Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Cloud HSM a tenant singolo

Questo documento fornisce una panoramica dei concetti e delle funzionalità di Cloud HSM single-tenant.

Cloud HSM a tenant singolo consente di creare e gestire un'istanza a tenant singolo di Cloud HSM. Un'istanza Cloud HSM a tenant singolo è un cluster dedicato di partizioni su moduli di sicurezza hardware (HSM) per il tuo utilizzo esclusivo. Ogni istanza offre la stessa ridondanza e alta disponibilità di Cloud HSM multitenant. Ogni cluster Single-tenant Cloud HSM è distribuito su più HSM in più zone all'interno della regione selezionata. Ogni partizione è isolata crittograficamente dalle altre partizioni dell'HSM.

Puoi concedere o negare a Google l'accesso al tuo cluster e gli amministratori dell'istanza gestiscono il cluster. Gli amministratori dell'istanza controllano l'istanza utilizzando un modello di approvazione del quorum che si basa su chiavi di controllo asimmetriche per l'autenticazione a due fattori (2FA). Le chiavi di controllo vengono create al di fuori di Google Cloud, in modo che Google non abbia mai accesso alle tue chiavi di controllo private.

Una volta configurata l'istanza Cloud HSM single-tenant, gli amministratori Cloud KMS possono creare chiavi single-tenant e gli sviluppatori possono utilizzarle come qualsiasi altra chiave Cloud HSM, senza modifiche al codice.

L'utilizzo di Cloud HSM a tenant singolo comporta dei costi. Per le informazioni sui prezzi, consulta Prezzi di Cloud KMS.

Autenticazione basata sul quorum

Cloud HSM single-tenant utilizza l'autenticazione basata sul quorum per garantire che le operazioni critiche vengano approvate da più amministratori di istanza. Prima di creare un'istanza single-tenant, devi creare un insieme di chiavi di controllo asimmetriche al di fuori di Cloud KMS e definire il numero di approvazioni richieste per le operazioni sull'istanza. Ad esempio, se la tua istanza è gestita da cinque amministratori, puoi richiedere che tre amministratori approvino ogni operazione di manutenzione sull'istanza.

Le operazioni che richiedono l'autenticazione del quorum hanno tre fasi:

Proposta: un amministratore dell'istanza propone un'operazione, ad esempio la registrazione di una nuova chiave di controllo. La proposta crea uno snapshot immutabile dello stato attuale del sistema. Le proposte scadono dopo 24 ore e possono essere annullate in qualsiasi momento fino all'avvio dell'operazione approvata.
Approvazione: il numero richiesto di amministratori deve firmare le sfide utilizzando la propria chiave di controllo univoca. Ogni verifica firmata indica un amministratore che approva l'operazione. Quando sono pronte un numero sufficiente di verifiche firmate, un amministratore dell'istanza le carica per approvare la proposta. Se le sfide sono valide e la proposta non è scaduta, la proposta viene approvata.
Esecuzione: dopo l'approvazione di una proposta, ma prima della sua scadenza, puoi eseguire l'operazione proposta.

Funzionalità di Cloud HSM a tenant singolo

Questa sezione descrive le funzionalità principali di Cloud HSM single-tenant.

Gestione delle istanze

Gli amministratori gestiscono il ciclo di vita delle istanze Single-tenant Cloud HSM.

Crea un'istanza: esegui il provisioning di una nuova istanza in una singola regione. La procedura di creazione richiede di configurare l'autenticazione quorum.
Recupera informazioni sull'istanza: puoi eseguire query su un'istanza per i relativi metadati e la relativa configurazione. Questa operazione non richiede l'autenticazione del quorum.
Disattivare e attivare un'istanza: puoi disattivare temporaneamente un'istanza, il che revoca l'accesso di Google alle partizioni. Puoi abilitare l'istanza in un secondo momento. Entrambe le operazioni richiedono l'autenticazione del quorum. L'attivazione dell'istanza reimposta disableDate a 120 giorni dal momento dell'operazione di attivazione. Mentre un'istanza è disattivata, tutte le chiavi create nell'istanza non sono disponibili e tutte le operazioni che tentano di utilizzare queste chiavi non vanno a buon fine.
Aggiorna un'istanza: devi aggiornare regolarmente l'istanza per mantenerla disponibile. Le istanze devono essere aggiornate ogni 120 giorni o meno. Ogni istanza ha un disableDate che indica quando l'istanza sarà in ritardo per un aggiornamento. L'aggiornamento dell'istanza reimposta il valore di disableDate a 120 giorni a partire dal momento dell'aggiornamento. Questa operazione richiede l'autenticazione del quorum. Le istanze che non vengono aggiornate prima delle ore disableDate vengono disattivate automaticamente.
Elimina un'istanza: puoi eliminare un'istanza. L'eliminazione di un'istanza distrugge definitivamente tutte le chiavi create in quell'istanza. Si tratta di un'operazione distruttiva e irreversibile. Non eliminare un'istanza a meno che non vuoi distruggere in modo sicuro tutti i dati criptati utilizzando le chiavi create nell'istanza. Questa operazione richiede l'autenticazione del quorum.

Gestione delle chiavi

I tuoi amministratori sono proprietari delle chiavi di controllo che utilizzi per l'autenticazione del quorum. Gli sviluppatori e gli altri proprietari delle risorse creano e utilizzano chiavi crittografiche nella tua istanza.

Ruotare le chiavi di controllo dell'amministratore: gli amministratori possono ruotare la chiave di controllo dell'autenticazione a due fattori per un membro del quorum amministrativo. Questa operazione richiede l'autenticazione del quorum.
Genera chiavi crittografiche: i tuoi sviluppatori e proprietari delle risorse possono creare un CryptoKey con un livello di protezione HSM a tenant singolo. Questa operazione non richiede l'autenticazione del quorum.
Eseguire operazioni di crittografia: dopo la creazione, le chiavi archiviate in un'istanza single-tenant possono essere utilizzate per operazioni di crittografia proprio come qualsiasi altra chiave Cloud Key Management Service.

Best practice per Single-tenant Cloud HSM

Segui queste best practice quando utilizzi Single-tenant Cloud HSM:

Blocchi del progetto: utilizza i blocchi del progetto per proteggere i progetti che contengono istanze Single-tenant Cloud HSM attive. Se elimini un progetto che contiene un'istanza Single-tenant Cloud HSM, le chiavi create in quell'istanza non possono essere recuperate.
Token fisici: utilizza token fisici per conservare le chiavi 2FA private per gli amministratori dell'istanza. Conserva questi token fisici in modo sicuro. Se perdi un quorum di chiavi, Google non può aiutarti a riottenere l'accesso all'istanza. Poiché le istanze devono essere aggiornate regolarmente, la perdita di un quorum di chiavi alla fine disattiva l'istanza.
Chiavi di backup: registra almeno una chiave 2FA di riserva oltre a quelle in possesso dei membri del quorum. Conserva le chiavi di backup in un luogo sicuro in cui puoi accedervi se la chiave di un membro del quorum viene smarrita o rubata.
Separazione dei compiti: mantieni la separazione dei compiti per gli amministratori dell'istanza. Proposta, approvazione ed esecuzione richiedono ruoli IAM separati, che devono essere distribuiti tra almeno due persone in modo che nessuna persona disponga delle autorizzazioni di tutti e tre i ruoli. Se un utente dispone di tutte le autorizzazioni sottostanti, il rischio di perdita accidentale o intenzionale di dati è maggiore.
Distribuzione delle chiavi: assicurati che le tue chiavi private per l'autenticazione a due fattori siano distribuite in modo sicuro tra persone fidate. Nessun individuo deve conservare un numero sufficiente di chiavi private per raggiungere il quorum. Se una persona ha accesso a un numero sufficiente di chiavi private per raggiungere le dimensioni del quorum richieste, esiste un rischio maggiore di perdita di dati accidentale o intenzionale.
Pianificazione dell'aggiornamento: incorpora l'aggiornamento delle istanze Single-tenant Cloud HSM nelle tue procedure di manutenzione in corso. Devi monitorare il disableDate di ogni istanza e completare un'operazione di aggiornamento prima di questo orario. L'aggiornamento dell'istanza richiede l'approvazione del quorum, quindi assicurati di proporre l'operazione di aggiornamento con un anticipo sufficiente affinché la proposta possa essere approvata ed eseguita prima del giorno disableDate.

Passaggi successivi

Scopri come creare e gestire un'istanza Cloud HSM single-tenant.