כברירת מחדל, Compute Engine מצפין תוכן של לקוחות במנוחה. Compute Engine משתמש באופן אוטומטי ב- Google Cloud-powered encryption keys כדי להצפין את הנתונים שלכם.
עם זאת, אתם יכולים לספק מפתחות להצפנת מפתחות הצפנה (KEK) כדי להתאים אישית את ההצפנה ש-Compute Engine משתמש בה עבור המשאבים שלכם. מפתחות להצפנת מפתחות לא מצפינים את הנתונים ישירות, אלא מצפינים אתGoogle Cloud-powered keys שמשמש את Compute Engine להצפנת הנתונים.
יש שתי אפשרויות לספק מפתחות להצפנת מפתחות:
מומלץ. שימוש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם Compute Engine. שימוש במפתחות של Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בהרשאות השימוש והגישה ובגבולות הקריפטוגרפיים שלהם. בנוסף, באמצעות Cloud KMS אפשר לעקוב אחרי השימוש במפתחות, לראות יומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.
אפשר ליצור CMEK באופן ידני, או להשתמש ב-Cloud KMS Autokey כדי שהם ייווצרו אוטומטית בשמכם.
ברוב המקרים, אחרי שיוצרים דיסק מוצפן באמצעות CMEK, לא צריך לציין את המפתח כשעובדים עם הדיסק.
אתם יכולים לנהל מפתחות הצפנה משלכם מחוץ ל-Compute Engine, ולספק את המפתח בכל פעם שאתם יוצרים או מנהלים דיסק. האפשרות הזו נקראת מפתחות הצפנה באספקת הלקוח (CSEK). כשמנהלים משאבים מוצפנים באמצעות CSEK, צריך תמיד לציין את המפתח שבו השתמשתם כשביצעתם את ההצפנה של המשאב.
מידע נוסף על כל סוג הצפנה זמין במאמרים בנושא מפתחות הצפנה בניהול הלקוח ומפתחות הצפנה באספקת הלקוח (CSEK).
כדי להוסיף שכבת אבטחה נוספת לדיסקים מסוג Hyperdisk Balanced, מפעילים את מצב סודי. במצב סודי, הדיסקים של Hyperdisk Balanced מוצפנים על בסיס חומרה.
סוגי דיסקים נתמכים
בסעיף הזה מפורטים סוגי ההצפנה הנתמכים בדיסקים ובאפשרויות אחסון אחרות שמוצעות על ידי Compute Engine.
נפחי Persistent Disk תומכים ב-Google Cloud-powered keys, ב-CMEK וב-CSEK.
Google Cloud Hyperdisk תומך ב-CMEK וב-Google Cloud-powered keys. אי אפשר להשתמש במפתחות CSEK כדי להצפין Hyperdisks.
דיסקים של SSD מקומי תומכים רק ב-Google Cloud-powered keys. אי אפשר להשתמש במפתחות CSEK או CMEK כדי להצפין דיסקים של SSD מקומי.
שיבוטים של דיסקים וקבצים של מכונות תומכים ב-Google Cloud-powered keys,CMEKs ו-CSEKs.
תמונות מצב רגילות ותמונות מצב מיידיות תומכות ב-Google Cloud-powered keys, ב-CMEK וב-CSEK.
רוטציה של Google Cloud-powered keys ומפתחות CMEK
מערכת Compute Engine מבצעת רוטציה של Google Cloud-powered keys שמשמשים להגנה על הנתונים שלכם מדי שנה. רוטציית מפתחות היא שיטה מומלצת בתחום אבטחת מידע, שמגבילה את ההשפעה הפוטנציאלית של מפתח שנפרץ.
אם אתם משתמשים במפתחות CMEK, מומלץ להפעיל רוטציה אוטומטית למשאבים.
מידע נוסף על החלפת מפתחות זמין במאמר החלפת מפתח ההצפנה של Cloud KMS בדיסק או בתמונת מצב רגילה.
CMEK עם Cloud KMS Autokey
אם אתם בוחרים להשתמש במפתחות Cloud KMS כדי להגן על משאבי Compute Engine, אתם יכולים ליצור מפתחות CMEK באופן ידני או להשתמש ב-Cloud KMS Autokey כדי ליצור את המפתחות. עם Autokey, אוספי מפתחות ומפתחות נוצרים לפי דרישה כחלק מיצירת משאבים ב-Compute Engine. אם סוכני שירות שמשתמשים במפתחות לפעולות הצפנה ופענוח לא קיימים, הם נוצרים ומקבלים את התפקידים הנדרשים של ניהול זהויות והרשאות גישה (IAM). מידע נוסף זמין במאמר סקירה כללית על Autokey.
במאמר שימוש ב-Autokey עם משאבי Compute Engine מוסבר איך להשתמש במפתחות CMEK שנוצרו על ידי Cloud KMS Autokey כדי להגן על משאבי Compute Engine.
Snapshots
כשמשתמשים ב-Autokey כדי ליצור מפתחות להגנה על משאבי Compute Engine, המערכת לא יוצרת מפתחות חדשים לתמונות מצב. צריך להצפין תמונת מצב באמצעות אותו מפתח ששימש להצפנת דיסק המקור. אם יוצרים תמונת מצב באמצעות מסוף Cloud de Confiance , מפתח ההצפנה שבו נעשה שימוש בדיסק מוחל באופן אוטומטי על תמונת המצב. אם יוצרים תמונת מצב באמצעות ה-CLI של gcloud, Terraform או Compute Engine API, צריך לקבל את מזהה המשאב של המפתח ששימש להצפנת הדיסק, ואז להשתמש במפתח הזה כדי להצפין את תמונת המצב.
הצפנת דיסקים באמצעות מפתחות הצפנה בניהול הלקוח
מידע נוסף על שימוש במפתחות הצפנה בניהול הלקוח (CMEK) שנוצרו באופן ידני כדי להצפין דיסקים ומשאבים אחרים של Compute Engine זמין במאמר הגנה על משאבים באמצעות מפתחות Cloud KMS.
הצפנת דיסקים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK)
במאמר הצפנת דיסקים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK) מוסבר איך להשתמש במפתחות הצפנה באספקת הלקוח (CSEK) כדי להצפין דיסקים ומשאבים אחרים של Compute Engine.
איך רואים את סוג ההצפנה של דיסק
כדי לראות את סוג ההצפנה של דיסק, פועלים לפי השלבים במאמר בנושא הצגת מידע על הצפנה של דיסק.
מצב סודי ל-Hyperdisk Balanced
אם אתם משתמשים בConfidential Computing, אתם יכולים להרחיב את ההצפנה שמבוססת על חומרה גם לנפחי Hyperdisk Balanced על ידי הפעלת מצב חסוי.
מצב סודי בכרכים של Hyperdisk Balanced מאפשר לכם להפעיל אבטחה נוספת בלי שתצטרכו לשנות את מבנה האפליקציה. מצב סודיות הוא מאפיין שאפשר לציין כשיוצרים נפח אחסון חדש מסוג Hyperdisk Balanced.
אפשר להשתמש בנפחי Hyperdisk Balanced במצב סודי רק עם Confidential VMs.
כדי ליצור נפח אחסון מסוג Hyperdisk Balanced במצב סודי, פועלים לפי השלבים במאמר בנושא יצירת נפח אחסון מסוג Hyperdisk Balanced במצב סודי.
סוגי מכונות נתמכים לנפחי Hyperdisk Balanced במצב סודי
אפשר להשתמש בנפחי Hyperdisk Balanced במצב Confidential רק עם Confidential VMs שמשתמשות בסוג המכונה N2D.
אזורים נתמכים לנפחי Hyperdisk Balanced במצב סודי
המצב הסודי לנפחי Hyperdisk Balanced זמין באזורים הבאים:
europe-west4us-central1us-east4us-east5us-south1us-west4
מגבלות של נפחי Hyperdisk Balanced במצב סודי
- Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML ו-Hyperdisk Balanced High Availability לא תומכים במצב סודי.
- אי אפשר להשהות או להפעיל מחדש מכונה וירטואלית שמשתמשת בנפחי Hyperdisk Balanced במצב Confidential.
- אי אפשר להשתמש ב-Hyperdisk Storage Pools עם נפחי אחסון Hyperdisk Balanced במצב סודי.
- אי אפשר ליצור קובץ אימג' של מכונה או תמונה בהתאמה אישית מנפח Hyperdisk Balanced במצב סודי.
המאמרים הבאים
- כדי ללמוד איך ליצור מפתחות CMEK באופן אוטומטי, אפשר לעיין במאמר בנושא Cloud KMS עם Autokey (גרסת טרום-השקה).
- במאמר יצירת מפתחות הצפנה באמצעות Cloud KMS מוסבר איך ליצור מפתחות הצפנה בניהול הלקוח (CMEK).
- הצפנה של דיסק באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).
- כדי ליצור נפח אחסון מסוג Hyperdisk Balanced במצב סודי, אפשר לעיין במאמר יצירת נפח אחסון מסוג Hyperdisk Balanced במצב סודי.
- מידע נוסף על הפורמט והמפרט של מפתחות CSEK