Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Chiavi di crittografia gestite dal cliente (CMEK)

Questo documento fornisce una panoramica sull'utilizzo di Cloud Key Management Service (Cloud KMS) per le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo di CMEK di Cloud KMS ti offre la proprietà e il controllo delle chiavi che proteggono i dati at-rest in Cloud de Confiance by S3NS.

Confronto tra CMEK e Google Cloud-powered encryption keys

Le chiavi Cloud KMS che crei sono chiavi gestite dal cliente. Cloud de Confiance Si dice che i servizi che utilizzano le tue chiavi hanno un' integrazione CMEK. I seguenti fattori distinguono la crittografia at-rest predefinita di dalle chiavi gestite dal cliente: Cloud de Confiance

Tipo di chiave	Gestita dal cliente	Google Cloud-powered encryption key (Crittografia predefinita di Google)
Può visualizzare i metadati delle chiavi	Sì	No
Proprietà delle chiavi¹	Cliente	Google
Può gestire² e controllare³ le chiavi	Controllo manuale del cliente	Google
Supporta i requisiti normativi per le chiavi gestite dal cliente	Sì	No
Condivisione delle chiavi	Unica per un cliente	In genere, i dati di più clienti sono protetti da chiavi di crittografia delle chiavi (KEK) condivise .
Controllo della rotazione della chiave	Sì	No
Policy dell'organizzazione CMEK	Sì	No
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia	Sì	No
Separazione logica dei dati tramite crittografia	Sì	No
Prezzi	Varia in base al livello di protezione	Nessun costo

¹ Il proprietario della chiave indica chi detiene i diritti sulla chiave. Le chiavi di tua proprietà hanno accesso limitato o nessun accesso da parte di Google.

² La gestione delle chiavi include le seguenti attività:

Crea chiavi.
Scegli il livello di protezione delle chiavi.
Assegna l'autorità per la gestione delle chiavi.
Controlla l'accesso alle chiavi.
Controlla l'utilizzo delle chiavi.
Imposta e modifica il periodo di rotazione delle chiavi o attiva una rotazione delle chiavi.
Modifica lo stato della chiave.
Distruggi le versioni delle chiavi.

³ Il controllo delle chiavi significa impostare i controlli sul tipo di chiavi e su come vengono utilizzate, rilevare le variazioni e pianificare azioni correttive, se necessario. Puoi controllare le tue chiavi, ma delegare la gestione delle chiavi a una terza parte.

Crittografia predefinita con Google Cloud-powered encryption keys

Tutti i dati archiviati in Cloud de Confiance sono criptati in modalità non attiva mediante gli stessi sistemi avanzati di gestione delle chiavi che Cloud de Confiance utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi forniscono controlli e processi di revisione rigorosi per l'accesso alle chiavi e processi di revisione, oltre a criptare i dati utente at-rest utilizzando lo standard di crittografia AES-256. Cloud de Confiance possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave (KEK). Non sono richieste attività di configurazione, impostazione o gestione.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi supportati Cloud de Confiance , e fornisce un limite crittografico intorno ai tuoi dati.

I servizi che supportano CMEK hanno un'integrazione CMEK. L'integrazione CMEK è una tecnologia di crittografia lato server che puoi utilizzare al posto della Cloud de Confiancecrittografia predefinita di. Una volta configurata CMEK, le operazioni di crittografia e decrittografia delle risorse vengono gestite dall'agente di servizio delle risorse. Poiché i servizi integrati con CMEK gestiscono l'accesso alla risorsa criptata, la crittografia e la decrittografia possono avvenire in modo trasparente, senza che l'utente finale debba fare nulla. L'esperienza di accesso alle risorse è simile all'utilizzo della crittografia predefinita di Cloud de Confiance. Per ulteriori informazioni sull'integrazione CMEK, consulta Che cosa fornisce un servizio integrato con CMEK.

Puoi utilizzare versioni illimitate delle chiavi per ogni chiave.

Per scoprire se un servizio supporta le CMEK, consulta l' elenco dei servizi supportati.

L'utilizzo di Cloud KMS comporta costi correlati al numero di versioni delle chiavi e alle operazioni di crittografia con queste versioni delle chiavi.

Quando utilizzare le chiavi di crittografia gestite dal cliente

Puoi utilizzare le CMEK nei servizi compatibili per raggiungere i seguenti obiettivi:

Possedere le chiavi di crittografia.
Controllare e gestire le chiavi di crittografia, inclusa la scelta della località, del livello di protezione, della creazione, del controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.
Generare materiale delle chiavi in Cloud KMS o importare materiale delle chiavi gestito al di fuori di Cloud de Confiance.
Impostare una policy relativa a dove devono essere utilizzate le chiavi.
Eliminare selettivamente i dati protetti dalle chiavi in caso di offboarding o per correggere eventi di sicurezza (crypto-shredding).
Creare e utilizzare chiavi univoche per un cliente, stabilendo un limite crittografico intorno ai dati.
Registrare l'accesso amministrativo e ai dati alle chiavi di crittografia.
Rispettare le normative attuali o future che richiedono uno di questi obiettivi.

Che cosa fornisce un servizio integrato con CMEK

Come la crittografia predefinita di Cloud de Confiance, CMEK è una crittografia a busta simmetrica lato server dei dati dei clienti. La differenza rispetto alla crittografia predefinita di Cloud de Confiance's è che la protezione CMEK utilizza una chiave controllata da un cliente.

I servizi cloud che hanno un'integrazione CMEK utilizzano le chiavi create in Cloud KMS per proteggere le risorse.
I servizi integrati con Cloud KMS utilizzano la crittografia simmetrica.
Scegli il livello di protezione della chiave.
Tutte le chiavi sono AES-GCM a 256 bit.
Il materiale delle chiavi non esce mai dal limite del sistema Cloud KMS.
Le chiavi simmetriche vengono utilizzate per la crittografia e la decrittografia nel modello di crittografia a busta.

I servizi integrati con CMEK gestiscono l'accesso alle risorse

Il principale che crea o visualizza le risorse nel servizio integrato con CMEK non richiede il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) per la CMEK utilizzata per proteggere la risorsa.

Ogni risorsa di progetto ha un account di servizio speciale chiamato a agente di servizio che esegue la crittografia e la decrittografia con chiavi gestite dal cliente. Dopo aver concesso all'agente di servizio l'accesso a una CMEK, questo agente di servizio utilizzerà la chiave per proteggere le risorse di tua scelta.

Quando un richiedente vuole accedere a una risorsa criptata con una chiave gestita dal cliente, l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio ha l'autorizzazione per decriptare utilizzando la chiave e non hai disabilitato o distrutto la chiave, l'agente di servizio fornisce l'utilizzo della chiave per la crittografia e la decrittografia. In caso contrario, la richiesta non va a buon fine.

Non è richiesto alcun accesso aggiuntivo al richiedente e, poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per l'accesso alle risorse è simile all'utilizzo della crittografia predefinita di Cloud de Confiance.

Pianificazione e creazione delle CMEK

Quando utilizzi le CMEK, devi pianificare e creare chiavi, chiavi automatizzate, e località delle risorse prima di poter creare risorse protette. Puoi quindi utilizzare le chiavi per proteggere le risorse.

Per i passaggi esatti per attivare CMEK, consulta la documentazione del servizio pertinente Cloud de Confiance Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio. Puoi aspettarti di seguire passaggi simili ai seguenti:

Crea una chiave automatizzata di Cloud KMS o scegli una chiave automatizzata esistente. Quando crei la chiave automatizzata, scegli una località geograficamente vicina alle risorse che stai proteggendo. La chiave automatizzata può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di progetti diversi ti offre un maggiore controllo sui ruoli IAM e contribuisce a supportare la separazione delle responsabilità.
Crea o importa una chiave Cloud KMS nella chiave automatizzata scelta. Questa chiave è la CMEK.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla CMEK al service account del servizio.
Quando crei una risorsa, configurala in modo che utilizzi la CMEK. Ad esempio, puoi configurare una tabella BigQuery per proteggere i dati at rest nella tabella.

Affinché un richiedente possa accedere ai dati, non ha bisogno dell'accesso diretto alla CMEK.

Se il service agent ha il ruolo Autore crittografia/decrittografia CryptoKey, il servizio può criptare e decriptare i dati. Se revochi questo ruolo o se disabiliti o distruggi la CMEK, non è possibile accedere ai dati.

Conformità CMEK

Alcuni servizi hanno integrazioni CMEK e ti consentono di gestire le chiavi autonomamente. Alcuni servizi offrono invece la conformità CMEK, il che significa che i dati temporanei e la chiave effimera non vengono mai scritti su disco. Per un elenco completo dei servizi integrati e conformi, consulta Servizi compatibili con CMEK.

Policy dell'organizzazione CMEK

Cloud de Confiance offre vincoli dei criteri dell'organizzazione per garantire un utilizzo coerente di CMEK in una risorsa organizzazione. Questi vincoli forniscono ai criteri amministratori dell'organizzazione i controlli per richiedere l'utilizzo di CMEK e per specificare limitazioni e controlli sulle chiavi Cloud KMS utilizzate per la protezione CMEK, tra cui:

Limiti alle chiavi Cloud KMS utilizzate per la protezione CMEK
Limiti ai livelli di protezione consentiti delle chiavi
Limiti alla località delle CMEK
Controlli per la distruzione delle versioni delle chiavi

Passaggi successivi

Consulta l'elenco dei servizi con integrazioni CMEK.
Consulta l'elenco dei servizi conformi a CMEK.

Consulta l'elenco dei servizi supportati da Autokey.