Nesta página, descrevemos o uso de chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar o Google Cloud NetApp Volumes.
Sobre a CMEK
O NetApp Volumes sempre criptografa seus dados com chaves específicas do volume. O NetApp Volumes sempre criptografa seus dados em repouso.
Com a CMEK, o Cloud Key Management Service encapsula as chaves de volume armazenadas. Esse recurso oferece mais controle sobre as chaves de criptografia usadas e a segurança extra de armazenar as chaves em um sistema ou local diferente dos dados. O NetApp Volumes é compatível com os recursos do Cloud Key Management Service, como módulos de segurança de hardware e o ciclo de vida completo de gerenciamento de chaves (gerar, usar, alternar e destruir).
O NetApp Volumes oferece suporte a uma política de CMEK por região. Uma política de CMEK é anexada a um pool de armazenamento, e todos os volumes criados nele a usam. É possível ter uma combinação de pools de armazenamento com e sem políticas de CMEK em uma região. Se você tiver pools sem CMEK em uma região específica, poderá convertê-los para CMEK usando a ação de migração de uma política de CMEK da região.
O uso da CMEK é opcional. Se usadas, as políticas de CMEK são específicas da região. Só é possível configurar uma política por região.
Considerações
As seções a seguir incluem limitações da CMEK a serem consideradas.
Gerenciamento de chaves
Ao usar a CMEK, você se torna exclusivamente responsável pelas chaves e pelos dados.
Configurações do Cloud KMS
A CMEK usa chaves simétricas para criptografia e descriptografia.
Depois que todos os volumes são excluídos em uma região de um projeto, a configuração do Cloud KMS volta ao estado Ready criado. Ele será usado novamente quando
você criar o próximo volume nessa região.
Keyrings regionais
NetApp Volumes só oferecem suporte a keyrings regionais do KMS, que precisam estar na mesma região da política de CMEK.
Nível de serviço
A CMEK é compatível com os pools de armazenamento dos níveis de serviço Flex, Standard, Premium e Extreme.
VPC Service Controls
Ao usar o VPC Service Controls, considere as limitações do VPC Service Controls para volumes da NetApp.
Política da organização de CMEK
A política da organização da CMEK para NetApp Volumes dá às organizações controle sobre as chaves de criptografia de dados e restringe quais chaves podem ser usadas para CMEK. Isso é feito aplicando o uso da CMEK para criptografar dados em repouso em novos pools de armazenamento e cofres de backup, além de permitir que as organizações gerenciem chaves de criptografia usando o Cloud KMS. A política da organização é aplicada na criação do pool de armazenamento e do backup vault e não afeta os pools de armazenamento e os backup vaults atuais.
Com as políticas da organização, os administradores podem aplicar e impor restrições consistentes em todos os projetos e recursos. Isso é importante para organizações que gerenciam vários projetos e recursos para aplicar políticas padronizadas.
Há dois tipos de restrições de política da organização que podem ser aplicadas à CMEK:
Restringir serviços que não usam CMEK: permite especificar quais serviços em uma organização, projeto ou pasta podem ser configurados sem CMEK. Se você adicionar um serviço à lista de bloqueio ou excluí-lo da lista de permissões, os recursos desse serviço vão exigir a CMEK. Por padrão, essa restrição permite a criação de recursos que não usam CMEK.
Restringir projetos de CryptoKey da CMEK: permite definir quais projetos podem fornecer chaves do KMS para CMEK ao configurar recursos na organização, no projeto ou na pasta. Se essa restrição for definida, apenas as chaves do KMS dos projetos especificados poderão ser usadas para recursos protegidos por CMEK. Se a restrição não for definida, as CryptoKeys de qualquer projeto poderão ser usadas.
Para mais informações sobre como aplicar uma política da organização, consulte Aplicar uma política da organização de CMEK.
Opções da CMEK
O NetApp Volumes oferece suporte a CMEKs, que podem ser armazenadas como chaves de software, chaves de hardware em um cluster do HSM ou como chaves externas armazenadas no Cloud External Key Manager (Cloud EKM).
Para mais informações, consulte Cloud Key Management Service.
Impacto operacional dos principais erros
Uma chave do Cloud KMS desativada ou uma chave externa inacessível usada em uma política de CMEK pode afetar recursos e operações dos NetApp Volumes e cofres de backup associados a essa política.
As chaves externas são gerenciadas por terceiros, e o Google Cloud não é responsável pela disponibilidade delas.
Volumes
Se o Gerenciador de chaves externas (EKM) notificar o Cloud Key Management Service de que uma chave externa está inacessível, os volumes que usam essa chave serão desativados, o que impede operações de leitura e gravação. O mesmo resultado ocorre se uma chave do Cloud KMS for desativada.
Backup vaults
Para backup vaults que usam CMEK, verifique a disponibilidade da chave ou das chaves referenciadas pelo backup vault. Quando você faz a rotação de uma chave, o sistema realiza uma operação de recriptografia no cofre de backup usando a nova chave primária. Até que essa operação seja concluída, a chave rotacionada precisa estar disponível para o cofre de backup. Se você excluir a chave rotacionada, não será possível recuperar os backups que apontam para ela. Se a chave rotacionada estiver inacessível ou desativada, as restaurações vão falhar até que ela esteja acessível ou ativada.
Se a chave primária for desativada, ficar inacessível ou for destruída, as operações de criptografia em andamento vão falhar. Se não for possível recuperar a chave primária, não será possível recuperar todos os backups criptografados que apontam para ela. O backup vault não inicia novas operações de backup.
O status do cofre de backup inclui detalhes sobre a CMEK e o status da criptografia.
Os usuários também recebem um erro com detalhes sobre o estado atual da chave se alguma das seguintes operações for tentada enquanto o EKM estiver inacessível ou a chave do Cloud KMS estiver desativada nas regiões de origem ou de destino para replicação: