Descripción general de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) te permite crear y administrar claves criptográficas para usarlas en servicios Trusted Cloud by S3NS compatibles y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:

Elige la encriptación adecuada para tus necesidades

Puedes usar la siguiente tabla para identificar qué tipo de encriptación satisface tus necesidades para cada caso de uso. La mejor solución para tus necesidades podría incluir una combinación de enfoques de encriptación. Por ejemplo, puedes usar claves de software para tus datos menos sensibles y claves externas para tus datos más sensibles. Para obtener más información sobre las opciones de encriptación que se describen en esta sección, consulta Protección de datos en Trusted Cloud by S3NS en esta página.

Tipo de encriptación Servicios compatibles Funciones
Google Cloud-powered encryption keys (Trusted Cloud encriptación predeterminada) Todos los Trusted Cloud servicios que almacenan datos del cliente
  • No se requiere configuración.
  • Encripta automáticamente los datos del cliente guardados en cualquier servicio de Trusted Cloud by S3NS .
  • La mayoría de los servicios rotan las claves automáticamente.
  • Admite la encriptación con AES-256.
  • Validación con FIPS 140-2 nivel 1.
Claves de encriptación administradas por el cliente: Software
(claves de Cloud KMS)		 Más de 40 servicios
Claves de encriptación administradas por el cliente: externas
(claves de Cloud EKM)		 Más de 30 servicios
  • Controlas los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves.
  • Las claves nunca se envían a Google.
  • El material de la clave reside en un proveedor externo de administración de claves (EKM) compatible.
  • Los servicios Trusted Cloud compatibles se conectan a tu proveedor de EKM a través de una nube privada virtual (VPC).
  • Admite claves simétricas para la encriptación y la desencriptación.
  • Rota tus claves manualmente en coordinación con Cloud EKM y tu proveedor de EKM.
  • Validado según el nivel 2 o el nivel 3 del estándar FIPS 140-2, según el EKM
  • Las claves son exclusivas de un cliente.
Encriptación del cliente con claves de Cloud KMS Usar bibliotecas cliente en tus aplicaciones
Cloud HSM para Google Workspace Usa claves de Cloud HSM para la encriptación del cliente en Google Workspace
  • Controlas el programa de rotación automática de claves, los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves.
  • Usa claves simétricas para la encriptación y desencriptación.
Claves de encriptación proporcionadas por el cliente
  • Proporcionas materiales clave cuando es necesario.
  • El material de la clave reside en la memoria. Google no almacena tus claves de forma permanente en nuestros servidores.

Nota: Los precios varían según el tipo de encriptación y el nivel de protección. Para obtener más información, consulta los detalles de precios que te proporcionó Trusted Cloud.

Protección de datos en Trusted Cloud by S3NS

Google Cloud-powered encryption keys (Trusted Cloud encriptación predeterminada)

De forma predeterminada, los datos en reposo en Trusted Cloud están protegidos por claves en Keystore,el servicio interno de administración de claves de Trusted Cloud. Trusted Cloudadministra automáticamente las claves del almacén de claves, por lo que no es necesario que realices ninguna configuración. La mayoría de los servicios rotan las claves automáticamente por ti. Keystore admite una versión de clave primaria y una cantidad limitada de versiones de clave anteriores. La versión de clave primaria se usa para encriptar las claves de encriptación de datos nuevas. Las versiones de clave anteriores aún se pueden usar para desencriptar las claves de encriptación de datos existentes. No puedes ver ni administrar estas claves, ni revisar los registros de uso de las claves. Los datos de varios clientes pueden usar la misma clave de encriptación de claves.

Esta encriptación predeterminada usa módulos criptográficos validados como compatibles con el nivel 1 de FIPS 140-2.

Claves de encriptación administradas por el cliente (CMEK)

Las claves de Cloud KMS que se usan para proteger tus recursos en los servicios integrados en CMEK son claves de encriptación administradas por el cliente (CMEK).

Puedes usar tus claves de Cloud KMS en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:

  • Tus claves de encriptación son tuyas.

  • Controla y administra tus claves de encriptación, lo que incluye la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.

  • Borra de forma selectiva los datos protegidos por tus claves en caso de baja o para corregir eventos de seguridad (destrucción criptográfica).

  • Crea claves dedicadas de un solo arrendatario que establezcan un límite criptográfico alrededor de tus datos.

  • Registra el acceso administrativo y a los datos a las claves de encriptación.

  • Cumplir con las reglamentaciones actuales o futuras que requieran cualquiera de estos objetivos

Cuando usas claves de Cloud KMS con servicios integrados en CMEK, puedes usar políticas de la organización para garantizar que las CMEK se usen según lo especificado en las políticas. Por ejemplo, puedes establecer una política de la organización que garantice que tus recursos Trusted Cloud compatibles usen tus claves de Cloud KMS para la encriptación. Las políticas de la organización también pueden especificar en qué proyecto deben residir los recursos clave.

Las funciones y el nivel de protección que se proporcionan dependen del nivel de protección de la clave:

  • Claves de software: Puedes generar claves de software en Cloud KMS y usarlas en todas las ubicaciones de Trusted Cloud . Puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software administradas por el cliente usan módulos de criptografía de software validados por el nivel 1 del estándar FIPS 140-2. También tienes control sobre el período de rotación, los roles y permisos de Identity and Access Management (IAM), y las políticas de la organización que rigen tus claves. Puedes usar tus claves de software con muchos recursos Trusted Cloud compatibles.

  • Claves de software importadas: Puedes importar claves de software que creaste en otro lugar para usarlas en Cloud KMS. Puedes importar versiones de clave nuevas para rotar manualmente las claves importadas. Puedes usar roles y permisos de IAM, y políticas de la organización para controlar el uso de las claves importadas.

  • Claves externas y Cloud EKM: Puedes usar claves que residen en un administrador de claves externo (EKM). Cloud EKM te permite usar claves almacenadas en un administrador de claves compatible para proteger tusTrusted Cloud recursos. Te conectas a tu EKM a través de una nube privada virtual (VPC). Algunos Trusted Cloud servicios que admiten claves de Cloud KMS no admiten claves de Cloud EKM.

Claves de Cloud KMS

Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas con las bibliotecas cliente de Cloud KMS o la API de Cloud KMS. Las bibliotecas cliente y la API te permiten encriptar y desencriptar datos, firmar datos y validar firmas.

Claves de Cloud HSM

Puedes usar tus claves de Cloud HSM en Cloud HSM para Google Workspace para administrar las claves que se usan para la encriptación del cliente (CSE) en Google Workspace. Puedes incorporar Cloud HSM a Google Workspace.

Claves de encriptación proporcionadas por el cliente (CSEK)

Cloud Storage puede usar claves de encriptación proporcionadas por el cliente (CSEK). Con las claves de encriptación proporcionadas por el cliente, almacenas el material de la clave y lo proporcionas a Cloud Storage cuando sea necesario. Trusted Cloud no almacena tus CSEK de ninguna manera.