Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

In diesem Dokument finden Sie einen Überblick über die Verwendung von Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Wenn Sie Cloud KMS CMEK verwenden, haben Sie die Inhaberschaft und Kontrolle über die Schlüssel, die Ihre ruhenden Daten inCloud de Confiance by S3NSschützen.

Vergleich von CMEK und Google Cloud-powered encryption keys

Die von Ihnen erstellten Cloud KMS-Schlüssel sind kundenverwaltete Schlüssel.Cloud de Confiance -Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Die folgenden Faktoren unterscheiden die Standardverschlüsselung ruhender Daten von Cloud de Confiancevon kundenverwalteten Schlüsseln:

Schlüsseltyp	Kundenverwaltet	Google Cloud-powered encryption key (standardmäßige Google-Verschlüsselung)
Kann wichtige Metadaten ansehen	Ja	Nein
Eigentum an Schlüsseln¹	Kunde	Google
Kann ²- und ³-Schlüssel verwalten und steuern	Kunde, nur manuelle Steuerung	Google
Unterstützt gesetzliche Anforderungen für kundenverwaltete Schlüssel	Ja	Nein
Schlüsselfreigabe	Eindeutig für einen Kunden	Daten mehrerer Kunden werden in der Regel durch gemeinsame Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) geschützt.
Steuerung der Schlüsselrotation	Ja	Nein
CMEK-Organisationsrichtlinien	Ja	Nein
Administrativen Zugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren	Ja	Nein
Logische Datentrennung durch Verschlüsselung	Ja	Nein
Preise	Je nach Schutzniveau	Kostenlos

¹ Der Inhaber des Schlüssels gibt an, wer die Rechte an dem Schlüssel hat. Schlüssel, die Ihnen gehören, haben einen stark eingeschränkten oder keinen Zugriff durch Google.

² Die Verwaltung von Schlüsseln umfasst die folgenden Aufgaben:

Schlüssel erstellen
Wählen Sie das Schutzniveau der Schlüssel aus.
Weisen Sie die Berechtigung zur Verwaltung der Schlüssel zu.
Zugriff auf Schlüssel steuern
Verwendung von Schlüsseln steuern
Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Schlüsselrotation auslösen
Schlüsselstatus ändern
Schlüsselversionen löschen

³ Schlüssel verwalten: Hierbei werden Steuerelemente für die Art der Schlüssel und die Verwendung der Schlüssel festgelegt, Abweichungen erkannt und bei Bedarf Korrekturmaßnahmen geplant. Sie können Ihre Schlüssel selbst verwalten, die Verwaltung aber an einen Drittanbieter delegieren.

Standardverschlüsselung mit Google Cloud-powered encryption keys

Alle in Cloud de Confiance gespeicherten Daten werden im Ruhezustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Cloud de Confiance auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungsstandard. Cloud de Confiance ist Eigentümer der Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden, und hat die Kontrolle darüber. Sie können diese Schlüssel weder ansehen noch verwalten und auch keine Logs zur Schlüsselnutzung aufrufen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.

Kundenverwaltete Verschlüsselungsschlüssel (CMEK, Customer-Managed Encryption Keys)

Kundenverwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, die Ihnen gehören. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln ruhender Daten in unterstützten Cloud de Confiance Diensten verwendet werden, und können eine kryptografische Grenze für Ihre Daten festlegen.

Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung vonCloud de Confianceverwenden können. Nachdem CMEK eingerichtet wurde, werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Dienst-Agent für Ressourcen ausgeführt. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource verwalten, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Cloud de Confiance. Weitere Informationen zur CMEK-Integration finden Sie unter Funktionen eines CMEK-integrierten Dienstes.

Sie können eine unbegrenzte Anzahl von Schlüsselversionen für jeden Schlüssel verwenden.

Ob ein Dienst CMEKs unterstützt, erfahren Sie in der Liste der unterstützten Dienste.

Die Verwendung von Cloud KMS verursacht Kosten, die sich nach der Anzahl der Schlüsselversionen und der kryptografischen Vorgänge mit diesen Schlüsselversionen richten.

Wann sollten kundenverwaltete Verschlüsselungsschlüssel verwendet werden?

Sie können CMEKs in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel und können sie verwalten, einschließlich der Auswahl des Speicherorts, des Schutzlevels, der Erstellung, der Zugriffssteuerung, der Rotation, der Verwendung und der Vernichtung.
Schlüsselmaterial in Cloud KMS generieren oder Schlüsselmaterial importieren, das außerhalb von Cloud de Confianceverwaltet wird.
Legen Sie eine Richtlinie fest, in der angegeben ist, wo Ihre Schlüssel verwendet werden müssen.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei der Deaktivierung oder zur Behebung von Sicherheitsereignissen selektiv löschen (kryptografisches Löschen).
Erstellen und verwenden Sie Schlüssel, die für einen Kunden eindeutig sind, um eine kryptografische Grenze für Ihre Daten zu schaffen.
Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Einhaltung aktueller oder zukünftiger Vorschriften, die eines dieser Ziele erfordern.

Funktionen eines CMEK-integrierten Dienstes

Wie die Standardverschlüsselung von Cloud de Confianceist CMEK eine serverseitige, symmetrische Envelope-Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Cloud de Confiancebesteht darin, dass bei CMEK-Schutz ein Schlüssel verwendet wird, den der Kunde kontrolliert.

Cloud-Dienste mit CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
Dienste, die in Cloud KMS eingebunden sind, verwenden symmetrische Verschlüsselung.
Sie wählen das Schutzniveau des Schlüssels aus.
Alle Schlüssel sind 256-Bit-AES-GCM-Schlüssel.
Schlüsselmaterial verlässt niemals die Cloud KMS-Systemgrenze.
Ihre symmetrischen Schlüssel werden zum Ver- und Entschlüsseln im Envelope-Verschlüsselungsmodell verwendet.

CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff

Für das Konto, mit dem Ressourcen im CMEK-integrierten Dienst erstellt oder aufgerufen werden, ist die Rolle Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK, der zum Schutz der Ressource verwendet wird, nicht erforderlich.

Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agent, der die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln durchführt. Nachdem Sie dem Dienst-Agent Zugriff auf einen CMEK gewährt haben, verwendet dieser Dienst-Agent diesen Schlüssel, um die von Ihnen ausgewählten Ressourcen zu schützen.

Wenn ein Anfragesteller auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung hat, mit dem Schlüssel zu entschlüsseln, und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, kann der Dienst-Agent den Schlüssel zum Verschlüsseln und Entschlüsseln verwenden. Andernfalls schlägt die Anfrage fehl.

Es ist kein zusätzlicher Zugriff für Anfragende erforderlich. Da der Dienst-Agent die Verschlüsselung und Entschlüsselung im Hintergrund übernimmt, ist die Nutzererfahrung für den Zugriff auf Ressourcen ähnlich wie bei der Standardverschlüsselung von Cloud de Confiance.

CMEKs planen und erstellen

Wenn Sie CMEKs verwenden, müssen Sie Schlüsselringe, Schlüssel und Ressourcenstandorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Anschließend können Sie Ihre Schlüssel zum Schutz der Ressourcen verwenden.

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligenCloud de Confiance -Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Gehen Sie wie folgt vor:

Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen Ihres Schlüsselbunds einen Standort aus, der geografisch in der Nähe der Ressourcen liegt, die Sie schützen. Der Schlüsselbund kann sich im selben Projekt wie die Ressourcen befinden, die Sie schützen, oder in verschiedenen Projekten. Durch die Verwendung verschiedener Projekte haben Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung besser unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.
Sie weisen dem Dienstkonto für den Dienst die IAM-Rolle „CryptoKey Encrypter/Decrypter“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel zu.
Konfigurieren Sie beim Erstellen einer Ressource, dass der CMEK verwendet wird. Sie können beispielsweise eine BigQuery-Tabelle so konfigurieren, dass inaktive Daten in der Tabelle geschützt werden.

Damit ein Antragsteller Zugriff auf die Daten erhält, ist kein direkter Zugriff auf den CMEK erforderlich.

Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.

CMEK-Compliance

Einige Dienste haben CMEK-Integrationen und ermöglichen es Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Konformität. Das bedeutet, dass die temporären Daten und der sitzungsspezifische Schlüssel nie auf die Festplatte geschrieben werden. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.

CMEK-Organisationsrichtlinien

Cloud de Confiance bietet Einschränkungen für Organisationsrichtlinien, um eine einheitliche CMEK-Nutzung in einer Organisationsressource zu gewährleisten. Diese Einschränkungen bieten Organisationsadministratoren die Möglichkeit, die Verwendung von CMEK zu erzwingen und Einschränkungen und Kontrollen für die für den CMEK-Schutz verwendeten Cloud KMS-Schlüssel festzulegen, einschließlich der folgenden:

Einschränkungen für welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden
Beschränkungen für die zulässigen Schutzniveaus von Schlüsseln
Einschränkungen für den Standort von CMEKs
Einstellungen für das Löschen von Schlüsselversionen

Nächste Schritte

Weitere Informationen finden Sie in der Liste der Dienste mit CMEK-Integrationen.
Weitere Informationen finden Sie in der Liste der CMEK-kompatiblen Dienste.
Liste der von Autokey unterstützten Dienste