Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

רמות ההגנה

בדף הזה מוצגות השוואה בין רמות ההגנה השונות שנתמכות ב-Cloud KMS:

תוכנה: מפתחות Cloud KMS עם רמת הגנה SOFTWARE משמשים לפעולות קריפטוגרפיות שמתבצעות בתוכנה. מפתחות Cloud KMS יכולים להיווצר על ידי Google או להיות מיובאים.

חומרה עם ריבוי דיירים: פעולות קריפטוגרפיות באמצעות המפתחות האלה מתבצעות ב-HSM שלנו. אפשר להשתמש במפתחות Cloud HSM באותה דרך שבה משתמשים במפתחות Cloud KMS. מפתחות Cloud HSM יכולים להיווצר על ידי Google או להיות מיובאים.
חומרה עם דייר יחיד: אתם שולטים במופע של Cloud HSM עם דייר יחיד ומנהלים אותו. זהו אשכול ייעודי של מחיצות HSM שאתם מנהלים. פעולות קריפטוגרפיות באמצעות המפתחות האלה מתבצעות במודולים של אבטחת חומרה (HSM) שלנו. אפשר להשתמש במפתחות Cloud HSM של דייר יחיד באותה דרך שבה משתמשים במפתחות Cloud KMS. אפשר ליצור מפתחות Cloud HSM של דייר יחיד על ידי Google או לייבא אותם. מידע נוסף זמין במאמר בנושא Cloud HSM עם דייר יחיד.

חיצוני דרך האינטרנט: מפתחות Cloud EKM עם רמת ההגנה EXTERNAL נוצרים ומאוחסנים במערכת החיצונית לניהול מפתחות (EKM). שירות Cloud EKM מאחסן חומר קריפטוגרפי נוסף ונתיב למפתח הייחודי שלכם, שמשמש לגישה למפתח דרך האינטרנט.
חיצוני דרך VPC: מפתחות Cloud EKM עם רמת ההגנה EXTERNAL_VPC נוצרים ומאוחסנים במערכת החיצונית לניהול מפתחות (EKM). שירות Cloud EKM מאחסן חומר קריפטוגרפי נוסף ונתיב למפתח הייחודי שלכם, שמשמש לגישה למפתח דרך רשת וירטואלית פרטית (VPC).

למפתחות עם כל רמות ההגנה האלה יש את התכונות הבאות:

שימוש במפתחות שלכם להצפנה עם מפתח בניהול הלקוח (CMEK) בשירותים משולבים שלGoogle Cloud .

הערה: שירותים מסוימים שמשולבים עם CMEK לא תומכים במפתחות Cloud EKM. כדי ללמוד אילו שירותים עם שילובי CMEK תומכים במפתחות Cloud EKM, ראו שילובי CMEK.
אפשר להשתמש במפתחות עם ממשקי ה-API או ספריות הלקוח של Cloud KMS, בלי להשתמש בקוד מיוחד כלשהו על סמך רמת ההגנה של המפתח.
שליטה בגישה למפתחות באמצעות תפקידים ב-IAM (המערכת לניהול הזהויות והרשאות הגישה).
ב-Cloud KMS, אפשר לקבוע אם כל גרסת מפתח מופעלת או מושבתת.
פעולות מרכזיות מתועדות ביומני הביקורת. אפשר להפעיל את הרישום ביומן של גישה לנתונים.

רמת ההגנה על התוכנה

‫Cloud KMS משתמש במודול BoringCrypto ‏ (BCM) לכל הפעולות הקריפטוגרפיות של מפתחות תוכנה. ל-BCM יש אישור FIPS 140-3. מפתחות תוכנה ב-Cloud KMS משתמשים בקריפטוגרפיה קדומה (Cryptographic Primitives) של BCM עם אישור FIPS 140-3 ברמה 1.

רמת ההגנה של התוכנה היא רמת ההגנה הזולה ביותר. מפתחות תוכנה הם בחירה טובה לתרחישי שימוש שלא חלים עליהם דרישות רגולטוריות ספציפיות לרמת אימות גבוהה יותר של FIPS 140-3.

רמת ההגנה של החומרה

‫Cloud HSM עוזר לכם לאכוף את העמידה בתקנות עבור עומסי העבודה ב-Google Cloud. באמצעות Cloud HSM, אתם יכולים ליצור מפתחות הצפנה ולבצע פעולות קריפטוגרפיות במודולים של HSM שעברו אימות FIPS 140-2 ברמה 3. השירות מנוהל באופן מלא, כך שאתם יכולים להגן על עומסי העבודה הרגישים ביותר בלי לדאוג לעומס התפעולי של ניהול אשכול HSM. שירות Cloud HSM מספק שכבת הפשטה מעל מודולי ה-HSM. ההפשטה הזו מאפשרת לכם להשתמש במפתחות שלכם בשילובים של CMEK או בממשקי ה-API או בספריות הלקוח של Cloud KMS בלי קוד ספציפי ל-HSM.

גרסאות של מפתחות פיזיים יקרות יותר, אבל הן מספקות יתרונות משמעותיים מבחינת אבטחה בהשוואה למפתחות תוכנה. לכל מפתח Cloud HSM יש הצהרת אימות שמכילה מידע מאומת על המפתח. אפשר להשתמש באישור הזה ובשרשרות האישורים שמשויכות אליו כדי לאמת את האותנטיות של ההצהרה והמאפיינים של המפתח ושל ה-HSM.

רמת ההגנה של חומרה עם דייר יחיד

באמצעות Cloud HSM עם דייר יחיד, אתם יוצרים ומנהלים מופע משלכם של Cloud HSM עם דייר יחיד בתוך מודולי HSM שמנוהלים על ידי Google. כל מופע הוא אשכול של מחיצות ייעודיות במודולי HSM באזור Google Cloud . לאדמינים במופע שלכם יש שליטה אדמיניסטרטיבית במופע.

שירות Cloud HSM עם דייר יחיד מספק את אותה פונקציונליות כמו Cloud HSM עם דיירים מרובים, עם היתרון הנוסף של בידוד קריפטוגרפי מלקוחות אחרים של Google Cloud . מידע נוסף על הפונקציונליות המשותפת לכל המפתחות של Cloud HSM זמין בקטע רמת ההגנה על החומרה שבהמשך הדף.

מופעי Cloud HSM עם דייר יחיד כרוכים בהוצאות נוספות בהשוואה ל-Cloud HSM עם כמה דיירים.

רמות הגנה חיצוניות

מפתחות Cloud External Key Manager ‏ (Cloud EKM) הם מפתחות שאתם מנהלים בשירות של שותף נתמך לניהול מפתחות חיצוני (EKM) ומשתמשים בהם בשירותיGoogle Cloud ובממשקי API ובספריות לקוח של Cloud KMS. מפתחות Cloud EKM יכולים להיות מגובים בתוכנה או בחומרה, בהתאם לספק ה-EKM שלכם. אתם יכולים להשתמש במפתחות Cloud EKM בשירותים עם שילוב CMEK או באמצעות ממשקי Cloud KMS API וספריות לקוח.

רמות ההגנה של Cloud EKM הן היקרות ביותר. כשמשתמשים במפתחות Cloud EKM, אפשר להיות בטוחים ש Google Cloud לא יכולה לגשת לחומר המפתח.

כדי לראות אילו שירותים עם שילובי CMEK תומכים במפתחות Cloud EKM, אפשר לעיין במאמר שילובי CMEK ולהשתמש במסנן הצגת שירותים שתואמים ל-EKM בלבד.

רמת ההגנה החיצונית באינטרנט

אפשר להשתמש במפתחות Cloud EKM באינטרנט בכל המיקומים שנתמכים על ידי Cloud KMS, למעט nam-eur-asia1 ו-global.

רמת ההגנה External over VPC

אתם יכולים להשתמש במפתחות Cloud EKM ברשת VPC כדי לשפר את הזמינות של המפתחות החיצוניים. הזמינות המשופרת הזו מצמצמת את הסיכוי שמפתחות Cloud EKM והמשאבים שהם מגנים עליהם לא יהיו זמינים.

ברוב המיקומים האזוריים שנתמכים על ידי Cloud KMS, אפשר להשתמש במפתחות Cloud EKM ברשת VPC. שירות Cloud EKM ברשת VPC לא זמין במיקומים מרובי-אזורים.

המאמרים הבאים

מידע על שירותים תואמים שמאפשרים לכם להשתמש במפתחות ב- Google Cloud.
כאן מוסבר על רמת ההגנה של Cloud HSM עם דייר יחיד ואיך ליצור ולנהל מופע של Cloud HSM עם דייר יחיד.
איך יוצרים אוספי מפתחות ואיך יוצרים מפתחות הצפנה
מידע נוסף על ייבוא מפתחות
מידע על מפתחות חיצוניים
מידע נוסף על שיקולים לשימוש ב-Cloud EKM