Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Sobre a criptografia de disco

Por padrão, o Compute Engine criptografa o conteúdo do cliente em repouso. O Compute Engine usa automaticamente Google Cloud-powered encryption keys para criptografar seus dados.

No entanto, é possível personalizar a criptografia que o Compute Engine usa para seus recursos fornecendo chaves de criptografia de chaves (KEKs). Essas chaves não criptografam diretamente seus dados, mas sim as Google Cloud-powered keys que o Compute Engine usa para criptografá-los.

Você tem duas opções para fornecer chaves de criptografia de chaves:

Recomendado. Use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com o Compute Engine. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, também é possível monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs, na sigla em inglês) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

É possível criar CMEKs manualmente ou usar a chave automática do Cloud KMS para que elas sejam criadas automaticamente em seu nome.

Na maioria dos casos, depois de criar um disco criptografado por CMEKs, não é necessário especificar a chave ao trabalhar com ele.
É possível gerenciar suas próprias chaves de criptografia de chaves fora do Compute Engine e fornecê-las sempre que criar ou gerenciar um disco. Essa opção é conhecida como Chaves de criptografia fornecidas pelo cliente (CSEKs, na sigla em inglês). Ao gerenciar recursos criptografados por CSEK, é preciso sempre especificar a chave usada ao criptografar o recurso.

Para mais informações sobre cada tipo de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente e Chaves de criptografia fornecidas pelo cliente.

Para adicionar outra camada de segurança aos discos do Hyperdisk Balanced, ative o modo confidencial. O modo confidencial adiciona criptografia baseada em hardware aos discos do Hyperdisk Balanced.

Tipos de disco compatíveis

Esta seção lista os tipos de criptografia compatíveis com discos e outras opções de armazenamento oferecidas pelo Compute Engine.

Os volumes do Persistent Disk são compatíveis com Google Cloud-powered keys, CMEKs e CSEKs.
O Google Cloud Hyperdisk é compatível com CMEKs e Google Cloud-powered keys. Não é possível usar CSEKs para criptografar Hyperdisks.
Os discos SSD locais são compatíveis apenas com Google Cloud-powered keys. Não é possível usar CSEKs ou CMEKs para criptografar discos SSD locais.
Clones de discos e imagens de máquina são compatíveis com Google Cloud-powered keys, CMEKs e CSEKs.
Snapshots padrão e Instant Snapshots são compatíveis com Google Cloud-powered keys, CMEKs e CSEKs.

Rotação para Google Cloud-powered keys e CMEKs

O Compute Engine gira o Google Cloud-powered keys usado para proteger seus dados anualmente. A rotação de chaves é uma prática recomendada do setor para segurança de dados que limita o impacto potencial de uma chave comprometida.

Se você usa CMEKs, o Google recomenda ativar a rotação automática para seus recursos.

Para mais informações sobre como girar suas chaves, consulte Girar a chave de criptografia do Cloud KMS para um disco ou snapshot padrão.

CMEK com o Autokey do Cloud KMS

Se você optar por usar chaves do Cloud KMS para proteger seus recursos do Compute Engine, é possível criar CMEKs manualmente ou usar a chave automática do Cloud KMS para criar as chaves. Com Autokey, keyrings e as chaves são gerados sob demanda como parte da criação de recursos no Compute Engine. Os agentes de serviço que usam as chaves para operações de criptografia e descriptografia são criados se ainda não existirem e receberem os papéis necessários do Identity and Access Management (IAM). Para mais informações, consulte Visão geral das chaves automáticas.

Para saber como usar as CMEKs criadas pelo Autokey do Cloud KMS para proteger seus recursos do Compute Engine, consulte Usar o Autokey com recursos do Compute Engine resources.

Snapshots

Ao usar o Autokey para criar chaves para proteger seus recursos do Compute Engine, o Autokey não cria novas chaves para snapshots. É necessário criptografar um snapshot com a mesma chave usada para criptografar o disco de origem. Se você criar um snapshot usando o Cloud de Confiance console, a chave de criptografia usada pelo disco será aplicada automaticamente ao snapshot. Se você criar um snapshot usando a CLI gcloud, o Terraform ou a API Compute Engine, será necessário receber o identificador de recurso da chave usada para criptografar o disco e usar essa chave para criptografar o snapshot.

Criptografar discos com chaves de criptografia gerenciadas pelo cliente

Para mais informações sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK) criadas manualmente para criptografar discos e outros recursos do Compute Engine, consulte Proteger recursos usando chaves do Cloud KMS.

Criptografar discos com chaves fornecidas pelo cliente

Para saber como usar Chaves de criptografia fornecidas pelo cliente (CSEK) para criptografar discos e outros recursos do Compute Engine, consulte Como criptografar discos com Chaves de criptografia fornecidas pelo cliente.

Ver o tipo de criptografia de um disco

Para ver o tipo de criptografia de um disco, siga as etapas em Ver informações sobre a criptografia de um disco.

Modo confidencial para Hyperdisk Balanced

Se você usa Computação confidencial, é possível estender a criptografia baseada em hardware aos volumes do Hyperdisk Balanced ativando o modo confidencial.

O modo confidencial para volumes do Hyperdisk Balanced permite ativar mais segurança sem precisar refatorar o aplicativo. O modo confidencial é uma propriedade que pode ser especificada ao criar um novo volume do Hyperdisk Balanced.

Os volumes do Hyperdisk Balanced no modo confidencial só podem ser usados com VMs confidenciais.

Para criar um volume do Hyperdisk Balanced no modo confidencial, siga as etapas em Criar um volume do Hyperdisk Balanced no modo confidencial.

Tipos de máquina compatíveis com volumes do Hyperdisk Balanced no modo confidencial

Os volumes do Hyperdisk Balanced no modo confidencial só podem ser usados com VMs confidenciais que usam o tipo de máquina N2D.

Regiões compatíveis com volumes do Hyperdisk Balanced no modo confidencial

O modo confidencial para volumes do Hyperdisk Balanced está disponível nas seguintes regiões:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitações para volumes do Hyperdisk Balanced no modo confidencial

O Hyperdisk Extreme, o Hyperdisk Throughput, o Hyperdisk ML e o Hyperdisk Balanced High Availability não oferecem suporte ao modo confidencial.
Não é possível suspender ou retomar uma VM que usa volumes do Hyperdisk Balanced no modo confidencial.
Não é possível usar pools de armazenamento do Hyperdisk com volumes do Hyperdisk Balanced no modo confidencial.
Não é possível criar uma imagem de máquina ou uma imagem personalizada com base em um volume do Hyperdisk Balanced no modo confidencial.

A seguir

Para saber como automatizar a criação de CMEKs, consulte Cloud KMS com Autokey (pré-lançamento).
Para saber como criar CMEKs, consulte Criar chaves de criptografia com o Cloud KMS.
Criptografe um disco com chaves de criptografia gerenciadas pelo cliente (CMEKs).
Para criar um volume do Hyperdisk Balanced no modo confidencial, consulte Criar um volume do Hyperdisk Balanced no modo confidencial.
Saiba mais sobre o formato e a especificação das CSEKs.