Mit Cloud Key Management Service (Cloud KMS) können Sie kryptografische Schlüssel für die Verwendung in kompatiblen Trusted Cloud by S3NS Diensten und in Ihren eigenen Anwendungen erstellen und verwalten. Mit Cloud KMS können Sie Folgendes tun:
- Sie können Softwareschlüssel generieren, vorhandene Schlüssel in Cloud KMS importieren oder externe Schlüssel in Ihrem kompatiblen externen Schlüsselverwaltungssystem (EKM) verknüpfen.
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) in Trusted Cloud-Produkten mit CMEK-Integration verwenden Bei CMEK-Integrationen werden Ihre Cloud KMS-Schlüssel verwendet, um Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) zu verschlüsseln oder zu „verpacken“. Das Umschließen von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung bezeichnet.
- Cloud KMS-Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden Sie können beispielsweise die Cloud KMS API oder Clientbibliotheken verwenden, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu nutzen.
- Mit Cloud KMS-Schlüsseln können Sie digitale Signaturen oder MAC-Signaturen (Message Authentication Code) erstellen oder überprüfen.
Die richtige Verschlüsselung für Ihre Anforderungen auswählen
In der folgenden Tabelle sehen Sie, welche Art der Verschlüsselung für die einzelnen Anwendungsfälle am besten geeignet ist. Die beste Lösung für Ihre Anforderungen kann eine Kombination aus verschiedenen Verschlüsselungsansätzen sein. Sie können beispielsweise Softwareschlüssel für Ihre am wenigsten sensiblen Daten und externe Schlüssel für Ihre sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Trusted Cloud by S3NSschützen.
| Verschlüsselungstyp | Kompatible Dienste | Features |
|---|---|---|
| Google Cloud-powered encryption keys (Trusted Cloud Standardverschlüsselung) | Alle Trusted Cloud Dienste, in denen Kundendaten gespeichert werden |
|
| Vom Kunden verwaltete Verschlüsselungsschlüssel – Software (Cloud KMS-Schlüssel) |
Mehr als 40 Dienste |
|
| Vom Kunden verwaltete Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel) |
Über 30 Dienste |
|
| Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln | Clientbibliotheken in Ihren Anwendungen verwenden |
|
| Cloud HSM für Google Workspace | Cloud HSM-Schlüssel für die clientseitige Verschlüsselung in Google Workspace verwenden |
|
| Vom Kunden bereitgestellte Verschlüsselungsschlüssel |
|
Hinweis: Die Preise variieren je nach Verschlüsselungstyp und Schutzstufe. Weitere Informationen finden Sie in den Preisdetails, die Ihnen von Trusted Cloudzur Verfügung gestellt wurden.
Daten in Trusted Cloud by S3NSschützen
Google Cloud-powered encryption keys (Trusted Cloud Standardverschlüsselung)
Standardmäßig werden inaktive Daten in Trusted Cloud durch Schlüssel in Keystore, Trusted Clouddem internen Key Management Service von Trusted Cloud ,geschützt. Schlüssel im Keystore werden automatisch von Trusted Cloudverwaltet. Sie müssen nichts konfigurieren. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Der Keystore unterstützt eine primäre Schlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die primäre Schlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Ältere Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden. Sie können diese Schlüssel weder ansehen noch verwalten und auch keine Logs zur Schlüsselnutzung aufrufen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel verwendet werden.
Für diese Standardverschlüsselung werden Verschlüsselungsmodule verwendet, die FIPS 140-2 Level 1-konform sind.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)
Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in CMEK-integrierten Diensten verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).
Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:
Sie sind Inhaber Ihrer Verschlüsselungsschlüssel.
Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel und können sie verwalten, einschließlich der Auswahl des Speicherorts, des Schutzlevels, der Erstellung, der Zugriffssteuerung, der Rotation, der Verwendung und der Vernichtung.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, selektiv löschen, wenn Sie die Nutzung von Google Workspace einstellen oder Sicherheitsereignisse beheben möchten (Krypto-Shredding).
Erstellen Sie dedizierte Single-Tenant-Schlüssel, die eine kryptografische Grenze um Ihre Daten bilden.
Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Einhaltung aktueller oder zukünftiger Vorschriften, die eines dieser Ziele erfordern.
Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie Organisationsrichtlinien verwenden, um sicherzustellen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, mit der sichergestellt wird, dass Ihre kompatiblen Trusted Cloud Ressourcen Ihre Cloud KMS-Schlüssel für die Verschlüsselung verwenden. In Organisationsrichtlinien kann auch angegeben werden, in welchem Projekt sich die Schlüsselressourcen befinden müssen.
Die Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:
Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Trusted Cloud Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Für vom Kunden verwaltete Softwareschlüssel werden gemäß FIPS 140-2 Level 1 validierte Softwarekryptografiemodule verwendet. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen (Identity and Access Management) und -Berechtigungen sowie Organisationsrichtlinien, die Ihre Schlüssel regeln. Sie können Ihre Softwareschlüssel mit vielen kompatiblen Trusted CloudRessourcen verwenden.
Importierte Softwareschlüssel: Sie können Softwareschlüssel, die Sie an anderer Stelle erstellt haben, zur Verwendung in Cloud KMS importieren. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen und ‑Berechtigungen sowie Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem externen Schlüsselmanager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel verwenden, die in einem unterstützten Schlüsselverwaltungssystem gespeichert sind, um IhreTrusted Cloud -Ressourcen zu schützen. Sie stellen über eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM her. Einige Trusted Cloud Dienste, die Cloud KMS-Schlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.
Cloud KMS-Schüssel
Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen mit den Cloud KMS-Clientbibliotheken oder der Cloud KMS API verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen validieren.
Cloud HSM-Schlüssel
Sie können Ihre Cloud HSM-Schlüssel in Cloud HSM für Google Workspace verwenden, um die Schlüssel zu verwalten, die für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace verwendet werden. Sie können Cloud HSM für Google Workspace einrichten.