Este documento oferece uma vista geral dos conceitos e das funcionalidades do HSM na nuvem de inquilino único.
O Cloud HSM de inquilino único permite-lhe criar e gerir uma instância de inquilino único do Cloud HSM. Uma instância de HSM na nuvem de inquilino único é um cluster dedicado de partições em módulos de segurança de hardware (HSMs) para sua utilização exclusiva. Cada instância oferece a mesma redundância e elevada disponibilidade que o Cloud HSM multiinquilino. Cada cluster de HSM na nuvem de inquilino único é distribuído por vários HSMs em várias zonas na região selecionada. Cada partição está criptograficamente isolada de outras partições no HSM.
Pode conceder ou recusar o acesso da Google ao seu cluster, e os administradores da instância gerem o cluster. Os administradores da instância controlam a instância através de um modelo de aprovação de quórum que se baseia em chaves de controlo assimétricas para autenticação de dois fatores (2FA). Cria as chaves de controlo fora do Google Cloud, para que a Google nunca tenha acesso às suas chaves de controlo privadas.
Depois de configurar a instância do Cloud HSM de inquilino único, os administradores do Cloud KMS podem criar chaves de inquilino único, e os programadores podem usá-las como quaisquer outras chaves do Cloud HSM, sem alterações ao código.
A utilização do Cloud HSM de inquilino único incorre em custos. Para ver informações sobre preços, consulte os preços do Cloud KMS.
Autenticação baseada em quórum
O HSM na nuvem de inquilino único usa a autenticação baseada em quórum para garantir que as operações críticas são aprovadas por vários administradores de instâncias. Antes de criar uma instância de inquilino único, tem de criar um conjunto de chaves de controlo assimétricas fora do Cloud KMS e definir quantas aprovações são necessárias para as operações na instância. Por exemplo, se a sua instância for gerida por cinco administradores, pode exigir que três administradores aprovem cada operação de manutenção na instância.
As operações que requerem autenticação por quórum têm três fases:
Proposta: um administrador da instância propõe uma operação, por exemplo, registar uma nova chave de controlo. A proposta cria uma imagem instantânea imutável do estado atual do sistema. As propostas expiram após 24 horas e podem ser canceladas em qualquer altura até que a operação aprovada seja iniciada.
Aprovação: o número necessário de administradores tem de assinar os desafios com a respetiva chave de controlo única. Cada desafio assinado indica um administrador que aprova a operação. Quando existirem desafios assinados suficientes, um administrador da instância carrega-os para aprovar a proposta. Se os desafios forem válidos e a proposta não tiver expirado, a proposta é aprovada.
Execução: depois de uma proposta ser aprovada, mas antes de expirar, pode executar a operação proposta.
Capacidades do Cloud HSM de inquilino único
Esta secção descreve as capacidades principais do HSM na nuvem de inquilino único.
Gestão de instâncias
Os seus administradores gerem o ciclo de vida das suas instâncias do Cloud HSM de inquilino único.
- Criar uma instância: aprovisiona uma nova instância numa única região. O processo de criação requer que configure a autenticação por quórum.
- Obtenha informações sobre a instância: pode consultar uma instância para obter os respetivos metadados e configuração. Esta operação não requer autenticação de quórum.
- Desativar e ativar uma instância: pode desativar temporariamente uma instância, o que revoga o acesso da Google às partições. Pode ativar a instância mais tarde. Ambas as operações requerem autenticação por quórum. A ativação da instância
repõe o
disableDatepara 120 dias a partir do momento da operação de ativação. Enquanto uma instância estiver desativada, todas as chaves criadas na instância ficam indisponíveis e todas as operações que tentem usar essas chaves falham. - Atualize uma instância: tem de atualizar a instância regularmente para a manter disponível. As instâncias têm de ser atualizadas a cada 120 dias ou menos. Cada instância tem um
disableDateque indica quando a instância vai estar em atraso para uma atualização. A atualização da instância repõe o valor dedisableDatepara 120 dias a partir do momento da atualização. Esta operação requer autenticação de quórum. As instâncias que não forem atualizadas antes da horadisableDatesão desativadas automaticamente. - Elimine uma instância: pode eliminar uma instância. A eliminação de uma instância destrói permanentemente todas as chaves que foram criadas nessa instância. Esta é uma operação destrutiva e irreversível. Não elimine uma instância, a menos que queira destruir criptograficamente todos os dados encriptados com chaves criadas na instância. Esta operação requer autenticação de quórum.
Gestão de chaves
Os seus administradores detêm as chaves de controlo que usa para a autenticação por quórum. Os seus programadores e outros proprietários de recursos criam e usam chaves criptográficas na sua instância.
- Rodar chaves de controlo de administrador: os administradores podem rodar a chave de controlo da A2F para um membro do quórum administrativo. Esta operação requer autenticação de quórum.
- Gerar chaves criptográficas: os seus programadores e proprietários de recursos podem criar um
CryptoKeycom um nível de proteção HSM de inquilino único. Esta operação não requer autenticação de quórum. - Realizar operações criptográficas: depois de criadas, as chaves armazenadas numa instância de inquilino único podem ser usadas para operações criptográficas, tal como qualquer outra chave do Cloud Key Management Service.
Práticas recomendadas para o HSM na nuvem de inquilino único
Siga estas práticas recomendadas quando usar o Cloud HSM de inquilino único:
- Restrições de projetos: use restrições de projetos para proteger projetos que contenham instâncias ativas do Single-tenant Cloud HSM. Se eliminar um projeto que contenha uma instância do HSM na nuvem de inquilino único, não é possível recuperar as chaves criadas nessa instância.
- Tokens físicos: use tokens físicos para armazenar as chaves de A2F privadas para os administradores da sua instância. Armazene estes tokens físicos em segurança. Se perder um quórum de chaves, a Google não pode ajudar a recuperar o acesso à instância. Uma vez que as instâncias têm de ser atualizadas regularmente, a perda de um quórum de chaves acaba por desativar a instância.
- Chaves de segurança alternativas: registe, pelo menos, uma chave de 2FA adicional além das chaves detidas pelos membros do seu quórum. Mantenha as chaves de segurança num local seguro onde possa aceder a elas se a chave de um membro do quórum for perdida ou roubada.
- Separação de funções: mantenha a separação de funções para os administradores da sua instância. A proposta, a aprovação e a execução requerem funções do IAM separadas, que devem ser distribuídas por, pelo menos, duas pessoas, para que nenhuma pessoa tenha as autorizações das três funções. Se um indivíduo tiver todas as autorizações subjacentes, existe um maior risco de perda de dados acidental ou intencional.
- Distribuição de chaves: certifique-se de que as suas chaves de 2FA privadas são distribuídas de forma segura entre indivíduos fidedignos. Nenhum indivíduo deve manter a posse de chaves privadas suficientes para atingir um quórum. Se um indivíduo tiver acesso a chaves privadas suficientes para atingir o tamanho do quórum necessário, existe um risco maior de perda de dados acidental ou intencional.
- Agenda de atualização: incorpore a atualização das instâncias do Cloud HSM de inquilino único nos seus procedimentos de manutenção contínuos. Tem de monitorizar o
disableDatede cada instância e concluir uma operação de atualização antes desse período. A atualização da sua instância requer a aprovação do quórum, por isso, certifique-se de que propõe a operação de atualização com antecedência suficiente para que a proposta possa ser aprovada e executada antes dodisableDate.