Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud HSM à locataire unique

Ce document présente les concepts et les fonctionnalités de Cloud HSM à locataire unique.

Cloud HSM à locataire unique vous permet de créer et de gérer une instance Cloud HSM à locataire unique. Une instance Cloud HSM à locataire unique est un cluster de partitions dédié sur des modules de sécurité matérielle (HSM) pour votre usage exclusif. Chaque instance offre la même redondance et la même haute disponibilité que Cloud HSM multitenant. Chaque cluster Cloud HSM à locataire unique est réparti sur plusieurs HSM dans plusieurs zones de la région sélectionnée. Chaque partition est isolée de manière cryptographique des autres partitions du HSM.

Vous pouvez accorder ou refuser l'accès de Google à votre cluster, et vos administrateurs d'instance gèrent le cluster. Les administrateurs d'instance contrôlent l'instance à l'aide d'un modèle d'approbation par quorum qui repose sur des clés de contrôle asymétriques pour l'authentification à deux facteurs (2FA). Vous créez vos clés de contrôle en dehors deGoogle Cloud, de sorte que Google n'y ait jamais accès.

Une fois votre instance Cloud HSM à locataire unique configurée, vos administrateurs Cloud KMS peuvent créer des clés à locataire unique, et vos développeurs peuvent les utiliser comme n'importe quelle autre clé Cloud HSM, sans aucune modification de code.

L'utilisation de Cloud HSM à locataire unique entraîne des coûts. Pour en savoir plus sur les tarifs, consultez la page Tarifs de Cloud KMS.

Authentification basée sur le quorum

Le module Cloud HSM à locataire unique utilise l'authentification basée sur le quorum pour s'assurer que les opérations critiques sont approuvées par plusieurs administrateurs d'instance. Avant de créer une instance à locataire unique, vous devez créer un ensemble de clés de contrôle asymétriques en dehors de Cloud KMS et définir le nombre d'approbations requises pour les opérations sur l'instance. Par exemple, si votre instance est gérée par cinq administrateurs, vous pouvez exiger que trois d'entre eux approuvent chaque opération de maintenance sur l'instance.

Les opérations nécessitant une authentification par quorum se déroulent en trois étapes :

Proposition : un administrateur d'instance propose une opération (par exemple, l'enregistrement d'une nouvelle clé de contrôle). La proposition crée un instantané immuable de l'état actuel du système. Les propositions expirent au bout de 24 heures et peuvent être annulées à tout moment jusqu'à ce que l'opération approuvée soit lancée.
Approbation : le nombre requis d'administrateurs doit signer les défis à l'aide de leur clé de contrôle unique. Chaque défi signé indique un administrateur qui approuve l'opération. Lorsqu'un nombre suffisant de défis signés sont prêts, un administrateur d'instance les importe pour approuver la proposition. Si les contestations sont valides et que la proposition n'a pas expiré, elle est approuvée.
Exécution : une fois la proposition approuvée, mais avant son expiration, vous pouvez exécuter l'opération proposée.

Fonctionnalités de Cloud HSM à locataire unique

Cette section décrit les principales fonctionnalités de Cloud HSM à locataire unique.

Gestion des instances

Vos administrateurs gèrent le cycle de vie de vos instances Cloud HSM à locataire unique.

Créer une instance : vous provisionnez une instance dans une seule région. Le processus de création vous oblige à configurer l'authentification par quorum.
Obtenir des informations sur une instance : vous pouvez interroger une instance pour obtenir ses métadonnées et sa configuration. Cette opération ne nécessite pas d'authentification par quorum.
Désactiver et activer une instance : vous pouvez désactiver temporairement une instance, ce qui révoque l'accès de Google aux partitions. Vous pourrez activer l'instance ultérieurement. Les deux opérations nécessitent une authentification par quorum. L'activation de votre instance réinitialise la disableDate à 120 jours à compter de l'opération d'activation. Lorsqu'une instance est désactivée, toutes les clés créées dans l'instance sont indisponibles et toutes les opérations qui tentent d'utiliser ces clés échouent.
Actualiser une instance : vous devez actualiser régulièrement votre instance pour qu'elle reste disponible. Les instances doivent être actualisées tous les 120 jours ou moins. Chaque instance possède un disableDate qui indique la date à laquelle l'instance devra être actualisée. L'actualisation de votre instance réinitialise le disableDate à 120 jours à compter de la date de l'actualisation. Cette opération nécessite une authentification par quorum. Les instances qui ne sont pas actualisées avant le disableDate sont automatiquement désactivées.
Supprimer une instance : vous pouvez supprimer une instance. La suppression d'une instance détruit définitivement toutes les clés qui y ont été créées. Il s'agit d'une opération destructive et irréversible. Ne supprimez pas une instance, sauf si vous souhaitez détruire par chiffrement toutes les données chiffrées à l'aide de clés créées dans l'instance. Cette opération nécessite une authentification par quorum.

Gestion des clés

Vos administrateurs possèdent les clés de contrôle que vous utilisez pour l'authentification par quorum. Vos développeurs et autres propriétaires de ressources créent et utilisent des clés cryptographiques dans votre instance.

Alterner les clés de contrôle de l'administrateur : les administrateurs peuvent alterner la clé de contrôle de l'authentification à deux facteurs pour un membre du quorum administratif. Cette opération nécessite une authentification par quorum.
Générez des clés cryptographiques : vos développeurs et propriétaires de ressources peuvent créer un CryptoKey avec un niveau de protection HSM à locataire unique. Cette opération ne nécessite pas d'authentification par quorum.
Effectuer des opérations de chiffrement : une fois créées, les clés stockées dans une instance à locataire unique peuvent être utilisées pour des opérations de chiffrement comme n'importe quelle autre clé Cloud Key Management Service.

Bonnes pratiques pour le HSM cloud à locataire unique

Suivez ces bonnes pratiques lorsque vous utilisez Single-tenant Cloud HSM :

Privilèges de projet : utilisez les privilèges de projet pour protéger les projets qui contiennent des instances Cloud HSM à locataire unique actives. Si vous supprimez un projet contenant une instance Cloud HSM à locataire unique, les clés créées dans cette instance ne pourront pas être récupérées.
Jetons physiques : utilisez des jetons physiques pour stocker les clés privées de l'authentification à deux facteurs pour les administrateurs de votre instance. Stockez ces jetons physiques de manière sécurisée. Si vous perdez un quorum de clés, Google ne peut pas vous aider à récupérer l'accès à l'instance. Étant donné que les instances doivent être mises à jour régulièrement, la perte d'un quorum de clés finit par les désactiver.
Clés de sauvegarde : enregistrez au moins une clé d'authentification à deux facteurs de secours en plus de celles détenues par les membres de votre quorum. Conservez vos clés de sauvegarde dans un endroit sûr où vous pourrez y accéder si la clé d'un membre du quorum est perdue ou volée.
Séparation des tâches : assurez la séparation des tâches pour les administrateurs de votre instance. La proposition, l'approbation et l'exécution nécessitent des rôles IAM distincts, qui doivent être répartis entre au moins deux personnes afin qu'aucune personne ne dispose des autorisations des trois rôles. Si une personne dispose de toutes les autorisations sous-jacentes, le risque de perte de données accidentelle ou intentionnelle est plus élevé.
Distribution des clés : assurez-vous que vos clés privées d'A2F sont distribuées de manière sécurisée à des personnes de confiance. Aucune personne ne doit conserver suffisamment de clés privées pour atteindre un quorum. Si une personne a accès à suffisamment de clés privées pour atteindre la taille de quorum requise, le risque de perte de données accidentelle ou intentionnelle est plus élevé.
Plan de mise à jour : intégrez la mise à jour de vos instances Single-tenant Cloud HSM à vos procédures de maintenance en cours. Vous devez surveiller le disableDate de chaque instance et effectuer une opération d'actualisation avant cette heure. L'actualisation de votre instance nécessite l'approbation du quorum. Veillez donc à proposer l'opération d'actualisation suffisamment tôt pour que la proposition puisse être approuvée et exécutée avant le disableDate.

Étapes suivantes

Découvrez comment créer et gérer une instance Cloud HSM à locataire unique.