En esta página se describe el uso de claves de cifrado gestionadas por el cliente (CMEK) para gestionar Google Cloud NetApp Volumes.
Acerca de las CMEK
NetApp Volumes siempre cifra tus datos con claves específicas de cada volumen. NetApp Volumes siempre encripta tus datos en reposo.
Con CMEK, Cloud Key Management Service envolverá las claves de volumen almacenadas. Esta función te ofrece más control sobre las claves de cifrado que usas y la seguridad adicional de almacenar las claves en un sistema o en una ubicación diferente a la de los datos. NetApp Volumes admite funciones de Cloud Key Management Service, como módulos de seguridad de hardware y el ciclo de vida completo de la gestión de claves (generación, uso, rotación y destrucción).
NetApp Volumes admite una política de CMEK por región. Una política de CMEK se asocia a un grupo de almacenamiento y todos los volúmenes creados en ese grupo la utilizan. Puedes tener una combinación de grupos de almacenamiento con y sin políticas de CMEK en una región. Si tienes grupos sin CMEK en una región específica, puedes convertirlos a CMEK usando la acción de migración de la política de CMEK de una región.
El uso de CMEK es opcional. Si se usan, las políticas de CMEK son específicas de cada región. Solo puedes configurar una política por región.
Cuestiones importantes
En las siguientes secciones se incluyen las limitaciones de CMEK que debes tener en cuenta.
Gestión de claves
Si usas CMEK, serás el único responsable de tus claves y tus datos.
Configuraciones de Cloud KMS
Las CMEK usan claves simétricas para cifrar y descifrar.
Una vez que se hayan eliminado todos los volúmenes de una región de un proyecto, la configuración de Cloud KMS volverá al estado Ready creado. Se vuelve a usar cuando creas el siguiente volumen en esa región.
Conjuntos de claves regionales
NetApp Volumes solo admite llaveros de claves de KMS regionales y deben estar en la misma región que la política de CMEK.
Nivel de servicio
La CMEK es compatible con los niveles de servicio Flex, Standard, Premium y Extreme de los grupos de almacenamiento.
Controles de Servicio de VPC
Cuando uses Controles de Servicio de VPC, ten en cuenta las limitaciones de Controles de Servicio de VPC para volúmenes de NetApp.
Política de organización de CMEK
La política de la organización de CMEK para volúmenes de NetApp permite a las organizaciones controlar las claves de cifrado de datos y restringe las claves que se pueden usar para CMEK. Para ello, se exige el uso de CMEK para cifrar los datos en reposo en los nuevos grupos de almacenamiento y en los almacenes de copias de seguridad, y se permite a las organizaciones gestionar las claves de cifrado con Cloud KMS. La política de la organización se aplica al crear depósitos de almacenamiento y depósitos de copias de seguridad, y no afecta a los depósitos de almacenamiento ni a los depósitos de copias de seguridad que ya existan.
Las políticas de organización permiten a los administradores aplicar y cumplir restricciones de forma coherente en todos los proyectos y recursos. Esto es importante para las organizaciones que gestionan varios proyectos y recursos para aplicar políticas estandarizadas.
Hay dos tipos de restricciones de políticas de organización que se pueden aplicar a CMEK:
Restringir servicios que no usan CMEK: te permite especificar qué servicios de una organización, un proyecto o una carpeta se pueden configurar sin CMEK. Si añades un servicio a la lista de denegación o lo excluyes de la lista de permitidos, los recursos de ese servicio requerirán CMEK. De forma predeterminada, esta restricción permite la creación de recursos que no usan CMEK.
Restringir proyectos de CryptoKey de CMEK: te permite definir qué proyectos pueden proporcionar claves de KMS para CMEK al configurar recursos en la organización, el proyecto o la carpeta. Si se define esta restricción, solo se podrán usar claves de KMS de los proyectos especificados para los recursos protegidos con CMEK. Si no se define la restricción, se pueden usar CryptoKeys de cualquier proyecto.
Para obtener más información sobre cómo aplicar una política de organización, consulta Aplicar una política de organización de CMEK.
Opciones de CMEK
NetApp Volumes ofrece compatibilidad con CMEK, que se pueden almacenar como claves de software, claves de hardware en un clúster de HSM o como claves externas almacenadas en Cloud External Key Manager (Cloud EKM).
Para obtener más información, consulta Cloud Key Management Service.
Impacto operativo de los errores clave
Si se inhabilita una clave de Cloud KMS o no se puede acceder a una clave externa utilizada en una política de CMEK, se pueden ver afectados los recursos y las operaciones de los volúmenes de NetApp y los almacenes de copias de seguridad asociados a esa política.
Las claves externas las gestiona un tercero y Google Cloud no es responsable de su disponibilidad.
Volúmenes
Si External Key Manager (EKM) notifica a Cloud Key Management Service que no se puede acceder a una clave externa, los volúmenes que usen esa clave se desconectarán, lo que impedirá las operaciones de lectura y escritura. Ocurre lo mismo si se inhabilita una clave de Cloud KMS.
Depósitos de copias de seguridad
En el caso de los almacenes de copias de seguridad que usan CMEK, debes asegurarte de que la clave o las claves a las que hace referencia el almacén estén disponibles. Cuando rotas una clave, el sistema vuelve a encriptar la bóveda de copias de seguridad con la nueva clave principal. Hasta que se complete esta operación, la clave rotada debe estar disponible para el almacén de copias de seguridad. Si eliminas la clave rotada, no podrás recuperar las copias de seguridad que apunten a ella. Si no se puede acceder a la clave rotada o está inhabilitada, las restauraciones fallarán hasta que se pueda acceder a la clave o se habilite.
Si la clave principal está inhabilitada, no se puede acceder a ella o se ha destruido, las operaciones de cifrado en curso fallarán. Si no puedes recuperar la clave principal, no podrás recuperar todas las copias de seguridad cifradas que apunten a la clave. La bóveda de copias de seguridad no inicia nuevas operaciones de copia de seguridad.
El estado del almacén de copias de seguridad incluye detalles sobre la CMEK y el estado del cifrado.
Los usuarios también reciben un error con detalles sobre el estado actual de la clave si se intenta realizar alguna de las siguientes operaciones mientras no se puede acceder a EKM o la clave de Cloud KMS está inhabilitada en las regiones de origen o de destino de la replicación: