Esta página foi traduzida pela API Cloud Translation.

Visão geral do Cloud HSM de locatário único

Este documento apresenta uma visão geral dos conceitos e recursos do Cloud HSM de locatário único.

Com o Cloud HSM de locatário único, é possível criar e gerenciar uma instância de locatário único do Cloud HSM. Uma instância do Cloud HSM de locatário único é um cluster dedicado de partições em módulos de segurança de hardware (HSMs) para seu uso exclusivo. Cada instância oferece a mesma redundância e alta disponibilidade do Cloud HSM multitenant. Cada cluster do Cloud HSM de locatário único é distribuído em vários HSMs em várias zonas na região selecionada. Cada partição é isolada criptograficamente das outras no HSM.

Você pode conceder ou negar o acesso do Google ao cluster, e os administradores da instância gerenciam o cluster. Os administradores controlam a instância usando um modelo de aprovação por quorum que depende de chaves de controle assimétricas para autenticação de dois fatores (2FA). Você cria as chaves de controle fora do Google Cloudpara que o Google nunca tenha acesso a elas.

Depois que a instância do Cloud HSM de locatário único for configurada, os administradores do Cloud KMS poderão criar chaves de locatário único, e os desenvolvedores poderão usá-las como qualquer outra chave do Cloud HSM, sem alterações no código.

O uso do Cloud HSM de locatário único gera custos. Para informações sobre preços, consulte Preços do Cloud KMS.

Autenticação com base em quorum

O Cloud HSM de locatário único usa autenticação baseada em quorum para garantir que operações críticas sejam aprovadas por vários administradores de instâncias. Antes de criar uma instância de locatário único, crie um conjunto de chaves de controle assimétricas fora do Cloud KMS e defina quantas aprovações são necessárias para operações na instância. Por exemplo, se a instância for gerenciada por cinco administradores, você poderá exigir que três deles aprovem cada operação de manutenção na instância.

As operações que exigem autenticação por quorum têm três estágios:

Proposta: um administrador de instância propõe uma operação, por exemplo, registrar uma nova chave de controle. A proposta cria um snapshot imutável do estado atual do sistema. As propostas expiram após 24 horas e podem ser canceladas a qualquer momento até que a operação aprovada seja iniciada.
Aprovação: o número necessário de administradores precisa assinar os desafios usando a chave de controle exclusiva. Cada desafio assinado indica um administrador que aprova a operação. Quando houver desafios assinados suficientes, um administrador da instância vai fazer upload deles para aprovar a proposta. Se os desafios forem válidos e a proposta não tiver expirado, ela será aprovada.
Execução: depois que uma proposta é aprovada, mas antes de expirar, você pode executar a operação proposta.

Recursos do Cloud HSM de locatário único

Esta seção descreve os principais recursos do Cloud HSM de locatário único.

Gerenciamento de instâncias

Seus administradores gerenciam o ciclo de vida das instâncias do Cloud HSM de locatário único.

Criar uma instância: você provisiona uma nova instância em uma única região. O processo de criação exige que você configure a autenticação por quorum.
Receber informações da instância: é possível consultar os metadados e a configuração de uma instância. Essa operação não exige autenticação de quorum.
Desativar e ativar uma instância: é possível desativar temporariamente uma instância, o que revoga o acesso do Google às partições. Você pode ativar a instância mais tarde. As duas operações exigem autenticação de quorum. Ao ativar a instância, o disableDate é redefinido para 120 dias a partir do momento da operação de ativação. Enquanto uma instância está desativada, todas as chaves criadas nela ficam indisponíveis, e todas as operações que tentam usar essas chaves falham.
Atualizar uma instância: é preciso atualizar a instância regularmente para mantê-la disponível. As instâncias precisam ser atualizadas a cada 120 dias ou menos. Cada instância tem um disableDate que indica quando ela vai ficar vencida para uma atualização. A atualização da instância redefine o disableDate para 120 dias a partir do momento da atualização. Essa operação exige autenticação de quorum. As instâncias que não forem atualizadas antes das disableDate horas serão desativadas automaticamente.
Excluir uma instância: é possível excluir uma instância. A exclusão de uma instância destrói permanentemente todas as chaves criadas nela. Essa é uma operação destrutiva e irreversível. Não exclua uma instância a menos que queira triturar criptograficamente todos os dados criptografados usando chaves criadas na instância. Essa operação exige autenticação de quorum.

Gerenciamento de chaves

Seus administradores são proprietários das chaves de controle usadas para autenticação por quorum. Seus desenvolvedores e outros proprietários de recursos criam e usam chaves criptográficas na instância.

Girar chaves de controle de administrador: os administradores podem girar a chave de controle da 2FA para um membro do quorum administrativo. Essa operação requer autenticação por quorum.
Gerar chaves criptográficas: seus desenvolvedores e proprietários de recursos podem criar um CryptoKey com um nível de proteção de HSM de locatário único. Essa operação não requer autenticação de quorum.
Realizar operações criptográficas: depois de criadas, as chaves armazenadas em uma instância de locatário único podem ser usadas para operações criptográficas como qualquer outra chave do Cloud Key Management Service.

Práticas recomendadas para o Cloud HSM de locatário único

Siga estas práticas recomendadas ao usar o Cloud HSM de locatário único:

Garantias do projeto: use garantias do projeto para proteger projetos que contêm instâncias ativas do Cloud HSM de locatário único. Se você excluir um projeto que contenha uma instância do Cloud HSM de locatário único, as chaves criadas nessa instância não poderão ser recuperadas.
Tokens físicos: use tokens físicos para armazenar as chaves privadas da autenticação de dois fatores dos administradores da sua instância. Armazene esses tokens físicos com segurança. Se você perder um quorum de chaves, o Google não poderá ajudar a recuperar o acesso à instância. Como as instâncias precisam ser atualizadas regularmente, perder um quorum de chaves acaba desativando a instância.
Chaves de backup: registre pelo menos uma chave 2FA extra além das chaves mantidas pelos membros do quorum. Mantenha as chaves de backup em um local seguro onde você possa acessá-las se a chave de um membro do quorum for perdida ou roubada.
Separação de tarefas: mantenha a separação de tarefas para os administradores da instância. A proposta, a aprovação e a execução exigem papéis separados do IAM, que devem ser distribuídos entre pelo menos duas pessoas para que ninguém tenha as permissões de todos os três papéis. Se uma pessoa tiver todas as permissões básicas, haverá um risco maior de perda de dados acidental ou intencional.
Distribuição de chaves: verifique se as chaves privadas da 2FA estão sendo distribuídas com segurança entre pessoas de confiança. Ninguém pode ter chaves privadas suficientes para atingir um quorum. Se uma pessoa tiver acesso a chaves privadas suficientes para atender ao tamanho de quorum necessário, haverá um risco maior de perda de dados acidental ou intencional.
Programação de atualização: incorpore a atualização das instâncias do Cloud HSM de locatário único aos seus procedimentos de manutenção contínua. É necessário monitorar o disableDate de cada instância e concluir uma operação de atualização antes desse horário. A atualização da instância exige aprovação por quorum. Portanto, proponha a operação de atualização com antecedência para que a proposta possa ser aprovada e executada antes de disableDate.

A seguir

Saiba como criar e manter uma instância do Cloud HSM de locatário único.