Este documento oferece uma vista geral da utilização do Cloud Key Management Service (Cloud KMS) para chaves de encriptação geridas pelo cliente (CMEK). A utilização da CMEK do Cloud KMS dá-lhe a propriedade e o controlo das chaves que protegem os seus dados em repouso noCloud de Confiance by S3NS.
Comparação entre CMEK e Google Cloud-powered encryption keys
As chaves do Cloud KMS que cria são chaves geridas pelo cliente. Diz-se que osCloud de Confiance serviços que usam as suas chaves têm uma integração CMEK. Os seguintes fatores diferenciam a encriptação em repouso predefinida do Cloud de Confiancedas chaves geridas pelo cliente:
| Tipo de chave | Gerido pelo cliente | Google Cloud-powered encryption key (Encriptação predefinida da Google) |
|---|---|---|
Pode ver os principais metadados |
Sim |
Não |
Propriedade das chaves1 |
Cliente |
|
Cliente, apenas controlo manual |
||
Compatível com os requisitos regulamentares para chaves geridas pelo cliente |
Sim |
Não |
Partilha de chaves |
Único para um cliente |
Normalmente, os dados de vários clientes são protegidos por chaves de encriptação de chaves (KEKs) de encriptação de chaves partilhadas. |
Controlo da rotação de chaves |
Sim |
|
Sim |
Não | |
Registe o acesso administrativo e aos dados às chaves de encriptação |
Sim |
Não |
Separação lógica de dados através da encriptação |
Sim |
Não |
Preços |
Varia consoante o nível de proteção | Grátis |
1 O proprietário da chave indica quem detém os direitos da chave. As chaves que detém têm acesso rigorosamente restrito ou nenhum acesso por parte da Google.
2 A gestão de chaves inclui as seguintes tarefas:
- Crie chaves.
- Escolha o nível de proteção das chaves.
- Atribuir autoridade para a gestão das chaves.
- Controle o acesso às chaves.
- Controlar a utilização de chaves.
- Defina e modifique o período de rotação das chaves ou acione uma rotação das chaves.
- Altere o estado da chave.
- Destrua versões de chaves.
3 O controlo das teclas significa definir controlos sobre o tipo de teclas e como são usadas, detetar variações e planear ações corretivas, se necessário. Pode controlar as suas chaves, mas delegar a gestão das chaves a terceiros.
Encriptação predefinida com Google Cloud-powered encryption keys
Todos os dados armazenados no Cloud de Confiance são encriptados em repouso através dos mesmos sistemas de gestão de chaves reforçados que a Cloud de Confiance usa para os respetivos dados encriptados. Estes sistemas de gestão de chaves oferecem controlos de acesso às chaves rigorosos e auditoria, e encriptam os dados do utilizador em repouso através da norma de encriptação AES-256. Cloud de Confiance é proprietário e controla as chaves usadas para encriptar os seus dados. Não pode ver nem gerir estas chaves, nem rever os registos de utilização das chaves. Os dados de vários clientes podem usar a mesma chave de encriptação de chaves (KEK). Não é necessária nenhuma configuração nem gestão.
Chaves de encriptação geridas pelo cliente (CMEK)
As chaves de encriptação geridas pelo cliente são chaves de encriptação que lhe pertencem. Esta capacidade permite-lhe ter maior controlo sobre as chaves usadas para encriptar dados em repouso nos serviços suportados e fornece um limite criptográfico em torno dos seus dados. Cloud de Confiance
Os serviços que suportam a CMEK têm uma integração da CMEK. A integração da CMEK é uma tecnologia de encriptação do lado do servidor que pode usar em vez da encriptação predefinida doCloud de Confiance. Após a configuração da CMEK, as operações para encriptar e desencriptar recursos são processadas pelo agente do serviço de recursos. Uma vez que os serviços integrados com CMEK gerem o acesso ao recurso encriptado, a encriptação e a desencriptação podem ocorrer de forma transparente, sem esforço do utilizador final. A experiência de aceder aos recursos é semelhante à utilização da encriptação predefinida do Cloud de Confiance. Para mais informações sobre a integração das CMEK, consulte o artigo O que um serviço integrado com CMEK oferece.
Pode usar versões de chaves ilimitadas para cada chave.
Para saber se um serviço suporta CMEKs, consulte a lista de serviços suportados.
A utilização do Cloud KMS incorre em custos relacionados com o número de versões de chaves e operações criptográficas com essas versões de chaves.
Quando usar chaves de encriptação geridas pelo cliente
Pode usar CMEKs em serviços compatíveis para ajudar a alcançar os seguintes objetivos:Seja proprietário das suas chaves de encriptação.
Controlar e gerir as suas chaves de encriptação, incluindo a escolha da localização, o nível de proteção, a criação, o controlo de acesso, a rotação, a utilização e a destruição.
Gerar material de chaves no Cloud KMS ou importar material de chaves que é mantido fora do Cloud de Confiance.
Defina a política relativamente ao local onde as chaves têm de ser usadas.
Eliminar seletivamente dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (destruição criptográfica).
Crie e use chaves exclusivas de um cliente, estabelecendo um limite criptográfico em torno dos seus dados.
Registe o acesso administrativo e aos dados às chaves de encriptação.
Cumprir os regulamentos atuais ou futuros que exijam qualquer um destes objetivos.
O que um serviço integrado com CMEK oferece
Tal como a encriptação predefinida do Google, a CMEK é uma encriptação de envelope simétrica do lado do servidor dos dados do cliente. Cloud de ConfianceA diferença em relação à encriptação predefinida é que a proteção CMEK usa uma chave controlada pelo cliente. Cloud de Confiance
Os serviços na nuvem que têm uma integração da CMEK usam chaves que cria no Cloud KMS para proteger os seus recursos.
Os serviços integrados com o Cloud KMS usam encriptação simétrica.
Escolhe o nível de proteção da chave.
Todas as chaves são AES-GCM de 256 bits.
O material da chave nunca sai do limite do sistema do Cloud KMS.
As suas chaves simétricas são usadas para encriptar e desencriptar no modelo de encriptação de envelope.
Os serviços integrados com CMEK processam o acesso aos recursos
O principal que cria ou vê recursos no serviço integrado com a CMEK não requer a função Encriptador/desencriptador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o recurso.
Cada recurso de projeto tem uma conta de serviço especial denominada agente de serviço que realiza a encriptação e a desencriptação com chaves geridas pelo cliente. Depois de conceder ao agente de serviço acesso a uma CMEK, esse agente de serviço usa essa chave para proteger os recursos da sua escolha.
Quando um requerente quer aceder a um recurso encriptado com uma chave gerida pelo cliente, o agente de serviço tenta desencriptar automaticamente o recurso pedido. Se o agente do serviço tiver autorização para desencriptar através da chave e não tiver desativado nem destruído a chave, o agente do serviço permite a utilização da chave para encriptar e desencriptar. Caso contrário, o pedido falha.
Não é necessário acesso adicional do requerente e, uma vez que o agente de serviço processa a encriptação e a desencriptação em segundo plano, a experiência do utilizador para aceder aos recursos é semelhante à utilização da encriptação predefinida do Cloud de Confiance.
Planeamento e criação de CMEKs
Quando usa CMEKs, tem de planear e criar anéis de chaves, chaves e localizações de recursos antes de poder criar recursos protegidos. Em seguida, pode usar as suas chaves para proteger os recursos.
Para ver os passos exatos para ativar as CMEK, consulte a documentação doCloud de Confiance serviço relevante. Alguns serviços, como o GKE, têm várias integrações de CMEK para proteger diferentes tipos de dados relacionados com o serviço. Pode esperar seguir passos semelhantes aos seguintes:
Crie um conjunto de chaves do Cloud KMS ou escolha um conjunto de chaves existente. Quando criar o seu conjunto de chaves, escolha uma localização geograficamente próxima dos recursos que está a proteger. O anel de chaves pode estar no mesmo projeto que os recursos que está a proteger ou em projetos diferentes. A utilização de diferentes projetos dá-lhe um maior controlo sobre as funções de IAM e ajuda a suportar a separação de funções.
Cria ou importa uma chave do Cloud KMS no conjunto de chaves escolhido. Esta chave é a CMEK.
Concede a função de encriptar/desencriptar do CryptoKey do IAM (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na CMEK à conta de serviço do serviço.Quando criar um recurso, configure-o para usar a CMEK. Por exemplo, pode configurar uma tabela do BigQuery para proteger os dados em repouso na tabela.
Para um requerente obter acesso aos dados, não precisa de acesso direto à CMEK.
Desde que o agente de serviço tenha a função CryptoKey Encrypter/Decrypter, o serviço pode encriptar e desencriptar os respetivos dados. Se revogar esta função ou se desativar ou destruir a CMEK, não é possível aceder a esses dados.
Conformidade com a CMEK
Alguns serviços têm integrações de CMEK e permitem-lhe gerir as chaves. Alguns serviços oferecem, em alternativa, conformidade com a CMEK, o que significa que os dados temporários e a chave efémera nunca são escritos no disco. Para ver uma lista completa dos serviços integrados e em conformidade, consulte os serviços compatíveis com CMEK.
Políticas da organização de CMEK
Cloud de Confiance oferece restrições de políticas da organização para ajudar a garantir uma utilização consistente da CMEK num recurso da organização. Estas restrições oferecem controlos aos administradores da organização para exigir a utilização de CMEK e especificar limitações e controlos nas chaves do Cloud KMS usadas para proteção CMEK, incluindo o seguinte:
Limites sobre as chaves do Cloud KMS que são usadas para a proteção CMEK
Limites nos níveis de proteção das chaves permitidos
Limites à localização das CMEK
Controlos para a destruição da versão da chave
O que se segue?
- Consulte a lista de serviços com integrações CMEK.
- Consulte a lista de serviços em conformidade com a CMEK.
- Consulte a lista de serviços suportados pelo Autokey.