Claves de encriptado gestionadas por el cliente (CMEK)

En este documento se ofrece una descripción general del uso de Cloud Key Management Service (Cloud KMS) para las claves de encriptado gestionadas por el cliente (CMEK). Si usas la CMEK de Cloud KMS, tendrás la propiedad y el control de las claves que protegen tus datos en reposo enTrusted Cloud by S3NS.

Comparación entre CMEK y Google Cloud-powered encryption keys

Las claves de Cloud KMS que creas son claves gestionadas por el cliente. Se dice que losTrusted Cloud servicios que usan tus claves tienen una integración con CMEK. Los siguientes factores diferencian el encriptado en reposo predeterminado de Trusted Cloudlas claves gestionadas por el cliente:

Tipo de clave Gestionada por el cliente Google Cloud-powered encryption key (cifrado predeterminado de Google)

Puede ver metadatos clave

No

Propiedad de las claves1

Cliente

Google

Puede gestionar2 y controlar3 claves

Solo control manual por parte del cliente

Google

Cumple los requisitos normativos de las claves gestionadas por el cliente

No

Compartir llaves

Exclusivo de un cliente

Los datos de varios clientes suelen estar protegidos por claves de encriptado de claves (KEKs) compartidas.

Control de la rotación de claves

No

Políticas de organización de CMEK

No

Registrar el acceso administrativo y de datos a las claves de cifrado

No

Separación lógica de datos mediante cifrado

No

Precios

 Varía según el nivel de protección

Gratis

1 El propietario de la clave indica quién tiene los derechos de la clave. Google tiene un acceso muy restringido o nulo a las claves que te pertenecen.

La gestión de claves 2 incluye las siguientes tareas:

  • Crea claves.
  • Elige el nivel de protección de las llaves.
  • Asigna la autoridad para gestionar las claves.
  • Controlar el acceso a las claves.
  • Controlar el uso de las llaves.
  • Definir y modificar el periodo de rotación de las claves o activar la rotación de las claves.
  • Cambiar el estado de la clave.
  • Eliminar versiones de clave.

3 El control de las claves implica establecer controles sobre el tipo de claves y cómo se usan, detectar variaciones y planificar medidas correctivas si es necesario. Puedes controlar tus llaves, pero delegar la gestión de las llaves en un tercero.

Cifrado predeterminado con Google Cloud-powered encryption keys

Todos los datos almacenados en Trusted Cloud se cifran en reposo con los mismos sistemas reforzados de gestión de claves que utiliza Trusted Cloud para proteger sus propios datos cifrados. Estos sistemas de gestión de claves proporcionan estrictos controles de acceso a claves y auditorías, y cifran los datos de los usuarios en reposo con el estándar de cifrado AES-256. Trusted Cloud es el propietario y controla las claves que se usan para cifrar tus datos. No puedes ver ni gestionar estas claves, ni consultar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave de cifrado de claves (KEK). No es necesario realizar ninguna configuración ni gestión.

Claves de encriptado gestionadas por el cliente (CMEK)

Las claves de cifrado gestionadas por el cliente son claves de cifrado de tu propiedad. Esta función te permite tener un mayor control sobre las claves que se usan para cifrar los datos en reposo en los servicios compatibles Trusted Cloud y proporciona un límite criptográfico en torno a tus datos.

Los servicios que admiten CMEK tienen una integración de CMEK. La integración de CMEK es una tecnología de cifrado del lado del servidor que puedes usar en lugar del cifrado predeterminado deTrusted Cloud. Una vez que se ha configurado CMEK, el agente de servicio de recursos se encarga de las operaciones para cifrar y descifrar recursos. Como los servicios integrados con CMEK gestionan el acceso al recurso cifrado, el cifrado y el descifrado pueden realizarse de forma transparente, sin que los usuarios finales tengan que hacer nada. La experiencia de acceder a los recursos es similar a la de usar el cifrado predeterminado de Trusted Cloud. Para obtener más información sobre la integración de CMEK, consulta Qué ofrece un servicio integrado con CMEK.

Puedes usar un número ilimitado de versiones de cada clave.

Para saber si un servicio admite CMEKs, consulta la lista de servicios admitidos.

El uso de Cloud KMS conlleva costes relacionados con el número de versiones de claves y las operaciones criptográficas con esas versiones de claves.

Cuándo usar claves de encriptado gestionadas por el cliente

Puedes usar CMEKs en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:

  • Tener tus propias claves de cifrado.

  • Controla y gestiona tus claves de cifrado, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.

  • Genera material de claves en Cloud KMS o importa material de claves que se mantenga fuera de Trusted Cloud.

  • Define la política sobre dónde se deben usar tus claves.

  • Eliminar de forma selectiva los datos protegidos por tus claves en caso de baja o para solucionar eventos de seguridad (destrucción criptográfica).

  • Crea y usa claves únicas para cada cliente, lo que establece un límite criptográfico en torno a tus datos.

  • Registra el acceso administrativo y de datos a las claves de cifrado.

  • Cumplir la normativa actual o futura que requiera alguno de estos objetivos.

Qué ofrece un servicio integrado con CMEK

Al igual que el cifrado predeterminado de Trusted Cloud, CMEK es un cifrado simétrico del lado del servidor y de envolvente de los datos de los clientes. La diferencia con el cifrado predeterminado de Trusted Cloudes que la protección con CMEK usa una clave que controla el cliente.

  • Los servicios de Cloud que tienen una integración con CMEK usan las claves que creas en Cloud KMS para proteger tus recursos.

  • Los servicios integrados con Cloud KMS usan el encriptado simétrico.

  • Tú eliges el nivel de protección de la llave.

  • Todas las claves son AES-GCM de 256 bits.

  • El material de claves nunca sale del límite del sistema de Cloud KMS.

  • Tus claves simétricas se usan para cifrar y descifrar en el modelo de cifrado envolvente.

Los servicios integrados con CMEK gestionan el acceso a los recursos

La entidad de seguridad que crea o consulta recursos en el servicio integrado con CMEK no requiere el rol Encargado del encriptado y desencriptado de claves de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para la CMEK que se usa para proteger el recurso.

Cada recurso de proyecto tiene una cuenta de servicio especial llamada agente de servicio que realiza el cifrado y el descifrado con claves gestionadas por el cliente. Una vez que hayas concedido acceso a un agente de servicio a una CMEK, ese agente de servicio usará la clave para proteger los recursos que elijas.

Cuando un solicitante quiere acceder a un recurso cifrado con una clave gestionada por el cliente, el agente de servicio intenta descifrar automáticamente el recurso solicitado. Si el agente de servicio tiene permiso para descifrar con la clave y no la has inhabilitado ni destruido, el agente de servicio proporciona el uso de la clave para cifrar y descifrar. De lo contrario, la solicitud fallará.

No se requiere ningún acceso adicional del solicitante y, como el agente de servicio gestiona el cifrado y el descifrado en segundo plano, la experiencia del usuario al acceder a los recursos es similar a la que se obtiene con el cifrado predeterminado de Trusted Cloud.

Planificar y crear CMEKs

Cuando usas CMEKs, debes planificar y crear conjuntos de claves, claves y ubicaciones de recursos antes de poder crear recursos protegidos. Después, puedes usar tus llaves para proteger los recursos.

Para ver los pasos exactos que debes seguir para habilitar CMEK, consulta la documentación delTrusted Cloud servicio correspondiente. Algunos servicios, como GKE, tienen varias integraciones de CMEK para proteger diferentes tipos de datos relacionados con el servicio. Deberás seguir pasos similares a los siguientes:

  1. Crea un llavero de claves de Cloud KMS o elige uno que ya tengas. Cuando crees tu llavero de claves, elige una ubicación que esté geográficamente cerca de los recursos que vas a proteger. El conjunto de claves puede estar en el mismo proyecto que los recursos que proteges o en proyectos diferentes. Usar diferentes proyectos te da más control sobre los roles de gestión de identidades y accesos, y te ayuda a separar las obligaciones.

  2. Crea o importa una clave de Cloud KMS en el conjunto de claves elegido. Esta clave es la CMEK.

  3. Asigna el rol de gestión de identidades y accesos (IAM) Encargado del encriptado y desencriptado de la clave criptográfica (roles/cloudkms.cryptoKeyEncrypterDecrypter) de la CMEK a la cuenta de servicio del servicio.

  4. Cuando crees un recurso, configúralo para que use la CMEK. Por ejemplo, puedes configurar una tabla de BigQuery para proteger los datos en reposo de la tabla.

Para que un solicitante pueda acceder a los datos, no necesita tener acceso directo a la CMEK.

Mientras el agente de servicio tenga el rol Encargado del encriptado y desencriptado de la clave criptográfica, el servicio podrá encriptar y desencriptar sus datos. Si revocas este rol o inhabilitas o destruyes la CMEK, no se podrá acceder a esos datos.

Cumplimiento de CMEK

Algunos servicios tienen integraciones de CMEK y te permiten gestionar las claves por tu cuenta. En su lugar, algunos servicios ofrecen cumplimiento de CMEK, lo que significa que los datos temporales y la clave efímera nunca se escriben en el disco. Para ver una lista completa de los servicios integrados y compatibles, consulta Servicios compatibles con CMEK.

Políticas de organización de CMEK

Trusted Cloud ofrece restricciones de políticas de organización para ayudar a garantizar un uso coherente de las CMEK en los recursos de una organización. Estas restricciones proporcionan controles a los administradores de la organización para requerir el uso de CMEK y especificar limitaciones y controles en las claves de Cloud KMS que se usan para la protección con CMEK, entre los que se incluyen los siguientes:

Siguientes pasos