Visão geral do Cloud Key Management Service

Com o Cloud Key Management Service (Cloud KMS), você cria e gerencia chaves criptográficas para uso em serviços Trusted Cloud by S3NS compatíveis e em seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:

Escolher a criptografia certa para suas necessidades

Use a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades em cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, você pode usar chaves de software para os dados menos sensíveis e chaves externas para os dados mais sensíveis. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Proteção de dados no Trusted Cloud by S3NS nesta página.

Tipo de criptografia Serviços compatíveis Recursos
Google Cloud-powered encryption keys (criptografia padrãoTrusted Cloud ) Todos os serviços Trusted Cloud que armazenam dados de clientes
  • Não é necessário configurar.
  • Criptografa automaticamente os dados do cliente salvos em qualquer serviço do Trusted Cloud by S3NS .
  • A maioria dos serviços faz a rotação automática das chaves.
  • Aceita criptografia usando AES-256.
  • Validação FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente: software
(chaves do Cloud KMS)		 Mais de 40 serviços
Chaves de criptografia gerenciadas pelo cliente - externas
(chaves do Cloud EKM)		 Mais de 30 serviços
  • Você controla as funções e permissões do IAM, além de ativar, desativar ou destruir versões de chaves.
  • As chaves nunca são enviadas ao Google.
  • O material da chave reside em um provedor de gerenciamento de chaves externas (EKM) compatível.
  • Os serviços compatíveis Trusted Cloud se conectam ao provedor de EKM por uma nuvem privada virtual (VPC).
  • Aceita chaves simétricas para criptografia e descriptografia.
  • Faça a rotação manual das chaves em coordenação com o Cloud EKM e seu provedor de EKM.
  • FIPS 140-2 Nível 2 ou FIPS 140-2 Nível 3 validado, dependendo do EKM.
  • As chaves são exclusivas para um cliente.
Criptografia do lado do cliente usando chaves do Cloud KMS Usar bibliotecas de cliente nos seus aplicativos
  • Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves.
  • Suporta chaves simétricas e assimétricas para criptografia, descriptografia, assinatura e validação de assinatura.
  • A funcionalidade varia de acordo com o nível de proteção da chave.
Cloud HSM para Google Workspace Usar chaves do Cloud HSM para criptografia do lado do cliente no Google Workspace
  • Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves.
  • Use chaves simétricas para criptografia e descriptografia.
Chaves de criptografia fornecidas pelo cliente
  • Você fornece materiais importantes quando necessário.
  • O material da chave fica na memória. O Google não armazena permanentemente suas chaves nos nossos servidores.

Observação: os preços variam de acordo com o tipo de criptografia e o nível de proteção. Para mais informações, consulte os detalhes de preços compartilhados com você por Trusted Cloud.

Como proteger dados em Trusted Cloud by S3NS

Google Cloud-powered encryption keys (criptografia padrãoTrusted Cloud )

Por padrão, os dados em repouso no Trusted Cloud são protegidos por chaves no Keystore,o serviço interno de gerenciamento de chaves do Trusted Cloud. As chaves no Keystore são gerenciadas automaticamente pelo Trusted Cloud, sem necessidade de configuração da sua parte. A maioria dos serviços faz a rotação automática das chaves para você. O keystore oferece suporte a uma versão de chave primária e a um número limitado de versões de chave mais antigas. A versão chave primária é usada para criptografar novas chaves de criptografia de dados. As versões de chave mais antigas ainda podem ser usadas para descriptografar chaves de criptografia de dados atuais. Não é possível ver, gerenciar ou analisar os registros de uso dessas chaves. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves.

Essa criptografia padrão usa módulos criptográficos validados como compatíveis com o FIPS 140-2 Nível 1.

Chaves de criptografia gerenciadas pelo cliente (CMEKs)

As chaves do Cloud KMS usadas para proteger seus recursos em serviços integrados à CMEK são chaves de criptografia gerenciadas pelo cliente (CMEKs).

Você pode usar as chaves do Cloud KMS em serviços compatíveis para ajudar a atingir as seguintes metas:

  • Ter suas próprias chaves de criptografia.

  • Controle e gerencie suas chaves de criptografia, incluindo escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.

  • Exclua seletivamente os dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (destruição criptografada).

  • Crie chaves dedicadas de locatário único que estabelecem um limite criptográfico em torno dos seus dados.

  • Registre o acesso administrativo e aos dados às chaves de criptografia.

  • Atender a regulamentações atuais ou futuras que exigem qualquer uma dessas metas.

Ao usar chaves do Cloud KMS com serviços integrados à CMEK, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que seus recursos compatíveis Trusted Cloud usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos principais precisam estar.

Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:

  • Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os locais do Trusted Cloud . É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados pelo FIPS 140-2 Nível 1. Você também tem controle sobre o período de rotação, os papéis e permissões do Identity and Access Management (IAM) e as políticas da organização que regem suas chaves. É possível usar as chaves de software com muitos recursos Trusted Cloud compatíveis.

  • Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. É possível importar novas versões de chave para alternar manualmente as chaves importadas. É possível usar papéis e permissões do IAM e políticas da organização para controlar o uso das chaves importadas.

  • Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externas (EKM). Com o Cloud EKM, você usa chaves armazenadas em um gerenciador de chaves compatível para proteger seus recursos doTrusted Cloud . Você se conecta ao EKM por uma nuvem privada virtual (VPC). Alguns serviços do Trusted Cloud que são compatíveis com chaves do Cloud KMS não são compatíveis com chaves do Cloud EKM.

Chaves do Cloud KMS

É possível usar as chaves do Cloud KMS em aplicativos personalizados com as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.

Chaves do Cloud HSM

Você pode usar as chaves do Cloud HSM no Cloud HSM para Google Workspace e gerenciar as chaves usadas para criptografia do lado do cliente (CSE) no Google Workspace. É possível integrar o Cloud HSM ao Google Workspace.

Chaves de criptografia fornecidas pelo cliente (CSEKs)

O Cloud Storage pode usar chaves de criptografia fornecidas pelo cliente (CSEKs). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage quando necessário. O Trusted Cloud não armazena suas CMEKs de forma alguma.