Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

In diesem Dokument finden Sie eine Übersicht zur Verwendung von Cloud Key Management Service (Cloud KMS) für kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Mit Cloud KMS CMEK haben Sie die Inhaberschaft und Kontrolle über die Schlüssel, die Ihre ruhenden Daten in Cloud de Confiance by S3NSschützen.

Vergleich von CMEK und Google Cloud-powered encryption keys

Die von Ihnen erstellten Cloud KMS-Schlüssel sind kundenverwaltete Schlüssel. Cloud de Confiance Bei Diensten, die Ihre Schlüssel verwenden, spricht man von einer CMEK-Integration. Die folgenden Faktoren unterscheiden die Standardverschlüsselung inaktiver Daten von von kundenverwalteten Schlüsseln: Cloud de Confiance

Schlüsseltyp	Kundenverwaltet	Google Cloud-powered encryption key (Standardverschlüsselung von Google)
Schlüsselmetadaten ansehen	Ja	Nein
Inhaberschaft der Schlüssel¹	Kunde	Google
Schlüssel verwalten² und steuern³	Manuelle Steuerung nur durch den Kunden	Google
Unterstützt gesetzliche Anforderungen für kundenverwaltete Schlüssel	Ja	Nein
Schlüsselfreigabe	Eindeutig für einen Kunden	Daten mehrerer Kunden werden in der Regel durch gemeinsame Schlüsselverschlüsselung schlüssel (Key Encryption Keys, KEKs) geschützt.
Steuerung der Schlüsselrotation	Ja	Nein
CMEK Organisationsrichtlinien	Ja	Nein
Protokollieren des administrativen Zugriffs und des Datenzugriffs auf Verschlüsselungsschlüssel	Ja	Nein
Logische Datentrennung durch Verschlüsselung	Ja	Nein
Preise	Je nach Schutzlevel unterschiedlich	Kostenlos

¹ Der Inhaber des Schlüssels gibt an, wer die Rechte an dem Schlüssel hat. Für Schlüssel, deren Inhaber Sie sind, ist der Zugriff durch Google stark eingeschränkt oder nicht möglich.

² Die Verwaltung von Schlüsseln umfasst die folgenden Aufgaben:

Schlüssel erstellen.
Das Schutzlevel der Schlüssel auswählen.
Die Berechtigung für die Verwaltung der Schlüssel zuweisen.
Den Zugriff auf Schlüssel steuern.
Die Verwendung von Schlüsseln steuern.
Den Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Schlüsselrotation auslösen.
Den Schlüsselstatus ändern.
Schlüsselversionen löschen.

³ Die Steuerung von Schlüsseln umfasst das Festlegen von Kontrollen für die Art der Schlüssel und die Verwendung der Schlüssel, das Erkennen von Abweichungen und das Planen von Korrekturmaßnahmen, falls erforderlich. Sie können Ihre Schlüssel steuern, die Verwaltung der Schlüssel aber an einen Dritten delegieren.

Standardverschlüsselung mit Google Cloud-powered encryption keys

Alle in Cloud de Confiance gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Cloud de Confiance auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungs standard. Cloud de Confiance ist Inhaber der Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden, und steuert diese. Sie können diese Schlüssel weder ansehen noch verwalten oder Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.

Kundenverwaltete Verschlüsselungsschlüssel (CMEK)

Kundenverwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Inhaber Sie sind. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln ruhender Daten in unterstützten Cloud de Confiance Diensten verwendet werden, und es wird eine kryptografische Grenze um Ihre Daten gezogen.

Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Cloud de Confiance's Standardverschlüsselung verwenden können. Nachdem CMEK eingerichtet wurde, werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Dienst-Agent der Ressource verarbeitet. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource verwalten, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Cloud de Confiance. Weitere Informationen zur CMEK-Integration finden Sie unter Was bietet ein CMEK-integrierter Dienst?.

Sie können für jeden Schlüssel unbegrenzt viele Schlüsselversionen verwenden.

Ob ein Dienst CMEKs unterstützt, erfahren Sie in der Liste der unterstützten Dienste.

Bei der Verwendung von Cloud KMS fallen Kosten an, die von der Anzahl der Schlüsselversionen und kryptografischen Vorgänge mit diesen Schlüsselversionen abhängen.

Wann sollten kundenverwaltete Verschlüsselungsschlüssel verwendet werden?

Sie können CMEKs in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Inhaber Ihrer Verschlüsselungsschlüssel sein.
Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Auswahl von Standort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Löschung.
Schlüsselmaterial in Cloud KMS generieren oder Schlüsselmaterial importieren, das außerhalb von Cloud de Confianceverwaltet wird.
Eine Richtlinie festlegen, wo Ihre Schlüssel verwendet werden müssen.
Daten, die durch Ihre Schlüssel geschützt sind, bei der Deaktivierung oder zur Behebung von Sicherheitsereignissen selektiv löschen (Crypto-Shredding).
Schlüssel erstellen und verwenden, die für einen Kunden eindeutig sind, und so eine kryptografische Grenze um Ihre Daten ziehen.
Protokollieren des administrativen Zugriffs und des Datenzugriffs auf Verschlüsselung schlüssel.
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.

Was bietet ein CMEK-integrierter Dienst?

Wie die Standardverschlüsselung von Cloud de Confiance's ist CMEK eine serverseitige, symmetrische, Envelope-Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Cloud de Confiance's besteht darin, dass der CMEK-Schutz einen Schlüssel verwendet, der vom Kunden gesteuert wird.

Cloud-Dienste mit einer CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
Dienste, die in Cloud KMS integriert sind, verwenden symmetrische Verschlüsselung.
Sie wählen das Schutzlevel des Schlüssels aus.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Systemgrenze von Cloud KMS.
Ihre symmetrischen Schlüssel werden verwendet, um im Envelope Verschlüsselungsmodell zu verschlüsseln und zu entschlüsseln.

CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff

Das Prinzipal, das Ressourcen im CMEK-integrierten Dienst erstellt oder ansieht, benötigt die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) nicht für den CMEK, der zum Schutz der Ressource verwendet wird.

Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agenten, der die Verschlüsselung und Entschlüsselung mit kundenverwalteten Schlüsseln durchführt. Nachdem Sie dem Dienst-Agent Zugriff auf einen CMEK gewährt haben, verwendet dieser Dienst-Agent diesen Schlüssel, um die Ressourcen Ihrer Wahl zu schützen.

Wenn ein Anfragesteller auf eine Ressource zugreifen möchte, die mit einem kundenverwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung hat, mit dem Schlüssel zu entschlüsseln, und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, kann der Dienst-Agent den Schlüssel zum Verschlüsseln und Entschlüsseln verwenden. Andernfalls schlägt die Anfrage fehl.

Es ist kein zusätzlicher Zugriff für den Anfragesteller erforderlich. Da der Dienst-Agent die Verschlüsselung und Entschlüsselung im Hintergrund verarbeitet, ähnelt der Zugriff auf Ressourcen der Verwendung der Standardverschlüsselung von Cloud de Confiance'.

CMEKs planen und erstellen

Wenn Sie CMEKs verwenden, müssen Sie Schlüsselbunde, Schlüssel, und Ressourcenstandorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Anschließend können Sie Ihre Schlüssel verwenden, um die Ressourcen zu schützen.

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation für den jeweiligen Cloud de Confiance Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Sie müssen mit Schritten rechnen, die den folgenden ähneln:

Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen des Schlüsselbunds einen Standort aus, der geografisch in der Nähe der Ressourcen liegt, die Sie schützen. Der Schlüsselbund kann sich im selben Projekt wie die Ressourcen befinden, die Sie schützen, oder in verschiedenen Projekten. Die Verwendung verschiedener Projekte bietet Ihnen mehr Kontrolle über IAM-Rollen und unterstützt die Aufgabentrennung.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.
Sie weisen dem Dienstkonto für den Dienst die CryptoKey-Verschlüsseler/Entschlüsseler-IAM Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK zu.
Konfigurieren Sie beim Erstellen einer Ressource, dass der CMEK verwendet wird. Sie können beispielsweise eine BigQuery-Tabelle konfigurieren, um ruhende Daten in der Tabelle zu schützen.

Damit ein Anfragesteller Zugriff auf die Daten erhält, ist kein direkter Zugriff auf den CMEK erforderlich.

Solange der Dienst-Agent die CryptoKey-Verschlüsseler/Entschlüsseler Rolle hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.

CMEK-Compliance

Einige Dienste haben CMEK-Integrationen und ermöglichen Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Compliance, d. h., die temporären Daten und der sitzungsspezifische Schlüssel werden nie auf die Festplatte geschrieben. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.

CMEK-Organisationsrichtlinien

Cloud de Confiance bietet Einschränkungen für Organisationsrichtlinien, um eine konsistente CMEK-Nutzung in einer Organisationsressource zu gewährleisten. Diese Einschränkungen bieten Organisationsadministratoren die Möglichkeit, die CMEK-Nutzung zu erzwingen und Einschränkungen und Kontrollen für die Cloud KMS-Schlüssel festzulegen, die für den CMEK-Schutz verwendet werden, einschließlich der folgenden:

Einschränkungen für die Cloud KMS-Schlüssel, die für den CMEK Schutz verwendet werden
Einschränkungen für die zulässigen Schutzlevel von Schlüsseln
Einschränkungen für den Standort von CMEKs
Kontrollen für die Löschung von Schlüsselversionen

Nächste Schritte

Liste der Dienste mit CMEK Integrationen.
Liste der CMEK-kompatiblen Dienste.
Liste der von Autokey unterstützten Dienste