maioria das localizações regionais suportadas pelo Cloud KMS. O EKM na nuvem através de uma rede VPC não está disponível em localizações de várias regiões.

O que se segue?

Saiba mais sobre os serviços compatíveis que lhe permitem usar as suas chaves no Google Cloud.
Saiba mais sobre o nível de proteção do HSM na nuvem de inquilino único e como criar e gerir uma instância do HSM na nuvem de inquilino único.
Saiba como criar conjuntos de chaves e criar chaves de encriptação.
Saiba mais sobre a importação de chaves.
Saiba mais sobre as chaves externas.
Saiba mais sobre outras considerações para usar o EKM da Google Cloud.