Información general sobre Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) te permite crear y gestionar claves criptográficas para usarlas en servicios compatibles Trusted Cloud by S3NS y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:

Elige el cifrado adecuado para tus necesidades

Puedes usar la siguiente tabla para identificar qué tipo de cifrado se adapta a tus necesidades en cada caso práctico. La mejor solución para tus necesidades puede incluir una combinación de métodos de cifrado. Por ejemplo, puedes usar claves de software para tus datos menos sensibles y claves externas para tus datos más sensibles. Para obtener más información sobre las opciones de cifrado descritas en esta sección, consulta Proteger datos en Trusted Cloud by S3NS en esta página.

Tipo de cifrado Servicios compatibles Funciones
Google Cloud-powered encryption keys (cifrado predeterminado deTrusted Cloud ) Todos los Trusted Cloud servicios que almacenan datos de clientes
  • No necesitas configurar nada.
  • Cifra automáticamente los datos de los clientes guardados en cualquier Trusted Cloud by S3NS servicio.
  • La mayoría de los servicios rotan las claves automáticamente.
  • Admite el cifrado con AES-256.
  • Validación FIPS 140-2 de nivel 1.
Claves de encriptado gestionadas por el cliente: software
(claves de Cloud KMS)		 Más de 40 servicios
Claves de encriptado gestionadas por el cliente (externas)
(claves de Cloud EKM)		 Más de 30 servicios
  • Tú controlas los roles y permisos de gestión de identidades y accesos, y puedes habilitar, inhabilitar o destruir versiones de claves.
  • Las llaves nunca se envían a Google.
  • El material de la clave se encuentra en un proveedor de gestión de claves externo (EKM) compatible.
  • Los servicios compatibles Trusted Cloud se conectan a tu proveedor de EKM a través de una nube privada virtual (VPC).
  • Admite claves simétricas para cifrado y descifrado.
  • Rota manualmente las claves en coordinación con Cloud EKM y tu proveedor de EKM.
  • Validado según el estándar FIPS 140-2 de nivel 2 o de nivel 3, en función del EKM.
  • Las claves son exclusivas de un cliente.
Cifrado del lado del cliente con claves de Cloud KMS Usar bibliotecas de cliente en tus aplicaciones
  • Tú controlas la programación de la rotación automática de claves, los roles y permisos de gestión de identidades y accesos, y la habilitación, inhabilitación o eliminación de versiones de claves.
  • Admite claves simétricas y asimétricas para cifrado, descifrado, firma y validación de firmas.
  • Las funciones varían según el nivel de protección de la clave.
Claves de encriptado proporcionadas por el cliente
  • Proporcionas materiales clave cuando es necesario.
  • El material de la clave reside en la memoria. Google no almacena tus claves en sus servidores de forma permanente.

Nota: Los precios varían en función del tipo de cifrado y del nivel de protección. Para obtener más información, consulta los detalles de los precios que te ha proporcionado Trusted Cloud.

Protección de datos en Trusted Cloud by S3NS

Google Cloud-powered encryption keys (cifrado predeterminado deTrusted Cloud )

De forma predeterminada, los datos en reposo de Trusted Cloud están protegidos por claves de Keystore, Trusted Cloudel servicio de gestión de claves interno. Trusted Cloudgestiona automáticamente las claves de Keystore, por lo que no tienes que hacer nada. La mayoría de los servicios rotan las claves automáticamente. Keystore admite una versión de clave principal y un número limitado de versiones de clave anteriores. La versión de clave principal se usa para cifrar las nuevas claves de cifrado de datos. Las versiones de clave anteriores se pueden seguir usando para desencriptar las claves de cifrado de datos. No puedes ver ni gestionar estas claves, ni consultar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave de cifrado de claves.

Este cifrado predeterminado utiliza módulos criptográficos validados para cumplir el estándar FIPS 140-2 de nivel 1.

Claves de encriptado gestionadas por el cliente (CMEKs)

Las claves de Cloud KMS que se usan para proteger tus recursos en servicios integrados con CMEK son claves de cifrado gestionadas por el cliente (CMEKs).

Puedes usar tus claves de Cloud KMS en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:

  • Tener tus propias claves de cifrado.

  • Controla y gestiona tus claves de cifrado, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.

  • Elimina de forma selectiva los datos protegidos por tus claves en caso de baja o para solucionar problemas de seguridad (destrucción criptográfica).

  • Crea claves de un solo arrendatario específicas que establezcan un límite criptográfico en torno a tus datos.

  • Registra el acceso administrativo y de datos a las claves de cifrado.

  • Cumplir la normativa actual o futura que requiera alguno de estos objetivos.

Cuando usas claves de Cloud KMS con servicios integrados con CMEK, puedes usar políticas de la organización para asegurarte de que las CMEK se usen tal como se especifica en las políticas. Por ejemplo, puedes definir una política de la organización que asegure que tus recursos compatibles Trusted Cloud utilicen tus claves de Cloud KMS para el cifrado. Las políticas de organización también pueden especificar en qué proyecto deben residir los recursos clave.

Las funciones y el nivel de protección proporcionados dependen del nivel de protección de la clave:

  • Claves de software: puedes generar claves de software en Cloud KMS y usarlas en todas las Trusted Cloud ubicaciones. Puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software gestionadas por el cliente usan módulos de criptografía de software con validación FIPS 140-2 de nivel 1. También puedes controlar el periodo de rotación, los roles y permisos de Gestión de Identidades y Accesos (IAM), y las políticas de la organización que rigen tus claves. Puedes usar tus claves de software con muchos recursos compatibles Trusted Cloud.

  • Claves de software importadas: puedes importar claves de software que hayas creado en otro lugar para usarlas en Cloud KMS. Puedes importar nuevas versiones de claves para rotar manualmente las claves importadas. Puedes usar roles y permisos de gestión de identidades y accesos, así como políticas de la organización, para controlar el uso de las claves importadas.

  • Claves externas y Cloud EKM: puedes usar claves que residan en un gestor de claves externo (EKM). Cloud EKM te permite usar claves almacenadas en un gestor de claves admitido para proteger tusTrusted Cloud recursos. Te conectas a tu EKM a través de una nube privada virtual (VPC). Algunos Trusted Cloud servicios que admiten claves de Cloud KMS no admiten claves de Cloud EKM.

Claves de Cloud KMS

Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas mediante las bibliotecas de cliente de Cloud KMS o la API de Cloud KMS. Las bibliotecas cliente y la API te permiten encriptar y desencriptar datos, firmar datos y validar firmas.

Claves de cifrado proporcionadas por el cliente (CSEKs)

Cloud Storage puede usar claves de encriptado proporcionadas por el cliente (CSEKs). Con las claves de encriptado proporcionadas por el cliente, almacenas el material de la clave y lo proporcionas a Cloud Storage cuando sea necesario. Trusted Cloud no almacena tus CSEKs de ninguna forma.