Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

In diesem Dokument finden Sie einen Überblick über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Mit Cloud KMS CMEK sind Sie Eigentümer und Kontrolle der Schlüssel, die Ihre inaktiven Daten inTrusted Cloud by S3NSschützen.

Vergleich von CMEK und Google Cloud-powered encryption keys

Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel.Trusted Cloud Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Die folgenden Faktoren unterscheiden die standardmäßige Ruhedatenverschlüsselung von Trusted Cloudvon vom Kunden verwalteten Schlüsseln:

Schlüsseltyp	Vom Kunden verwaltet	Google Cloud-powered encryption key (Standardmäßige Google-Verschlüsselung)
Kann wichtige Metadaten einsehen	Ja	Nein
Inhaberschaft von Schlüsseln¹	Kunde	Google
Kann ² Schlüssel verwalten und ³ Schlüssel steuern	Kunde, nur manuelle Steuerung	Google
Unterstützung gesetzlicher Anforderungen für vom Kunden verwaltete Schlüssel	Ja	Nein
Schlüsselfreigabe	Eindeutig für einen Kunden	Daten mehrerer Kunden werden in der Regel durch Schlüsselverschlüsselungsschlüssel (Shared Key Encryption Keys, KEKs) geschützt.
Steuerung der Schlüsselrotation	Ja	Nein
CMEK-Organisationsrichtlinien	Ja	Nein
Verwaltung und Datenzugriff auf Verschlüsselungsschlüssel protokollieren	Ja	Nein
Logische Datentrennung durch Verschlüsselung	Ja	Nein
Preise	Je nach Schutzniveau	Kostenlos

¹ Der Inhaber des Schlüssels gibt an, wer die Rechte an dem Schlüssel hat. Google hat nur eingeschränkten oder keinen Zugriff auf Schlüssel, deren Inhaber Sie sind.

² Die Verwaltung von Schlüsseln umfasst die folgenden Aufgaben:

Erstellen Sie Schlüssel.
Wählen Sie das Schutzniveau der Schlüssel aus.
Weisen Sie die Berechtigung zur Verwaltung der Schlüssel zu.
Zugriff auf Schlüssel steuern
Verwendung von Schlüsseln steuern
Legen Sie den Rotationszeitraum für Schlüssel fest und ändern Sie ihn oder lösen Sie eine Schlüsselrotation aus.
Schlüsselstatus ändern
Schlüsselversionen löschen

³ Die Kontrolle von Schlüsseln bedeutet, die Art der Schlüssel und ihre Verwendung festzulegen, Abweichungen zu erkennen und bei Bedarf Korrekturmaßnahmen zu planen. Sie können Ihre Schlüssel verwalten, die Verwaltung der Schlüssel aber an einen Drittanbieter delegieren.

Standardverschlüsselung mit Google Cloud-powered encryption keys

Alle in Trusted Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Trusted Cloud auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungsstandard. Trusted Cloud ist Inhaber und verwaltet die Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden. Sie können diese Schlüssel nicht aufrufen oder verwalten und auch keine Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Eigentümer Sie sind. So haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln ruhender Daten in unterstützten Trusted Cloud Diensten verwendet werden, und können Ihre Daten besser schützen.

Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung vonTrusted Cloudverwenden können. Nach der Einrichtung von CMEK werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Ressourcen-Dienst-Agenten ausgeführt. Da der Zugriff auf die verschlüsselte Ressource von Diensten mit integrierter CMEK-Technologie verwaltet wird, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Trusted Cloud. Weitere Informationen zur CMEK-Integration finden Sie unter Vorteile eines CMEK-integrierten Dienstes.

Sie können für jeden Schlüssel eine unbegrenzte Anzahl von Schlüsselversionen verwenden.

Ob ein Dienst CMEKs unterstützt, sehen Sie in der Liste der unterstützten Dienste.

Die Verwendung von Cloud KMS verursacht Kosten, die sich auf die Anzahl der Schlüsselversionen und die kryptografischen Vorgänge mit diesen Schlüsselversionen beziehen.

Wann sollten Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden?

Sie können CMEKs in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Generieren Sie Schlüsselmaterial in Cloud KMS oder importieren Sie Schlüsselmaterial, das außerhalb von Trusted Cloudverwaltet wird.
Legen Sie eine Richtlinie fest, wo Ihre Schlüssel verwendet werden müssen.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, beim Offboarding oder zur Behebung von Sicherheitsereignissen selektiv löschen (Crypto-Shredding).
Erstellen und verwenden Sie Schlüssel, die für einen Kunden eindeutig sind, und schaffen Sie so eine kryptografische Grenze um Ihre Daten.
Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Aktuelle oder zukünftige Bestimmungen einhalten, die eines dieser Zielvorhaben erfordern

Vorteile eines CMEK-integrierten Dienstes

Wie die Standardverschlüsselung von Trusted Cloudist CMEK eine serverseitige, symmetrische Umschlagverschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Trusted Cloudbesteht darin, dass beim CMEK-Schutz ein Schlüssel verwendet wird, der vom Kunden verwaltet wird.

Cloud-Dienste mit CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
Für Dienste, die in Cloud KMS eingebunden sind, wird die symmetrische Verschlüsselung verwendet.
Sie wählen das Schutzniveau des Schlüssels aus.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Systemgrenzen von Cloud KMS.
Ihre symmetrischen Schlüssel werden im Verschlüsselungsmodell für Umschläge zum Verschlüsseln und Entschlüsseln verwendet.

CMEK-integrierte Dienste verwalten den Ressourcenzugriff

Für das Prinzipal, das Ressourcen im CMEK-integrierten Dienst erstellt oder aufruft, ist die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK, der zum Schutz der Ressource verwendet wird, nicht erforderlich.

Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agent, der die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln durchführt. Nachdem Sie dem Kundenservicemitarbeiter Zugriff auf einen CMEK gewährt haben, verwendet dieser Kundenservicemitarbeiter diesen Schlüssel, um die von Ihnen ausgewählten Ressourcen zu schützen.

Wenn ein Antragsteller auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung zum Entschlüsseln mit dem Schlüssel hat und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, stellt der Dienst-Agent die Verschlüsselung und Entschlüsselung mit dem Schlüssel bereit. Andernfalls schlägt die Anfrage fehl.

Es ist kein zusätzlicher Zugriff für den Antragsteller erforderlich. Da der Dienstagent die Verschlüsselung und Entschlüsselung im Hintergrund übernimmt, ähnelt die Nutzererfahrung beim Zugriff auf Ressourcen der Verwendung der Standardverschlüsselung von Trusted Cloud.

CMEKs planen und erstellen

Wenn Sie CMEKs verwenden, müssen Sie Schlüsselringe, Schlüssel und Ressourcenspeicherorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Sie können dann Ihre Schlüssel verwenden, um die Ressourcen zu schützen.

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligenTrusted Cloud Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Gehen Sie wie folgt vor:

Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen des Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe der zu schützenden Ressourcen befindet. Der Schlüsselbund kann sich im selben Projekt wie die zu schützenden Ressourcen oder in verschiedenen Projekten befinden. Wenn Sie verschiedene Projekte verwenden, haben Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel in den ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.
Sie weisen dem Dienstkonto für den Dienst die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel zu.
Konfigurieren Sie beim Erstellen einer Ressource die Verwendung des CMEK. Sie können beispielsweise eine BigQuery-Tabelle so konfigurieren, dass ruhende Daten in der Tabelle geschützt werden.

Damit ein Antragsteller auf die Daten zugreifen kann, benötigt er keinen direkten Zugriff auf den CMEK.

Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.

CMEK-Compliance

Einige Dienste haben CMEK-Integrationen und ermöglichen es Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Compliance, d. h., die temporären Daten und der sitzungsspezifische Schlüssel werden nie auf die Festplatte geschrieben. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.

CMEK-Organisationsrichtlinien

Trusted Cloud bietet Einschränkungen für Organisationsrichtlinien, damit die CMEK-Nutzung in einer Organisationsressource einheitlich erfolgen kann. Mit diesen Einschränkungen können Organisationsadministratoren die Verwendung von CMEK erzwingen und Einschränkungen und Steuerelemente für die für den CMEK-Schutz verwendeten Cloud KMS-Schlüssel festlegen, darunter:

Einschränkungen bei der Verwendung von Cloud KMS-Schlüsseln für den CMEK-Schutz
Einschränkungen für zulässige Schutzniveaus von Schlüsseln
Einschränkungen für den Speicherort von CMEKs
Einstellungen für die Löschung von Schlüsselversionen

Nächste Schritte

Weitere Informationen finden Sie in der Liste der Dienste mit CMEK-Integrationen.
Weitere Informationen finden Sie in der Liste der CMEK-kompatiblen Dienste.
Liste der von Autokey unterstützten Dienste