Cloud HSM für einzelne Mandanten – Übersicht

Dieses Dokument bietet einen Überblick über die Konzepte und Funktionen von Cloud HSM mit einem einzelnen Mandanten.

Mit Single-Tenant Cloud HSM können Sie eine Single-Tenant-Instanz von Cloud HSM erstellen und verwalten. Eine Cloud HSM-Instanz für einzelne Mandanten ist ein dedizierter Cluster von Partitionen auf Hardwaresicherheitsmodulen (HSMs) für Ihre exklusive Nutzung. Jede Instanz bietet dieselbe Redundanz und Hochverfügbarkeit wie Cloud HSM mit mehreren Mandanten. Jeder Single-Tenant-Cloud HSM-Cluster ist auf mehrere HSMs in mehreren Zonen in der ausgewählten Region verteilt. Jede Partition ist kryptografisch von anderen Partitionen auf dem HSM isoliert.

Sie können Google Zugriff auf Ihren Cluster gewähren oder verweigern. Ihre Instanzadministratoren verwalten den Cluster. Instanzadministratoren steuern die Instanz über ein Quorum-Genehmigungsmodell, das auf asymmetrischen Steuerungsschlüsseln für die 2-Faktor-Authentifizierung (2FA) basiert. Sie erstellen Ihre Kontrollschlüssel außerhalb vonGoogle Cloud, sodass Google niemals Zugriff auf Ihre privaten Kontrollschlüssel hat.

Nachdem Ihre Cloud HSM-Instanz für einzelne Mandanten konfiguriert wurde, können Ihre Cloud KMS-Administratoren Schlüssel für einzelne Mandanten erstellen. Ihre Entwickler können sie wie alle anderen Cloud HSM-Schlüssel verwenden, ohne dass Codeänderungen erforderlich sind.

Die Verwendung von Single-Tenant Cloud HSM verursacht Kosten. Weitere Informationen zu den Preisen finden Sie unter Cloud KMS – Preise.

Quorum-basierte Authentifizierung

Bei Single-Tenant-Cloud HSM wird die Quorum-basierte Authentifizierung verwendet, um sicherzustellen, dass kritische Vorgänge von mehreren Instanzadministratoren genehmigt werden. Bevor Sie eine Single-Tenant-Instanz erstellen, müssen Sie eine Reihe asymmetrischer Kontrollschlüssel außerhalb von Cloud KMS erstellen und festlegen, wie viele Genehmigungen für Vorgänge in der Instanz erforderlich sind. Wenn Ihre Instanz beispielsweise von fünf Administratoren verwaltet wird, können Sie festlegen, dass für jeden Wartungsvorgang auf der Instanz die Genehmigung von drei Administratoren erforderlich ist.

Vorgänge, für die eine Quorum-Authentifizierung erforderlich ist, umfassen drei Phasen:

  1. Vorschlag: Ein Instanzadministrator schlägt einen Vorgang vor, z. B. die Registrierung eines neuen Kontrollschlüssels. Durch das Angebot wird eine unveränderliche Momentaufnahme des aktuellen Systemstatus erstellt. Vorschläge laufen nach 24 Stunden ab und können jederzeit bis zum Start des genehmigten Vorgangs abgebrochen werden.

  2. Genehmigung: Die erforderliche Anzahl von Administratoren muss Herausforderungen mit ihrem eindeutigen Kontrollschlüssel signieren. Jede signierte Challenge gibt einen Administrator an, der den Vorgang genehmigt. Wenn genügend signierte Aufgaben vorliegen, lädt ein Instanzadministrator sie hoch, um den Vorschlag zu genehmigen. Wenn die Einwände gültig sind und das Angebot noch nicht abgelaufen ist, wird das Angebot genehmigt.

  3. Ausführung: Nachdem ein Vorschlag genehmigt wurde, aber bevor er abläuft, können Sie die vorgeschlagene Operation ausführen.

Funktionen von Cloud HSM für einzelne Mandanten

In diesem Abschnitt werden die wichtigsten Funktionen von Single-Tenant Cloud HSM beschrieben.

Instanzverwaltung

Ihre Administratoren verwalten den Lebenszyklus Ihrer Single-Tenant Cloud HSM-Instanzen.

  • Instanz erstellen: Sie stellen eine neue Instanz in einer einzelnen Region bereit. Beim Erstellen müssen Sie die Quorum-Authentifizierung einrichten.
  • Instanzinformationen abrufen: Sie können die Metadaten und Konfiguration einer Instanz abfragen. Für diesen Vorgang ist keine Quorum-Authentifizierung erforderlich.
  • Instanz deaktivieren und aktivieren: Sie können eine Instanz vorübergehend deaktivieren. Dadurch wird der Zugriff von Google auf die Partitionen widerrufen. Sie können die Instanz später aktivieren. Für beide Vorgänge ist eine Quorum-Authentifizierung erforderlich. Wenn Sie Ihre Instanz aktivieren, wird der disableDate auf 120 Tage ab dem Zeitpunkt der Aktivierung zurückgesetzt. Wenn eine Instanz deaktiviert ist, sind alle in der Instanz erstellten Schlüssel nicht verfügbar und alle Vorgänge, die versuchen, diese Schlüssel zu verwenden, schlagen fehl.
  • Instanz aktualisieren: Sie müssen Ihre Instanz regelmäßig aktualisieren, damit sie verfügbar bleibt. Instanzen müssen alle 120 Tage oder weniger aktualisiert werden. Jede Instanz hat einen disableDate, der angibt, wann die Instanz aktualisiert werden muss. Wenn Sie Ihre Instanz aktualisieren, wird der Zeitraum von disableDate auf 120 Tage ab dem Zeitpunkt der Aktualisierung zurückgesetzt. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Instanzen, die vor dem disableDate-Zeitpunkt nicht aktualisiert werden, werden automatisch deaktiviert.
  • Instanz löschen: Sie können eine Instanz löschen. Beim Löschen einer Instanz werden alle in dieser Instanz erstellten Schlüssel endgültig gelöscht. Dies ist ein destruktiver Vorgang, der nicht rückgängig gemacht werden kann. Löschen Sie eine Instanz nur, wenn Sie alle Daten, die mit in der Instanz erstellten Schlüsseln verschlüsselt sind, kryptografisch löschen möchten. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich.

Schlüsselverwaltung

Ihre Administratoren sind Inhaber der Kontrollschlüssel, die Sie für die Quorum-Authentifizierung verwenden. Ihre Entwickler und andere Ressourceninhaber erstellen und verwenden kryptografische Schlüssel in Ihrer Instanz.

  • Schlüssel für die Administratorsteuerung rotieren: Administratoren können den 2FA-Steuerungsschlüssel für ein Mitglied des administrativen Quorums rotieren. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich.
  • Kryptografische Schlüssel generieren: Ihre Entwickler und Ressourceninhaber können eine CryptoKey mit dem Schutzniveau „HSM für einzelne Mandanten“ erstellen. Für diesen Vorgang ist keine Quorum-Authentifizierung erforderlich.
  • Kryptografische Vorgänge ausführen: Nach der Erstellung können Schlüssel, die in einer Single-Tenant-Instanz gespeichert sind, für kryptografische Vorgänge verwendet werden, genau wie jeder andere Cloud Key Management Service-Schlüssel.

Best Practices für Single-Tenant Cloud HSM

Beachten Sie die folgenden Best Practices, wenn Sie Cloud HSM für einzelne Mandanten verwenden:

  • Projektsperren: Verwenden Sie Projektsperren, um Projekte zu schützen, die aktive Single-Tenant Cloud HSM-Instanzen enthalten. Wenn Sie ein Projekt löschen, das eine Single-Tenant-Cloud HSM-Instanz enthält, können die in dieser Instanz erstellten Schlüssel nicht wiederhergestellt werden.
  • Physische Tokens: Verwenden Sie physische Tokens, um die privaten 2FA-Schlüssel für Ihre Instanzadministratoren zu speichern. Bewahren Sie diese physischen Tokens sicher auf. Wenn Sie ein Quorum von Schlüsseln verlieren, kann Google Ihnen nicht helfen, den Zugriff auf die Instanz wiederherzustellen. Da Instanzen regelmäßig aktualisiert werden müssen, wird die Instanz deaktiviert, wenn das Quorum der Schlüssel verloren geht.
  • Ersatzschlüssel: Registrieren Sie mindestens einen zusätzlichen 2FA-Schlüssel, der nicht von Ihren Quorummitgliedern verwahrt wird. Bewahren Sie Ihre Back-up-Schlüssel an einem sicheren Ort auf, damit Sie darauf zugreifen können, wenn der Schlüssel eines Quorummitglieds verloren geht oder gestohlen wird.
  • Aufgabentrennung: Sorgen Sie für eine Aufgabentrennung bei den Administratoren Ihrer Instanz. Für Vorschlag, Genehmigung und Ausführung sind separate IAM-Rollen erforderlich, die auf mindestens zwei Personen verteilt werden sollten, damit keine Person die Berechtigungen aller drei Rollen hat. Wenn eine Person alle zugrunde liegenden Berechtigungen hat, besteht ein höheres Risiko für versehentlichen oder vorsätzlichen Datenverlust.
  • Verteilung von Schlüsseln: Achten Sie darauf, dass Ihre privaten 2FA-Schlüssel sicher unter vertrauenswürdigen Personen verteilt werden. Keine Einzelperson sollte über genügend private Schlüssel verfügen, um ein Quorum zu erreichen. Wenn eine Person Zugriff auf genügend private Schlüssel hat, um die erforderliche Quorumgröße zu erreichen, besteht ein höheres Risiko für versehentlichen oder vorsätzlichen Datenverlust.
  • Aktualisierungszeitplan: Nehmen Sie das Aktualisieren Ihrer Cloud HSM-Instanzen für einzelne Mandanten in Ihre laufenden Wartungsverfahren auf. Sie müssen den disableDate jeder Instanz im Blick behalten und vor diesem Zeitpunkt eine Aktualisierung durchführen. Für das Aktualisieren Ihrer Instanz ist eine Quorumgenehmigung erforderlich. Schlagen Sie den Aktualisierungsvorgang daher rechtzeitig vor, damit der Vorschlag vor dem disableDate genehmigt und ausgeführt werden kann.

Nächste Schritte