Esta página descreve o uso de chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar o Google Cloud NetApp Volumes.
Sobre a CMEK
O NetApp Volumes sempre criptografa seus dados com chaves específicas do volume. O NetApp Volumes sempre criptografa seus dados em repouso.
Com a CMEK, o Cloud Key Management Service encapsula as chaves de volume armazenadas. Esse recurso oferece mais controle sobre as chaves de criptografia usadas e a segurança adicional de armazenar as chaves em um sistema ou local diferente dos dados. O NetApp Volumes oferece suporte a recursos do Cloud Key Management Service, como módulos de segurança de hardware e o ciclo de vida completo de gerenciamento de chaves de geração, uso, rotação e destruição.
O NetApp Volumes oferece suporte a uma política de CMEK por região. Uma política de CMEK é anexada a um pool de armazenamento, e todos os volumes criados nesse pool a usam. É possível ter uma combinação de pools de armazenamento com e sem políticas de CMEK em uma região. Se você tiver pools sem CMEK em uma região específica, poderá convertê-los para CMEK usando a ação de migração da política de CMEK de uma região.
O uso da CMEK é opcional. Quando usadas, as políticas de CMEK são específicas da região. Só é possível configurar uma política por região.
Os pools de armazenamento no modo ONTAP também usam políticas de CMEK. Não é possível configurar diferentes gerenciadores de chaves no modo ONTAP.
Considerações
As seções a seguir incluem limitações da CMEK a serem consideradas.
Gerenciamento de chaves
Ao usar a CMEK, você se torna exclusivamente responsável pelas chaves e pelos dados.
Configurações do Cloud KMS
A CMEK usa chaves simétricas para criptografia e descriptografia.
Depois que todos os volumes são excluídos em uma região de um projeto, a configuração do Cloud KMS retorna a um estado criado Ready. Ela é usada novamente quando você cria o próximo volume nessa região.
Keyrings regionais
O NetApp Volumes oferece suporte apenas a keyrings regionais do KMS, e eles precisam estar na mesma região da política de CMEK.
Nível de serviço
A CMEK oferece suporte aos pools de armazenamento dos níveis de serviço Unificado Flex, Arquivo Flex, Standard, Premium e Extreme.
VPC Service Controls
Para mais informações sobre como usar o VPC Service Controls, consulte Configurar a regra de entrada do VPC Service Controls para CMEK.
Política da organização de CMEK
A política da organização de CMEK para o NetApp Volumes oferece às organizações controle sobre as chaves de criptografia de dados e restringe quais chaves podem ser usadas para CMEK. Isso é feito aplicando o uso de CMEK para criptografar dados em repouso em novos pools de armazenamento e backup vaults e permitindo que as organizações gerenciem chaves de criptografia usando o Cloud KMS. A política da organização é aplicada na criação do pool de armazenamento e do backup vault e não afeta os pools de armazenamento e backup vaults atuais.
As políticas da organização permitem que os administradores apliquem e façam cumprir restrições consistentes em todos os projetos e recursos. Isso é importante para organizações que gerenciam vários projetos e recursos para aplicar políticas padronizadas.
Há dois tipos de restrições de política da organização que podem ser aplicadas à CMEK:
Restringir serviços que não usam CMEK: permite especificar quais serviços em uma organização, projeto ou pasta podem ser configurados sem CMEK. Se você adicionar um serviço à lista de bloqueio ou excluí-lo na lista de permissões, os recursos desse serviço vão exigir CMEK. Por padrão, essa restrição permite a criação de recursos que não usam CMEK.
Restringir projetos de CryptoKey de CMEK: permite definir quais projetos podem fornecer chaves do KMS para CMEK ao configurar recursos na organização, projeto ou pasta. Se essa restrição estiver definida, apenas as chaves do KMS dos projetos especificados poderão ser usadas para recursos protegidos por CMEK. Se a restrição não estiver definida, as CryptoKeys de qualquer projeto poderão ser usadas.
Para mais informações sobre como aplicar uma política da organização, consulte Aplicar uma política da organização de CMEK.
Opções de CMEK
O NetApp Volumes oferece suporte a CMEKs, que podem ser armazenadas como chaves de software, chaves de hardware em um cluster de HSM ou como chaves externas armazenadas no Cloud External Key Manager (Cloud EKM).
Para mais informações, consulte Cloud Key Management Service.
Impacto operacional de erros de chave
Uma chave desativada do Cloud KMS ou uma chave externa inacessível usada em uma política de CMEK pode afetar recursos e operações do NetApp Volumes e backup vaults associados a essa política.
As chaves externas são gerenciadas por terceiros, e Google Cloud não é responsável pela disponibilidade das chaves.
Volumes
Se o External Key Manager (EKM) notificar Cloud Key Management Service de que uma chave externa está inacessível, os volumes que usam essa chave serão desativados, o que impede operações de leitura e gravação. O mesmo resultado ocorre se uma chave do Cloud KMS for desativada.
Backup vaults
Para backup vaults que usam CMEK, é necessário garantir a disponibilidade da chave ou das chaves a que o backup vault faz referência. Quando você gira uma chave, o sistema executa uma operação de recriptografia no backup vault usando a nova chave principal. Até que essa operação seja concluída, a chave girada precisa estar disponível para o backup vault. Se você excluir a chave girada, não será possível recuperar os backups que apontam para ela. Se a chave girada estiver inacessível ou desativada, as restaurações vão falhar até que a chave esteja acessível ou ativada.
Se a chave primária estiver desativada, inacessível ou destruída, as operações de criptografia em andamento vão falhar. Se não for possível recuperar a chave primária, não será possível recuperar todos os backups criptografados que apontam para a chave. O backup vault não inicia novas operações de backup.
O status do backup vault inclui detalhes sobre a CMEK e o status da criptografia.
Os usuários também recebem um erro com detalhes sobre o estado atual da chave se alguma das seguintes operações for tentada enquanto o EKM estiver inacessível ou a chave do Cloud KMS estiver desativada nas regiões de origem ou de destino para replicação: