Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) consente di creare e gestire le chiavi di crittografia da utilizzare nei servizi Trusted Cloud by S3NS compatibili e nelle tue applicazioni. Utilizzando Cloud KMS, puoi:

Genera chiavi software, importa chiavi esistenti in Cloud KMS o collega chiavi esterne nel tuo sistema di gestione delle chiavi esterne (EKM) compatibile.
Utilizza le chiavi di crittografia gestite dal cliente (CMEK) nei prodotti Trusted Cloud con integrazione CMEK. Le integrazioni CMEK utilizzano le chiavi Cloud KMS per criptare o "aggregare" le chiavi di crittografia dei dati (DEK). Il wrapping delle DEK con chiavi di crittografia della chiave (KEK) è chiamato crittografia envelope.
Utilizza le chiavi Cloud KMS per le operazioni di crittografia e decrittografia. Ad esempio, puoi utilizzare l'API Cloud KMS o le librerie client per utilizzare le chiavi Cloud KMS per la crittografia lato client.
Utilizza le chiavi Cloud KMS per creare o verificare firme digitali o firme del codice di autenticazione del messaggio (MAC).

Scegliere la crittografia giusta per le tue esigenze

Puoi utilizzare la seguente tabella per identificare il tipo di crittografia più adatto alle tue esigenze per ogni caso d'uso. La soluzione migliore per le tue esigenze potrebbe includere un mix di approcci di crittografia. Ad esempio, potresti utilizzare chiavi software per i dati meno sensibili e chiavi esterne per i dati più sensibili. Per ulteriori informazioni sulle opzioni di crittografia descritte in questa sezione, consulta Protezione dei dati in Trusted Cloud by S3NS in questa pagina.

Tipo di crittografia	Servizi compatibili	Funzionalità
Google Cloud-powered encryption keys (crittografia predefinitaTrusted Cloud )	Tutti i Trusted Cloud servizi che archiviano i dati dei clienti	Nessuna configurazione richiesta. Cripta automaticamente i dati dei clienti salvati in qualsiasi servizio Trusted Cloud by S3NS . La maggior parte dei servizi ruota automaticamente le chiavi. Supporta la crittografia utilizzando AES-256. FIPS 140-2 Livello 1 convalidato.
Chiavi di crittografia gestite dal cliente - software (chiavi Cloud KMS)	Più di 40 servizi	Controlli la pianificazione della rotazione automatica delle chiavi, i ruoli e le autorizzazioni IAM, l'attivazione, la disattivazione o l'eliminazione delle versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per la crittografia e la decrittografia. Ruota automaticamente le chiavi simmetriche. Supporta diversi algoritmi comuni. FIPS 140-2 Livello 1 convalidato. Le chiavi sono univoche per un cliente.
Chiavi di crittografia gestite dal cliente - esterne (chiavi Cloud EKM)	30+ servizi	Controlli i ruoli e le autorizzazioni IAM; abilita, disabilita o elimina le versioni delle chiavi. Le chiavi non vengono mai inviate a Google. Il materiale della chiave si trova in un provider di gestione delle chiavi esterne (EKM) compatibile. I servizi compatibili Trusted Cloud si connettono al tuo provider EKM tramite un Virtual Private Cloud (VPC). Supporta le chiavi simmetriche per crittografia e decrittografia. Esegui manualmente la rotazione delle chiavi in coordinamento con Cloud EKM e il tuo provider EKM. Convalida FIPS 140-2 livello 2 o FIPS 140-2 livello 3, a seconda della EKM. Le chiavi sono univoche per un cliente.
Crittografia lato client utilizzando le chiavi Cloud KMS	Utilizza le librerie client nelle tue applicazioni	Controlli la pianificazione della rotazione automatica delle chiavi, i ruoli e le autorizzazioni IAM, l'attivazione, la disattivazione o l'eliminazione delle versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per crittografia, decrittografia, firma e convalida della firma. La funzionalità varia in base al livello di protezione della chiave.
Cloud HSM per Google Workspace	Utilizzare le chiavi Cloud HSM per la crittografia lato client in Google Workspace	Controlli la pianificazione della rotazione automatica delle chiavi, i ruoli e le autorizzazioni IAM, l'attivazione, la disattivazione o l'eliminazione delle versioni delle chiavi. Utilizza chiavi simmetriche per la crittografia e la decrittografia.
Chiavi di crittografia fornite dal cliente	Cloud Storage	Fornisci i materiali chiave quando necessario. Il materiale della chiave risiede in memoria. Google non archivia permanentemente le chiavi sui nostri server.

Nota: i prezzi variano in base al tipo di crittografia e al livello di protezione. Per ulteriori informazioni, consulta i dettagli dei prezzi condivisi con te da Trusted Cloud.

Protezione dei dati in Trusted Cloud by S3NS

Google Cloud-powered encryption keys (crittografia predefinitaTrusted Cloud )

Per impostazione predefinita, i dati at-rest in Trusted Cloud sono protetti da chiavi in Keystore, Trusted Cloudil Key Management Service interno. Le chiavi in Keystore vengono gestite automaticamente da Trusted Cloud, senza richiedere alcuna configurazione da parte tua. La maggior parte dei servizi ruota automaticamente le chiavi per te. Keystore supporta una versione chiave primaria e un numero limitato di versioni precedenti della chiave. La versione chiave primaria viene utilizzata per criptare le nuove chiavi di crittografia dei dati. Le versioni precedenti della chiave possono comunque essere utilizzate per decriptare le chiavi di crittografia dei dati esistenti. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave.

Questa crittografia predefinita utilizza moduli crittografici convalidati come conformi allo standard FIPS 140-2 livello 1.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi Cloud KMS utilizzate per proteggere le risorse nei servizi integrati con CMEK sono chiavi di crittografia gestite dal cliente (CMEK).

Puoi utilizzare le chiavi Cloud KMS nei servizi compatibili per raggiungere i seguenti obiettivi:

Possedere le chiavi di crittografia.
Controlla e gestisci le chiavi di crittografia, inclusi scelta della posizione, livello di protezione, creazione, controllo dell'accesso, rotazione, utilizzo e distruzione.
Elimina selettivamente i dati protetti dalle tue chiavi in caso di offboarding o per correggere eventi di sicurezza (distruzione crittografica).
Crea chiavi dedicate e single-tenant che stabiliscono un limite crittografico intorno ai tuoi dati.
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.
Rispetto delle normative attuali o future che richiedono uno di questi obiettivi.

Quando utilizzi le chiavi Cloud KMS con i servizi integrati con CMEK, puoi utilizzare i criteri dell'organizzazione per assicurarti che le CMEK vengano utilizzate come specificato nei criteri. Ad esempio, puoi impostare una policy dell'organizzazione che garantisca che le tue risorse Trusted Cloud compatibili utilizzino le tue chiavi Cloud KMS per la crittografia. I criteri dell'organizzazione possono anche specificare in quale progetto devono risiedere le risorse chiave.

Le funzionalità e il livello di protezione forniti dipendono dal livello di protezione della chiave:

Chiavi software: puoi generare chiavi software in Cloud KMS e utilizzarle in tutte le Trusted Cloud posizioni. Puoi creare chiavi simmetriche con rotazione automatica o chiavi asimmetriche con rotazione manuale. Le chiavi software gestite dal cliente utilizzano moduli di crittografia software convalidati FIPS 140-2 livello 1. Hai anche il controllo del periodo di rotazione, dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) e dei criteri dell'organizzazione che regolano le chiavi. Puoi utilizzare le chiavi software con molte risorse compatibili Trusted Cloud.
Chiavi software importate: puoi importare chiavi software che hai creato altrove per utilizzarle in Cloud KMS. Puoi importare nuove versioni della chiave per ruotare manualmente le chiavi importate. Puoi utilizzare i ruoli e le autorizzazioni IAM e i criteri dell'organizzazione per controllare l'utilizzo delle chiavi importate.
Chiavi esterne e Cloud EKM: puoi utilizzare le chiavi che si trovano in un gestore di chiavi esterno (EKM). Cloud EKM ti consente di utilizzare le chiavi archiviate in un gestore delle chiavi supportato per proteggere le tue risorseTrusted Cloud . Ti connetti a EKM tramite un Virtual Private Cloud (VPC). Alcuni Trusted Cloud servizi che supportano le chiavi Cloud KMS non supportano le chiavi Cloud EKM.

Chiavi Cloud KMS

Puoi utilizzare le chiavi Cloud KMS nelle applicazioni personalizzate utilizzando le librerie client Cloud KMS o l'API Cloud KMS. Le librerie client e l'API ti consentono di criptare e decriptare i dati, firmarli e convalidare le firme.

Chiavi Cloud HSM

Puoi utilizzare le chiavi Cloud HSM in Cloud HSM per Google Workspace per gestire le chiavi utilizzate per la crittografia lato client (CSE) in Google Workspace. Puoi eseguire l'onboarding a Cloud HSM per Google Workspace.

Chiavi di crittografia fornite dal cliente (CSEK)

Cloud Storage può utilizzare le chiavi di crittografia fornite dal cliente (CSEK). Con le chiavi di crittografia fornite dal cliente, memorizzi il materiale della chiave e lo fornisci a Cloud Storage quando necessario. Trusted Cloud non memorizza in alcun modo le tue CSEK.