כברירת מחדל, שירות Memorystore for Redis מצפין את התוכן של הלקוחות במנוחה. Memorystore for Redis מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.
אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Memorystore for Redis. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.
אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Memorystore for Redis דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).
למי כדאי להשתמש ב-CMEK?
התכונה CMEK מיועדת לארגונים שיש להם נתונים רגישים או נתונים בפיקוח שחייבים להיות מוצפנים. כדי להחליט אם להשתמש ב-CMEK להצפנת הנתונים האלה, אפשר לקרוא את המאמר החלטה אם להשתמש ב-CMEK.
הצפנה בניהול Google לעומת הצפנה בניהול הלקוח
בעזרת התכונה CMEK תוכלו להשתמש במפתחות קריפטוגרפיים משלכם לנתונים במצב מנוחה ב-Memorystore for Redis. במופעים של Memorystore for Redis שמופעלת בהם התכונה CMEK, Google משתמשת במפתחות שלכם כדי לגשת לכל הנתונים במצב מנוחה.
ב-Memorystore נעשה שימוש במפתחות להצפנת נתונים (DEK) ובמפתחות להצפנת מפתחות הצפנה (KEK) בניהול Google כדי להצפין נתונים ב-Memorystore for Redis. יש שתי רמות של הצפנה:
- הצפנת DEK: Memorystore משתמש במפתחות DEK כדי להצפין נתונים ב-Memorystore for Redis.
- הצפנת KEK: Memorystore משתמש במפתחות KEK כדי להצפין מפתחות DEK.
מופע של Memorystore for Redis מאחסן את ה-DEK המוצפן לצד הנתונים המוצפנים בדיסק הקשיח, ו-Google מנהלת את ה-KEK של Google. ה-CMEK הוא ה-KEK שעוטף את ה-DEK. בעזרת CMEK אפשר ליצור, להשבית או להשמיד את ה-KEK, וגם להפעיל או לשחזר אותו.
אתם מנהלים את ה-CMEK באמצעות Cloud Key Management Service API.
בתרשימים הבאים מוצג איך הצפנה של נתונים באחסון פועלת בתוך מופע של Memorystore for Redis כשמשתמשים בהצפנה שמוגדרת כברירת מחדל על ידי Google לעומת CMEK.
ללא CMEK
עם CMEK
כשמפענחים נתונים שעברו הצפנה באמצעות CMEK, Memorystore משתמש במפתח להצפנת מפתחות (KEK) מ-Cloud Key Management Service כדי לפענח את המפתח להצפנת נתונים (DEK), ובמפתח הלא מוצפן להצפנת נתונים כדי לפענח את הנתונים במנוחה.
תמחור
החיוב על מכונת Memorystore for Redis עם הפעלה של CMEK זהה לחיוב על כל מכונה אחרת, ואין עלויות נוספות. מידע נוסף זמין במאמר תמחור של Memorystore for Redis.
משתמשים ב-Cloud KMS API כדי לנהל את ה-CMEK. כשיוצרים מכונה של Memorystore for Redis עם CMEK, Memorystore משתמש במפתח באופן תקופתי כדי להצפין את הנתונים.
תחויבו על ידי Cloud KMS בעלות המפתח ועל פעולות ההצפנה והפענוח כש-Memorystore for Redis משתמש במפתח. מידע נוסף זמין במאמר תמחור של Cloud KMS.
מתי Memorystore פועל עם CMEK?
| פעולה | תיאור |
|---|---|
| יצירה של מכונה | כשיוצרים מכונה, מגדירים אותה לשימוש ב-CMEK. |
| עדכון מכונה | במהלך עדכונים למכונה שמופעלת בה הצפנה לפי מפתחות בניהול הלקוח (CMEK), Memorystore for Redis בודק את ה-CMEK. |
אילו נתונים מוצפנים באמצעות CMEK?
מפתחות CMEK מצפינים את סוגי הנתונים הבאים:
- נתוני לקוחות שמאוחסנים באחסון מתמיד.
- מטא-נתונים שקשורים לתכונות אבטחה כמו אימות והצפנה בזמן ההעברה.
מידע על חשבונות שירות
כשיוצרים מכונה עם CMEK, צריך להעניק את התפקיד cloudkms.cryptoKeyEncrypterDecrypter לחשבון השירות של Memorystore for Redis בפורמט הבא:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
ההרשאה הזו מאפשרת לחשבון השירות לבקש גישה למפתחות מ-Cloud KMS.
הוראות למתן ההרשאה הזו לחשבון השירות מופיעות במאמר מתן גישה לחשבון השירות של Memorystore for Redis למפתח.
מידע על מפתחות
ב-Cloud KMS, צריך ליצור אוסף מפתחות עם מפתח קריפטוגרפי שמשתמש באלגוריתם הצפנה סימטרי. כשיוצרים מכונת Memorystore for Redis, בוחרים את המפתח הזה כדי להצפין את המכונה. אתם יכולים ליצור פרויקט אחד גם למפתחות וגם למופעים, או פרויקטים שונים לכל אחד מהם.
הצפנה באמצעות מפתח משל לקוח זמינה בכל המיקומים של מכונות Memorystore for Redis. צריך ליצור את אוסף המפתחות ואת המפתח באותו אזור שבו רוצים ליצור את המופע. מפתח לאזור גלובלי או לאזור שכולל מספר אזורים לא יעבוד. אם האזורים או המיקומים לא תואמים, הבקשה ליצירת המופע תיכשל.
מפתח ה-CMEK משתמש בפורמט הבא למזהה המשאב של המפתח:
projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
אם ל-Memorystore for Redis אין גישה לאף גרסת מפתח שנמצאת בשימוש (לדוגמה, אם משביתים את כל גרסאות המפתח), המערכת משביתה את המכונה של Memorystore for Redis. במסוף Google Cloud , מופיע תיאור קצר עם סימן קריאה אדום ליד מופע מושעה בדף Instances. אם מעבירים את העכבר מעל תיאור הכלי,
מופיע סטטוס No state. אחרי שהמפתח הופך לזמין, Memorystore for Redis מפעיל מחדש את המכונה באופן אוטומטי.
מפתחות חיצוניים
אתם יכולים להשתמש ב-Cloud External Key Manager (Cloud EKM) כדי להצפין נתונים ב-Google Cloud באמצעות מפתחות חיצוניים שאתם מנהלים.
כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה על הזמינות של המפתח שמנוהל חיצונית. אם המפתח לא זמין כשיוצרים את המופע, המופע לא נוצר.
מידע נוסף על שיקולים לשימוש במפתחות חיצוניים זמין במאמר בנושא Cloud External Key Manager.
איך אפשר למנוע גישה לנתונים מוצפנים באמצעות CMEK באופן קבוע?
יכול להיות שיהיו מצבים שבהם תרצו להפוך נתונים שהוצפנו באמצעות CMEK לבלתי נגישים באופן קבוע. כדי לעשות את זה, משמידים את גרסת המפתח. מידע נוסף על השמדה של גרסאות המפתח זמין במאמר השמדה ושחזור של גרסאות מפתח.
איך מייבאים או מייצאים נתונים במופע שמופעל בו CMEK?
אם אתם רוצים שהנתונים יישארו מוצפנים באמצעות CMEK כשאתם מייצאים נתונים, אתם צריכים להגדיר CMEK בקטגוריה של Cloud Storage לפני שאתם מייצאים אליה נתונים.
אם הנתונים שלכם מאוחסנים במופע שמופעלת בו הצפנת CMEK, לא חלות דרישות או הגבלות מיוחדות על ייבוא נתונים למופע חדש.
התנהגות של גרסת מפתח CMEK
בקטע הזה מוסבר מה קורה כשמשביתים, משמידים, מבצעים רוטציה, מפעילים ומשחזרים גרסה של מפתח.
השבתה או השמדה של גרסת מפתח CMEK
כדי לוודא שלא תהיה גישה לנתונים במופע, צריך להשבית את הגרסה של המפתח הראשי של ה-CMEK. הפעולה הזו תכבה את המופע. בנוסף, אם מנטרלים או משמידים מפתח CMEK שנמצא בשימוש, מערכת Memorystore for Redis משביתה את המופע. הפעולה הזו כוללת כל גרסה ישנה של מפתח שהמופע משתמש בה.
כדי לבדוק אם המכונה שלכם ב-Memorystore for Redis מושעית, אפשר להשתמש באחד מהממשקים הבאים:
- מסוףGoogle Cloud : בדף Instances, סימן קריאה אדום מופיע בתיאור הכלי לצד המופע. אם מעבירים את העכבר מעל תיאור הכלי, מופיע הסטטוס
No state. - ה-CLI של gcloud: משתמשים בפקודה
gcloud redis instances describe. מוודאים שלא מופיעstate: READY,state: REPAIRINGאו מצב אחר במטא-נתונים של המופע.
הפעלה או שחזור של גרסת מפתח ה-CMEK הראשית
אם מפעילים או משחזרים את הגרסה של המפתח הראשי של CMEK, המכונה של Memorystore for Redis לא תוסתר יותר.
מגבלות
ההגבלות הבאות חלות כשמשתמשים ב-CMEK עם Memorystore for Redis:
- אי אפשר להפעיל CMEK במכונה קיימת של Memorystore for Redis.
- המפתח, אוסף המפתחות והמופע צריכים להיות באותו אזור.
- חובה להשתמש באלגוריתם הצפנה סימטרי בשביל המפתח.
- קצב ההצפנה והפענוח של Cloud KMS תלוי במכסה.
מידע על אילוצים של מדיניות הארגון לגבי CMEK
Memorystore for Redis תומך באילוצים של מדיניות הארגון ל-CMEK. באמצעות האילוצים האלה, אתם יכולים לאכוף הגנה באמצעות CMEK על המכונות הווירטואליות שלכם ולהגביל את מפתחות Cloud KMS שבהם אתם יכולים להשתמש להגנה הזו.
אפשר להגדיר את האילוצים הבאים של מדיניות הארגון:
-
constraints/gcp.restrictNonCmekServices: משתמשים באילוץ הזה כדי לאכוף הגנה באמצעות CMEK על המקרים שלכם. אם Memorystore for Redis API מופיע ברשימת השירותים של מדיניותDenyעבור האילוץ הזה, לא תוכלו ליצור מופעים שלא מוגנים באמצעות CMEK. -
constraints/gcp.restrictCmekCryptoKeyProjects: משתמשים באילוץ הזה כדי להגביל את מפתחות Cloud KMS שאפשר להשתמש בהם להגנה באמצעות CMEK. אם מגדירים את האילוץ הזה, המופעים שמשתמשים בהצפנת CMEK חייבים להשתמש במפתח מפרויקט, מתיקייה או מארגון מורשים.