Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Este documento fornece uma visão geral do uso do Cloud Key Management Service (Cloud KMS) para chaves de criptografia gerenciadas pelo cliente (CSEK). O uso da CMEK do Cloud KMS oferece a você propriedade e controle das chaves que protegem seus dados em repouso no Trusted Cloud by S3NS.

Comparação entre CMEK e Google Cloud-powered encryption keys

As chaves do Cloud KMS que você cria são gerenciadas pelo cliente. Os serviçosTrusted Cloud que usam suas chaves são considerados como tendo uma integração de CMEK. Os fatores a seguir diferenciam a criptografia padrão de Trusted Cloudem repouso das chaves gerenciadas pelo cliente:

Tipo de chave	Gerenciada pelo cliente	Google Cloud-powered encryption key (criptografia padrão do Google)
Pode acessar metadados de chaves	Sim	Não
Propriedade das chaves¹	Cliente	Google
Pode gerenciar as teclas ² e controlar as teclas ³	Cliente, somente controle manual	Google
Suporte a requisitos regulamentares para chaves gerenciadas pelo cliente	Sim	Não
Compartilhamento de chaves	Exclusivo para um cliente	Os dados de vários clientes geralmente são protegidos por chaves de criptografia de chaves compartilhadas (KEKs, na sigla em inglês).
Controle da rotação de chaves	Sim	Não
Políticas da organização de CMEK	Sim	Não
Registrar acesso administrativo e de dados às chaves de criptografia	Sim	Não
Separação lógica de dados por criptografia	Sim	Não
Preços	Varia de acordo com o nível de proteção	Grátis

¹ O proprietário da chave indica quem detém os direitos dela. As chaves que você tem têm acesso restrito ou nenhum acesso pelo Google.

² O gerenciamento de chaves inclui as seguintes tarefas:

Crie chaves.
Escolha o nível de proteção das chaves.
Atribuir autoridade para o gerenciamento das chaves.
Controle o acesso às chaves.
Controle o uso de chaves.
Defina e modifique o período de rotação das chaves ou acione uma rotação de chaves.
Mudar o status da chave.
Destrua versões de chave.

³ O controle de chaves significa definir controles sobre o tipo de chaves e como elas são usadas, detectar variações e planejar ações corretivas, se necessário. Você pode controlar suas chaves, mas delegar o gerenciamento delas a terceiros.

Criptografia padrão com Google Cloud-powered encryption keys

Todos os dados armazenados no Trusted Cloud são criptografados em repouso usando os mesmos sistemas de gerenciamento de chaves protegidos que Trusted Cloud usa para nossos próprios dados criptografados. Esses sistemas de gerenciamento de chaves fornecem controles de acesso e auditoria de chaves rigorosos e criptografam dados do usuário em repouso usando o padrão de criptografia AES-256. Trusted Cloud é proprietário e controla as chaves usadas para criptografar seus dados. Não é possível acessar ou gerenciar essas chaves nem revisar os registros de uso delas. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves (KEK). Nenhuma configuração ou gerenciamento é necessário.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

As chaves de criptografia gerenciadas pelo cliente são chaves de criptografia que pertencem a você. Esse recurso permite que você tenha mais controle sobre as chaves usadas para criptografar dados em repouso nos serviços Trusted Cloud compatíveis e oferece um limite criptográfico em torno dos dados.

Os serviços compatíveis com CMEK têm uma integração com CMEK. A integração de CMEK é uma tecnologia de criptografia do lado do servidor que pode ser usada no lugar da criptografia padrão deTrusted Cloud. Depois que a CMEK é configurada, as operações para criptografar e descriptografar recursos são processadas pelo agente de serviço de recursos. Como os serviços integrados ao CMK lidam com o acesso ao recurso criptografado, a criptografia e a descriptografia podem ocorrer de forma transparente, sem esforço do usuário final. A experiência de acesso aos recursos é semelhante ao uso da criptografia padrão do Trusted Cloud. Para mais informações sobre a integração do CMEK, consulte O que um serviço integrado a CMEK oferece.

É possível usar versões de chave ilimitadas para cada chave.

Para saber se um serviço oferece suporte a CMEKs, consulte a lista de serviços compatíveis.

O uso do Cloud KMS gera custos relacionados ao número de versões de chaves e operações criptográficas com essas versões.

Quando usar chaves de criptografia gerenciadas pelo cliente

É possível usar CMEKs em serviços compatíveis para ajudar a atingir os seguintes objetivos:

Ter suas próprias chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Gere material de chave no Cloud KMS ou importe material de chave mantido fora de Trusted Cloud.
Defina a política sobre onde as chaves precisam ser usadas.
Exclua seletivamente os dados protegidos pelas suas chaves no caso de desativação ou para remediar eventos de segurança (fragmentação criptográfica).
Crie e use chaves exclusivas para um cliente, estabelecendo um limite criptográfico em torno dos dados.
Registre o acesso administrativo e de dados às chaves de criptografia.
Atender a regulamentações atuais ou futuras que exijam qualquer uma dessas metas.

O que um serviço integrado a CMEK oferece

Assim como a criptografia padrão de Trusted Cloud, a CMEK é uma criptografia de envelope simétrica do lado do servidor dos dados do cliente. A diferença em relação à criptografia padrão de Trusted Cloudé que a proteção CMEK usa uma chave controlada pelo cliente.

Os serviços em nuvem que têm uma integração de CMEK usam as chaves criadas no Cloud KMS para proteger seus recursos.
Os serviços integrados ao Cloud KMS usam criptografia simétrica.
Você escolhe o nível de proteção da chave.
Todas as chaves são AES-GCM de 256 bits.
O material da chave nunca sai do limite do sistema do Cloud KMS.
Suas chaves simétricas são usadas para criptografar e descriptografar no modelo de criptografia de envelope.

Os serviços integrados a CMEK processam o acesso a recursos

O principal que cria ou visualiza recursos no serviço integrado à CMEK não exige o Criptografador/Descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o recurso.

Cada recurso de projeto tem uma conta de serviço especial chamada de agente de serviço, que realiza a criptografia e a descriptografia com chaves gerenciadas pelo cliente. Depois que você conceder ao agente de serviço acesso a uma CMEK, ele usará essa chave para proteger os recursos escolhidos.

Quando um solicitante quer acessar um recurso criptografado com uma chave gerenciada pelo cliente, o agente de serviço tenta descriptografar o recurso solicitado automaticamente. Se o agente de serviço tiver permissão para descriptografar usando a chave e você não tiver desativado ou destruído a chave, o agente de serviço vai fornecer o uso de criptografia e descriptografia da chave. Caso contrário, a solicitação falhará.

Nenhum acesso de solicitante extra é necessário. Como o agente de serviço processa a criptografia e a descriptografia em segundo plano, a experiência do usuário para acessar recursos é semelhante ao uso da criptografia padrão do Trusted Cloud.

Como planejar e criar CMEKs

Ao usar CMEKs, é necessário planejar e criar chaveiros, chaves e locais de recursos antes de criar recursos protegidos. Você pode usar as chaves para proteger os recursos.

Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço Trusted Cloud relevante. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. Siga estas etapas:

Crie um keyring do Cloud KMS ou escolha um keyring existente. Ao criar o chaveiro, escolha um local geograficamente próximo aos recursos que você está protegendo. O keyring pode estar no mesmo projeto que os recursos que você está protegendo ou em projetos diferentes. O uso de projetos diferentes oferece maior controle sobre os papéis do IAM e ajuda a oferecer suporte à separação de funções.
Crie ou importe uma chave do Cloud KMS no keyring escolhido. Essa chave é a CMEK.
Você concede o papel de IAM do Criptografador/Descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) na CMEK para a conta de serviço.
Ao criar um recurso, configure-o para usar o CMEK. Por exemplo, é possível configurar uma tabela do BigQuery para proteger os dados em repouso na tabela.

Para que um solicitante tenha acesso aos dados, ele não precisa de acesso direto ao CMEK.

Desde que o agente de serviço tenha o papel de Criptografador/Descriptografador de CryptoKey, o serviço poderá criptografar e descriptografar os dados. Se você revogar essa função ou desativar ou destruir a CMEK, esses dados não poderão ser acessados.

Conformidade com CMEK

Alguns serviços têm integrações com CMEK e permitem que você mesmo gerencie as chaves. Alguns serviços oferecem conformidade com o CMEK, o que significa que os dados temporários e a chave temporária nunca são gravados no disco. Para conferir uma lista completa de serviços integrados e compatíveis, consulte Serviços compatíveis com o CMEK.

Políticas da organização de CMEK

Trusted Cloud oferece restrições de política da organização para ajudar a garantir o uso consistente da CMEK em um recurso da organização. Essas restrições fornecem controles aos administradores da organização para exigir o uso de CMEK e especificar limitações e controles nas chaves do Cloud KMS usadas para proteção de CMEK, incluindo os seguintes:

Limites sobre quais chaves do Cloud KMS são usadas para proteção com CMEK
Limites nos níveis de proteção de chaves permitidos
Limites no local de CMEKs
Controles para destruição da versão da chave

A seguir

Consulte a lista de serviços com integrações do CMEK.
Consulte a lista de serviços compatíveis com CMEK.
Consulte a lista de serviços compatíveis com a Autokey.