Chiavi di crittografia gestite dal cliente (CMEK)

Questo documento fornisce una panoramica sull'utilizzo di Cloud Key Management Service (Cloud KMS) per le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo di CMEK di Cloud KMS ti offre la proprietà e il controllo delle chiavi che proteggono i dati at-rest in Cloud de Confiance by S3NS.

Confronto tra CMEK e Google Cloud-powered encryption keys

Le chiavi Cloud KMS che crei sono chiavi gestite dal cliente. Cloud de Confiance I servizi che utilizzano le tue chiavi sono considerati con integrazione CMEK. I seguenti fattori distinguono la crittografia at-rest predefinita di dalle chiavi gestite dal cliente: Cloud de Confiance

Tipo di chiave Gestita dal cliente Google Cloud-powered encryption key (Crittografia predefinita di Google)

Può visualizzare i metadati delle chiavi

No

Proprietà delle chiavi1

Cliente

Google

Può gestire2 e controllare3 le chiavi

Controllo manuale del cliente

Google

Supporta i requisiti normativi per le chiavi gestite dal cliente

No

Condivisione delle chiavi

Unica per un cliente

I dati di più clienti sono in genere protetti dalle chiavi di crittografia delle chiavi (KEK) condivise.

Controllo della rotazione della chiave

No

Policy dell'organizzazione CMEK

No

Log dell'accesso amministrativo e ai dati alle chiavi di crittografia

No

Separazione logica dei dati tramite crittografia

No

Prezzi

 Varia in base al livello di protezione

Nessun costo

1 Il proprietario della chiave indica chi detiene i diritti sulla chiave. Le chiavi di tua proprietà hanno accesso limitato o nessun accesso da parte di Google.

2 La gestione delle chiavi include le seguenti attività:

  • Crea chiavi.
  • Scegli il livello di protezione delle chiavi.
  • Assegna l'autorità per la gestione delle chiavi.
  • Controlla l'accesso alle chiavi.
  • Controlla l'utilizzo delle chiavi.
  • Imposta e modifica il periodo di rotazione delle chiavi o attiva una rotazione delle chiavi.
  • Modifica lo stato della chiave.
  • Elimina le versioni delle chiavi.

3 Il controllo delle chiavi significa impostare i controlli sul tipo di chiavi e su come vengono utilizzate, rilevare le variazioni e pianificare azioni correttive, se necessario. Puoi controllare le tue chiavi, ma delegare la gestione delle chiavi a una terza parte.

Crittografia predefinita con Google Cloud-powered encryption keys

Tutti i dati archiviati in Cloud de Confiance sono criptati in modalità non attiva mediante gli stessi sistemi avanzati di gestione delle chiavi che Cloud de Confiance utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi forniscono controlli rigorosi per l'accesso alle chiavi e processi di revisione, oltre a criptare i dati utente at-rest utilizzando lo standard di crittografia AES-256. Cloud de Confiance possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave (KEK). Non sono richieste attività di configurazione, impostazione o gestione.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi supportati Cloud de Confiance , e fornisce un limite crittografico intorno ai tuoi dati.

I servizi che supportano CMEK hanno un'integrazione CMEK. L'integrazione CMEK è una tecnologia di crittografia lato server che puoi utilizzare al posto della Cloud de Confiancecrittografia predefinita di. Dopo aver configurato CMEK, le operazioni di crittografia e decrittografia delle risorse vengono gestite dall'agente di servizio delle risorse. Poiché i servizi integrati con CMEK gestiscono l'accesso alla risorsa criptata, la crittografia e la decrittografia possono avvenire in modo trasparente, senza che l'utente finale debba fare nulla. L'esperienza di accesso alle risorse è simile all'utilizzo della crittografia predefinita di Cloud de Confiance. Per ulteriori informazioni sull'integrazione CMEK, consulta Cosa fornisce un servizio integrato con CMEK.

Puoi utilizzare versioni delle chiavi illimitate per ogni chiave.

Per scoprire se un servizio supporta le CMEK, consulta l' elenco dei servizi supportati.

L'utilizzo di Cloud KMS comporta costi correlati al numero di versioni delle chiavi e alle operazioni di crittografia con queste versioni delle chiavi.

Quando utilizzare le chiavi di crittografia gestite dal cliente

Puoi utilizzare le CMEK nei servizi compatibili per raggiungere i seguenti obiettivi:

  • Possedere le chiavi di crittografia.

  • Controllare e gestire le chiavi di crittografia, inclusa la scelta della località, del livello di protezione, della creazione, del controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.

  • Generare materiale delle chiavi in Cloud KMS o importare materiale delle chiavi gestito al di fuori di Cloud de Confiance.

  • Impostare una policy relativa a dove devono essere utilizzate le chiavi.

  • Eliminare selettivamente i dati protetti dalle chiavi in caso di offboarding o per correggere eventi di sicurezza (crypto-shredding).

  • Creare e utilizzare chiavi uniche per un cliente, stabilendo un limite crittografico intorno ai dati.

  • Registrare l'accesso amministrativo e l'accesso ai dati alle chiavi di crittografia.

  • Rispettare le normative attuali o future che richiedono uno di questi obiettivi.

Cosa fornisce un servizio integrato con CMEK

Come la crittografia predefinita di Cloud de Confiance, CMEK è una crittografia a busta lato server, simmetrica, dei dati dei clienti. La differenza rispetto alla crittografia predefinita di Cloud de Confiance's è che la protezione CMEK utilizza una chiave controllata da un cliente.

  • I servizi cloud con integrazione CMEK utilizzano le chiavi create in Cloud KMS per proteggere le risorse.

  • I servizi integrati con Cloud KMS utilizzano la crittografia simmetrica.

  • Scegli il livello di protezione della chiave.

  • Tutte le chiavi sono AES-GCM a 256 bit.

  • Il materiale delle chiavi non esce mai dal limite del sistema Cloud KMS.

  • Le chiavi simmetriche vengono utilizzate per criptare e decriptare nel modello di crittografia a busta.

I servizi integrati con CMEK gestiscono l'accesso alle risorse

L'entità che crea o visualizza le risorse nel servizio integrato con CMEK non richiede il ruolo Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) per la CMEK utilizzata per proteggere la risorsa.

Ogni risorsa del progetto ha un account di servizio speciale chiamato service agent che esegue la crittografia e la decrittografia con chiavi gestite dal cliente. Dopo aver concesso all'agente di servizio l'accesso a una CMEK, questo agente di servizio utilizzerà la chiave per proteggere le risorse di tua scelta.

Quando un richiedente vuole accedere a una risorsa criptata con una chiave gestita dal cliente, l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio ha l'autorizzazione per decriptare utilizzando la chiave e non hai disabilitato o eliminato la chiave, l'agente di servizio fornisce l'utilizzo della chiave per la crittografia e la decrittografia. In caso contrario, la richiesta non va a buon fine.

Non è richiesto alcun accesso aggiuntivo del richiedente e, poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per l'accesso alle risorse è simile all'utilizzo della crittografia predefinita di Cloud de Confiance.

Pianificazione e creazione delle CMEK

Quando utilizzi le CMEK, devi pianificare e creare chiavi, chiavi automatizzate e località delle risorse prima di poter creare risorse protette. Puoi quindi utilizzare le chiavi per proteggere le risorse.

Per i passaggi esatti per attivare CMEK, consulta la documentazione del servizio pertinente Cloud de Confiance Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio. Puoi seguire passaggi simili ai seguenti:

  1. Crea un keyring Cloud KMS o scegli un keyring esistente. Quando crei il keyring, scegli una località geograficamente vicina alle risorse che stai proteggendo. Il keyring può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di progetti diversi ti offre un maggiore controllo sui ruoli IAM e contribuisce a supportare la separazione delle responsabilità.

  2. Crea o importa una chiave Cloud KMS nel keyring scelto. Questa chiave è la CMEK.

  3. Concedi il ruolo IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla CMEK al service account del servizio.

  4. Quando crei una risorsa, configurala in modo che utilizzi la CMEK. Ad esempio, puoi configurare una tabella BigQuery per proteggere i dati at rest nella tabella.

Affinché un richiedente possa accedere ai dati, non ha bisogno dell'accesso diretto alla CMEK.

Finché l'agente di servizio ha il ruolo CryptoKey Encrypter/Decrypter, il servizio può criptare e decriptare i dati. Se revochi questo ruolo o se disabiliti o distruggi la CMEK, non è possibile accedere ai dati.

Conformità CMEK

Alcuni servizi hanno integrazioni CMEK e ti consentono di gestire le chiavi autonomamente. Alcuni servizi offrono invece la conformità CMEK, il che significa che i dati temporanei e la chiave effimera non vengono mai scritti su disco. Per un elenco completo dei servizi integrati e conformi, consulta Servizi compatibili con CMEK.

Policy dell'organizzazione CMEK

Cloud de Confiance offre vincoli dei criteri dell'organizzazione per garantire un utilizzo coerente di CMEK in una risorsa organizzazione. Questi vincoli forniscono ai criteri dell'organizzazione i controlli per richiedere l'utilizzo di CMEK e per specificare limitazioni e controlli sulle chiavi Cloud KMS utilizzate per la protezione CMEK, tra cui:

Passaggi successivi