Esta página descreve a utilização de chaves de encriptação geridas pelo cliente (CMEK) para gerir os volumes do Google Cloud NetApp.
Acerca das CMEK
Os volumes da NetApp encriptam sempre os seus dados com chaves específicas do volume. Os volumes da NetApp encriptam sempre os seus dados em repouso.
Com as CMEK, o Cloud Key Management Service envolve as suas chaves de volume armazenadas. Esta funcionalidade dá-lhe maior controlo sobre as chaves de encriptação que usa e a segurança adicional de armazenar as chaves num sistema ou numa localização diferente dos dados. Os volumes da NetApp são compatíveis com capacidades do Cloud Key Management Service, como módulos de segurança de hardware, e o ciclo de vida completo de gestão de chaves de geração, utilização, rotação e destruição.
Os volumes NetApp suportam uma política CMEK por região. Uma política de CMEK é anexada a um conjunto de armazenamento e todos os volumes criados nesse conjunto usam-na. Pode ter uma combinação de pools de armazenamento com e sem políticas de CMEK numa região. Se tiver pools sem CMEK numa região específica, pode convertê-los em CMEK através da ação de migração da política de CMEK de uma região.
A utilização das CMEK é opcional. Se forem usadas, as políticas de CMEK são específicas da região. Só pode configurar uma política por região.
Considerações
As secções seguintes incluem limitações da CMEK a considerar.
Gestão de chaves
A utilização de CMEK torna-o o único responsável pelas suas chaves e dados.
Configurações do Cloud KMS
As CMEK usam chaves simétricas para encriptação e desencriptação.
Depois de todos os volumes serem eliminados numa região para um projeto, a configuração do Cloud KMS volta a um estado Ready criado. É usado novamente quando
criar o volume seguinte nessa região.
Conjuntos de chaves regionais
Os volumes NetApp só suportam conjuntos de chaves KMS regionais e têm de residir na mesma região que a política CMEK.
Nível de serviço
A CMEK suporta os pools de armazenamento dos níveis de serviço Flex, Standard, Premium e Extreme.
VPC Service Controls
Quando usar os VPC Service Controls, certifique-se de que tem em consideração as Limitações dos VPC Service Controls para volumes NetApp.
Política da organização de CMEK
A política da organização CMEK para volumes NetApp dá às organizações controlo sobre as chaves de encriptação de dados e restringe as chaves que podem ser usadas para CMEK. Isto é conseguido através da aplicação da utilização de CMEK para encriptar dados em repouso em novos conjuntos de armazenamento e cofres de cópias de segurança, e permitindo que as organizações geram chaves de encriptação através do Cloud KMS. A política de organização é aplicada na criação do conjunto de armazenamento e do cofre de cópias de segurança, e não afeta os conjuntos de armazenamento e os cofres de cópias de segurança existentes.
As políticas da organização permitem que os administradores apliquem e façam cumprir restrições consistentes em todos os projetos e recursos. Isto é importante para as organizações que gerem vários projetos e recursos para aplicar políticas padronizadas.
Existem dois tipos de restrições de políticas de organização que podem ser aplicadas à CMEK:
Restringir serviços não CMEK: permite especificar que serviços numa organização, num projeto ou numa pasta podem ser configurados sem CMEK. Se adicionar um serviço à lista de recusa ou excluí-lo na lista de autorização, os recursos desse serviço vão exigir a CMEK. Por predefinição, esta restrição permite a criação de recursos não CMEK.
Restringir projetos CryptoKey CMEK: permite-lhe definir que projetos podem fornecer chaves do KMS para CMEK quando configurar recursos na organização, no projeto ou na pasta. Se esta restrição estiver definida, só é possível usar chaves do KMS dos projetos especificados para recursos protegidos por CMEK. Se a restrição não estiver definida, podem ser usadas CryptoKeys de qualquer projeto.
Para mais informações sobre como aplicar uma política da organização, consulte o artigo Aplique uma política da organização de CMEK.
Opções de CMEK
Os volumes NetApp oferecem suporte para CMEKs, que podem ser armazenadas como chaves de software, chaves de hardware num cluster de HSM ou como chaves externas armazenadas no Cloud External Key Manager (Cloud EKM).
Para mais informações, consulte o Serviço de gestão de chaves na nuvem.
Impacto operacional dos erros principais
Uma chave do Cloud KMS desativada ou uma chave externa inacessível usada numa política de CMEK pode afetar os recursos e as operações dos volumes NetApp e dos cofres de cópias de segurança associados a essa política.
As chaves externas são geridas por terceiros e a Google Google Cloud não é responsável pela disponibilidade das chaves.
Volumes
Se o External Key Manager (EKM) notificar o Cloud Key Management Service de que uma chave externa está inacessível, os volumes que usam essa chave são colocados offline, o que impede as operações de leitura e escrita. O mesmo resultado ocorre se uma chave do Cloud KMS for desativada.
Cofres de cópias de segurança
Para cofres de cópias de segurança que usam CMEK, tem de garantir a disponibilidade da chave ou das chaves a que o cofre de cópias de segurança faz referência. Quando roda uma chave, o sistema executa uma operação de reencriptação no cofre de segurança da cópia de segurança com a nova chave principal. Até que esta operação seja concluída, a chave rodada tem de estar disponível para o cofre de segurança da cópia de segurança. Se eliminar a chave rotativa, não pode recuperar as cópias de segurança que apontam para ela. Se a chave rodada estiver inacessível ou desativada, as restaurações falham até que a chave esteja acessível ou ativada.
Se a chave principal estiver desativada, inacessível ou destruída, as operações de encriptação em curso falham. Se não conseguir recuperar a chave principal, não pode recuperar todas as cópias de segurança encriptadas que apontam para a chave. O cofre de cópias de segurança não inicia novas operações de cópia de segurança.
O estado do cofre de cópias de segurança inclui detalhes sobre a CMEK e o estado de encriptação.
Os utilizadores também recebem um erro com detalhes sobre o estado atual da chave se for tentada qualquer uma das seguintes operações enquanto o EKM estiver inacessível ou a chave do Cloud KMS estiver desativada nas regiões de origem ou de destino para replicação: