En esta página, se describe el uso de claves de encriptación administradas por el cliente (CMEK) para administrar Google Cloud NetApp Volumes.
Acerca de CMEK
NetApp Volumes siempre encripta tus datos con claves específicas del volumen. NetApp Volumes siempre encripta tus datos en reposo.
Con CMEK, Cloud Key Management Service une tus claves de volumen almacenadas. Esta función te brinda un mayor control sobre las claves de encriptación que usas y la seguridad adicional de almacenar las claves en un sistema o en una ubicación diferente de los datos. NetApp Volumes admite capacidades de Cloud Key Management Service, como módulos de seguridad de hardware y el ciclo de vida completo de administración de claves de generación, uso, rotación y destrucción.
NetApp Volumes admite una política de CMEK por región. Una política de CMEK se adjunta a un grupo de almacenamiento, y todos los volúmenes creados en ese grupo la usan. Puedes tener una combinación de grupos de almacenamiento con y sin políticas de CMEK en una región. Si tienes grupos sin CMEK en una región específica, puedes convertirlos a CMEK con la acción de migración de la política de CMEK de una región.
El uso de CMEK es opcional. Si se usan, las políticas de CMEK son específicas de la región. Solo puedes configurar una política por región.
Los grupos de almacenamiento en modo ONTAP también usan políticas de CMEK. No puedes configurar diferentes administradores de claves en el modo ONTAP.
Consideraciones
En las siguientes secciones, se incluyen las limitaciones de CMEK que debes tener en cuenta.
Administración de claves
El uso de CMEK te hace el único responsable de tus claves y tus datos.
Configuraciones de Cloud KMS
CMEK usa claves simétricas para la encriptación y la desencriptación.
Después de que se borran todos los volúmenes de una región para un proyecto, la configuración de Cloud KMS vuelve a un estado Ready creado. Se vuelve a usar cuando creas el siguiente volumen en esa región.
Llaveros de claves regionales
NetApp Volumes solo admite llaveros de claves de KMS regionales, y deben residir en la misma región que la política de CMEK.
Nivel de servicio
CMEK admite los grupos de almacenamiento de niveles de servicio Flex Unified, Flex File, Standard, Premium y Extreme.
Controles del servicio de VPC
Para obtener más información sobre el uso de los Controles del servicio de VPC, consulta Configura la regla de entrada de los Controles del servicio de VPC para CMEK.
Política de la organización de CMEK
La política de la organización de CMEK para NetApp Volumes brinda a las organizaciones control sobre las claves de encriptación de datos y restringe qué claves se pueden usar para CMEK. Esto se logra aplicando el uso de CMEK para encriptar datos en reposo en grupos de almacenamiento y backup vaults nuevos, y permitiendo que las organizaciones administren las claves de encriptación con Cloud KMS. La política de la organización se aplica en la creación de grupos de almacenamiento y backup vaults, y no afecta a los grupos de almacenamiento y backup vaults existentes.
Las políticas de la organización permiten que los administradores apliquen y hagan cumplir restricciones coherentes en todos los proyectos y recursos. Esto es importante para las organizaciones que administran varios proyectos y recursos para aplicar políticas estandarizadas.
Existen dos tipos de restricciones de políticas de la organización que se pueden aplicar a CMEK:
Restringe los servicios que no son de CMEK: Te permite especificar qué servicios dentro de una organización, un proyecto o una carpeta se pueden configurar sin CMEK. Si agregas un servicio a la lista de denegación o lo excluyes en la lista de entidades permitidas, los recursos de ese servicio requerirán CMEK. De forma predeterminada, esta restricción permite la creación de recursos que no son de CMEK.
Restringe los proyectos de CryptoKey de CMEK: Te permite definir qué proyectos pueden proporcionar claves de KMS para CMEK cuando configuras recursos dentro de la organización, el proyecto o la carpeta. Si se establece esta restricción, solo se pueden usar las claves de KMS de los proyectos especificados para los recursos protegidos por CMEK. Si no se establece la restricción, se pueden usar CryptoKeys de cualquier proyecto.
Para obtener más información sobre cómo aplicar una política de la organización, consulta Aplica una política de la organización de CMEK.
Opciones de CMEK
NetApp Volumes ofrece compatibilidad con CMEK, que se pueden almacenar como claves de software, claves de hardware dentro de un clúster de HSM o como claves externas almacenadas en Cloud External Key Manager (Cloud EKM).
Para obtener más información, consulta Cloud Key Management Service.
Impacto operativo de los errores de clave
Una clave de Cloud KMS inhabilitada o una clave externa inaccesible que se usa en una política de CMEK puede afectar los recursos y las operaciones de NetApp Volumes y las backup vaults asociadas con esa política.
Las claves externas las administra un tercero, y Google Cloud no es responsable de la disponibilidad de las claves.
Volúmenes
Si el External Key Manager (EKM) notifica a Cloud Key Management Service que no se puede acceder a una clave externa, los volúmenes que usan esa clave se desconectan, lo que impide las operaciones de lectura y escritura. Se produce el mismo resultado si se inhabilita una clave de Cloud KMS.
Backup vaults
Para las backup vaults que usan CMEK, debes garantizar la disponibilidad de la clave o las claves a las que hace referencia la backup vault. Cuando rotas una clave, el sistema realiza una operación de reencriptación en la backup vault con la nueva clave primaria. Hasta que se complete esta operación, la clave rotada debe estar disponible para la backup vault. Si borras la clave rotada, no podrás recuperar las copias de seguridad que la señalan. Si no se puede acceder a la clave rotada o está inhabilitada, las restauraciones fallarán hasta que se pueda acceder a la clave o se habilite.
Si la clave primaria está inhabilitada, no se puede acceder a ella o se destruye, fallarán las operaciones de encriptación en curso. Si no puedes recuperar la clave primaria, no podrás recuperar todas las copias de seguridad encriptadas que la señalan. La backup vault no inicia operaciones de copia de seguridad nuevas.
El estado de la backup vault incluye detalles sobre la CMEK y el estado de encriptación.
Los usuarios también reciben un error con detalles sobre el estado actual de la clave si se intenta alguna de las siguientes operaciones mientras no se puede acceder a EKM o la clave de Cloud KMS está inhabilitada en las regiones de origen o destino para la replicación: