Chiavi di crittografia gestite dal cliente (CMEK)

Questo documento fornisce una panoramica dell'utilizzo di Cloud Key Management Service (Cloud KMS) per le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo di CMEK di Cloud KMS ti consente di avere la proprietà e il controllo delle chiavi che proteggono i tuoi dati at-rest inTrusted Cloud by S3NS.

Confronto tra CMEK e Google Cloud-powered encryption keys

Le chiavi Cloud KMS che crei sono chiavi gestite dal cliente. Trusted Cloud I servizi che utilizzano le tue chiavi sono considerati con integrazione CMEK. I seguenti fattori differenziano la crittografia at-rest predefinita di Trusted Clouddalle chiavi gestite dal cliente:

Tipo di chiave Gestita dal cliente Google Cloud-powered encryption key (crittografia predefinita di Google)

Può visualizzare i metadati chiave

No

Proprietà delle chiavi1

Cliente

Google

Può gestire2 e controllare3 chiavi

Cliente, solo controllo manuale

Google

Supporta i requisiti normativi per le chiavi gestite dal cliente

No

Condivisione della chiave

Unico per un cliente

I dati di più clienti sono in genere protetti da chiavi di crittografia con chiave condivisa (KEK).

Controllo della rotazione delle chiavi

No

Criteri dell'organizzazione CMEK

No

Registra l'accesso amministrativo e ai dati alle chiavi di crittografia

No

Separazione logica dei dati tramite crittografia

No

Prezzi

 Varia in base al livello di protezione

Gratis

1 Il proprietario della chiave indica chi detiene i diritti della chiave. Le chiavi di tua proprietà hanno accesso molto limitato o nessun accesso da parte di Google.

2 La gestione delle chiavi include le seguenti attività:

  • Creare chiavi.
  • Scegli il livello di protezione delle chiavi.
  • Assegna l'autorità per la gestione delle chiavi.
  • Controlla l'accesso alle chiavi.
  • Controlla l'utilizzo delle chiavi.
  • Imposta e modifica il periodo di rotazione delle chiavi o attiva una rotazione delle chiavi.
  • Modifica lo stato della chiave.
  • Distruggi le versioni della chiave.

3 Per controllo delle chiavi si intende l'impostazione di controlli sul tipo di chiavi e sul loro utilizzo, il rilevamento della varianza e la pianificazione di un'azione correttiva, se necessario. Puoi controllare le tue chiavi, ma delegare la gestione delle chiavi a una terza parte.

Crittografia predefinita con Google Cloud-powered encryption keys

Tutti i dati archiviati in Trusted Cloud vengono criptati in stato di riposo utilizzando gli stessi sistemi di gestione delle chiavi rafforzati che Trusted Cloud utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi forniscono controlli e verifiche rigorosi dell'accesso alle chiavi e criptano i dati at-rest degli utenti utilizzando lo standard di crittografia AES-256. Trusted Cloud possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave (KEK). Non è richiesta alcuna configurazione, gestione o impostazione.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati inattivi all'interno dei servizi Trusted Cloud supportati e fornisce un confine crittografico attorno ai tuoi dati.

I servizi che supportano CMEK dispongono di un'integrazione CMEK. L'integrazione di CMEK è una tecnologia di crittografia lato server che puoi utilizzare al posto della crittografia predefinita diTrusted Cloud. Dopo aver configurato CMEK, le operazioni di crittografia e decrittografia delle risorse vengono gestite dall'agente di servizio delle risorse. Poiché i servizi integrati con CMEK gestiscono l'accesso alla risorsa criptata, la crittografia e la decrittografia possono avvenire in modo trasparente, senza intervento dell'utente finale. L'esperienza di accesso alle risorse è simile all'utilizzo della crittografia predefinita di Trusted Cloud. Per ulteriori informazioni sull'integrazione CMEK, consulta Che cosa offre un servizio integrato con CMEK.

Puoi utilizzare versioni illimitate di ogni chiave.

Per scoprire se un servizio supporta i CMEK, consulta l'elenco dei servizi supportati.

L'utilizzo di Cloud KMS comporta costi relativi al numero di versioni delle chiavi e alle operazioni di crittografia con queste versioni.

Quando utilizzare le chiavi di crittografia gestite dal cliente

Puoi utilizzare le chiavi CMEK nei servizi compatibili per aiutarti a raggiungere i seguenti obiettivi:

  • Possiedi le tue chiavi di crittografia.

  • Controlla e gestisci le tue chiavi di crittografia, inclusa la scelta della posizione, del livello di protezione, della creazione, del controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.

  • Genera il materiale della chiave in Cloud KMS o importa il materiale della chiave gestito al di fuori di Trusted Cloud.

  • Imposta le norme relative a dove devono essere utilizzate le chiavi.

  • Eliminare in modo selettivo i dati protetti dalle tue chiavi in caso di offboarding o per risolvere gli eventi di sicurezza (crypto-shredding).

  • Crea e utilizza chiavi univoche per un cliente, stabilendo un confine criptato per i tuoi dati.

  • Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.

  • Soddisfare le normative attuali o future che richiedono uno di questi obiettivi.

Cosa offre un servizio integrato con CMEK

Come la crittografia predefinita di Trusted Cloud, la CMEK è una crittografia lato server, simmetrica e con incapsulamento dei dati dei clienti. La differenza rispetto alla crittografia predefinita di Trusted Cloudè che la protezione CMEK utilizza una chiave controllata dal cliente.

  • I servizi cloud con integrazione CMEK utilizzano le chiavi che crei in Cloud KMS per proteggere le tue risorse.

  • I servizi integrati con Cloud KMS utilizzano la crittografia simmetrica.

  • Scegli il livello di protezione della chiave.

  • Tutte le chiavi sono AES-GCM a 256 bit.

  • Il materiale della chiave non esce mai dal confine del sistema Cloud KMS.

  • Le chiavi simmetriche vengono utilizzate per criptare e decriptare nel modello di crittografia dell'involucro.

I servizi integrati con CMEK gestiscono l'accesso alle risorse

Il principale che crea o visualizza le risorse nel servizio integrato con CMEK non richiede il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) per il CMEK utilizzato per proteggere la risorsa.

Ogni risorsa del progetto ha un account di servizio speciale chiamato agente di servizio che esegue la crittografia e la decrittografia con chiavi gestite dal cliente. Dopo aver concesso all'agente di servizio l'accesso a una chiave CMEK, questo agente utilizzerà la chiave per proteggere le risorse che preferisci.

Quando un richiedente vuole accedere a una risorsa criptata con una chiave gestita dal cliente, l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio dispone dell'autorizzazione per decriptare utilizzando la chiave e non hai disattivato o distrutto la chiave, l'agente di servizio fornisce l'utilizzo della chiave per la crittografia e la decrittografia. In caso contrario, la richiesta non andrà a buon fine.

Non è richiesto alcun accesso aggiuntivo del richiedente e, poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per accedere alle risorse è simile all'utilizzo della crittografia predefinita di Trusted Cloud.

Pianificazione e creazione di CMEK

Quando utilizzi le chiavi CMEK, devi pianificare e creare keyring, chiavi e posizioni delle risorse prima di poter creare risorse protette. Puoi quindi utilizzare le tue chiavi per proteggere le risorse.

Per i passaggi esatti per attivare CMEK, consulta la documentazione del servizioTrusted Cloud pertinente. Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio. Dovresti seguire una procedura simile alla seguente:

  1. Crea un mazzo di chiavi Cloud KMS o scegline uno esistente. Quando crei il tuo portachiavi, scegli una posizione geograficamente vicina alle risorse che stai proteggendo. Il portachiavi può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di diversi progetti ti consente di avere un maggiore controllo sui ruoli IAM e di supportare la separazione dei compiti.

  2. Crea o importa una chiave Cloud KMS nel keyring scelto. Questa chiave è la CMEK.

  3. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave CMEK all'account di servizio per il servizio.

  4. Quando crei una risorsa, configurala in modo che utilizzi la CMEK. Ad esempio, puoi configurare una tabella BigQuery per proteggere i dati a riposo nella tabella.

Per ottenere l'accesso ai dati, un richiedente non ha bisogno di accedere direttamente alCMEK.

Se l'agente di servizio dispone del ruolo Autore crittografia/decriptazione CryptoKey, il servizio può criptare e decriptare i propri dati. Se revochi questo ruolo o se disattivi o distruggi il CMEK, non potrai accedere ai dati.

Conformità CMEK

Alcuni servizi hanno integrazioni CMEK e ti consentono di gestire le chiavi autonomamente. Alcuni servizi offrono invece la conformità a CMEK, il che significa che i dati temporanei e la chiave effimera non vengono mai scritti su disco. Per un elenco completo dei servizi integrati e conformi, consulta Servizi compatibili con CMEK.

Policy dell'organizzazione CMEK

Trusted Cloud offre vincoli dei criteri dell'organizzazione per contribuire a garantire un utilizzo coerente del CMEK in una risorsa dell'organizzazione. Questi vincoli forniscono ai gestori dell'organizzazione i controlli per richiedere l'utilizzo di CMEK e per specificare limitazioni e controlli sulle chiavi Cloud KMS utilizzate per la protezione CMEK, tra cui:

Passaggi successivi