Cloud Key Management Service (Cloud KMS) te permite crear y administrar claves criptográficas para usarlas en servicios Cloud de Confiance by S3NS compatibles y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:
- Genera claves de software, importa claves existentes a Cloud KMS o vincula claves externas en tu sistema de administración de claves externas (EKM) compatible.
- Usar claves de encriptación administradas por el cliente (CMEK) en productos con integración de CMEK. Cloud de ConfianceLas integraciones de CMEK usan tus claves de Cloud KMS para encriptar o "unir" tus claves de encriptación de datos (DEK). El proceso de unir las DEK con claves de encriptación de claves (KEK) se denomina encriptación de sobre.
- Usar claves de Cloud KMS para operaciones de encriptación y desencriptación Por ejemplo, puedes usar la API o las bibliotecas cliente de Cloud KMS para usar tus claves de Cloud KMS para la encriptación del cliente.
- Usa claves de Cloud KMS para crear o verificar firmas digitales o firmas de código de autenticación de mensajes (MAC).
- Usa claves de Cloud KMS para establecer secretos compartidos con mecanismos de encapsulación de claves.
Elige el tipo de encriptación adecuado para tus necesidades
Puedes usar la siguiente tabla para identificar qué tipo de encriptación satisface tus necesidades para cada caso de uso. La mejor solución para tus necesidades podría incluir una combinación de enfoques de encriptación. Por ejemplo, puedes usar claves de software para tus datos menos sensibles y claves externas para tus datos más sensibles. Para obtener más información sobre las opciones de encriptación que se describen en esta sección, consulta Protección de datos en Cloud de Confiance by S3NS en esta página.
| Tipo de encriptación | Servicios compatibles | Funciones |
|---|---|---|
| Google Cloud-powered encryption keys (Cloud de Confiance encriptación predeterminada) | Todos los Cloud de Confiance servicios que almacenan datos del cliente |
|
| Claves de encriptación administradas por el cliente: Software (claves de Cloud KMS) |
Más de 40 servicios |
|
| Claves de encriptación administradas por el cliente: externas (claves de Cloud EKM) |
Más de 30 servicios |
|
| Encriptación del cliente con claves de Cloud KMS | Usar bibliotecas cliente en tus aplicaciones |
|
| Claves de encriptación proporcionadas por el cliente |
|
Nota: Los precios varían según el tipo de encriptación y el nivel de protección. Para obtener más información, consulta los detalles de precios que te proporcionó Cloud de Confiance.
Protección de datos en Cloud de Confiance by S3NS
Google Cloud-powered encryption keys (Cloud de Confiance encriptación predeterminada)
De forma predeterminada, los datos en reposo en Cloud de Confiance están protegidos por claves en Keystore,el servicio interno de administración de claves de Cloud de Confiance. Cloud de Confianceadministra automáticamente las claves en Keystore, sin necesidad de que realices ninguna configuración. La mayoría de los servicios rotan las claves automáticamente por ti. Keystore admite una versión de clave primaria y una cantidad limitada de versiones de clave anteriores. La versión de clave primaria se usa para encriptar las claves de encriptación de datos nuevas. Las versiones de clave anteriores aún se pueden usar para desencriptar las claves de encriptación de datos existentes. No puedes ver ni administrar estas claves, ni revisar los registros de uso de las claves. Los datos de varios clientes pueden usar la misma clave de encriptación de claves.
Esta encriptación predeterminada usa módulos criptográficos validados para cumplir con el nivel 1 del estándar FIPS 140-3.
Claves de encriptación administradas por el cliente (CMEK)
Las claves de Cloud KMS que se usan para proteger tus recursos en los servicios integrados en CMEK son claves de encriptación administradas por el cliente (CMEK).
Puedes usar tus claves de Cloud KMS en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:
Ser propietario de las claves de encriptación
Controlar y administrar tus claves de encriptación, incluida la elección de su ubicación, su nivel de protección, creación, control de acceso, rotación, uso y destrucción
Borrar de forma selectiva los datos protegidos por tus claves en caso de una desvinculación o para corregir incidentes de seguridad (destrucción criptográfica)
Crear claves de un solo arrendatario dedicadas que establezcan un límite criptográfico alrededor de tus datos
Registrar el acceso administrativo y a los datos en las claves de encriptación
Cumplir con las reglamentaciones actuales o futuras que requieran cualquiera de estos objetivos
Cuando usas claves de Cloud KMS con servicios integrados en CMEK, puedes usar políticas de la organización para garantizar que las CMEK se usen según lo especificado en las políticas. Por ejemplo, puedes establecer una política de la organización que garantice que tus recursos Cloud de Confiance compatibles usen tus claves de Cloud KMS para la encriptación. Las políticas de la organización también pueden especificar en qué proyecto deben residir los recursos clave.
Las funciones y el nivel de protección que se proporcionan dependen del nivel de protección de la clave:
Claves de software: Puedes generar claves de software en Cloud KMS y usarlas en todas las ubicaciones Cloud de Confiance . Puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software administradas por el cliente usan módulos de criptografía de software validados por el nivel 1 de FIPS 140-3. También tienes control sobre el período de rotación, los roles y permisos de Identity and Access Management (IAM), y las políticas de la organización que rigen tus claves. Puedes usar tus claves de software con muchos recursos compatibles Cloud de Confiance.
Claves de software importadas: Puedes importar claves de software que creaste en otro lugar para usarlas en Cloud KMS. Puedes importar versiones de claves nuevas para rotar manualmente las claves importadas. Puedes usar roles y permisos de IAM, y políticas de la organización para controlar el uso de las claves importadas.
Claves externas y Cloud EKM: Puedes usar claves que residen en un administrador de claves externo (EKM). Cloud EKM te permite usar claves que se encuentran en un administrador de claves compatible para proteger tus recursos deCloud de Confiance . Puedes conectarte a tu EKM a través de Internet o de una nube privada virtual (VPC). Algunos Cloud de Confiance servicios que admiten claves de Cloud KMS no admiten claves de Cloud EKM.
Claves de Cloud KMS
Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas con las bibliotecas cliente de Cloud KMS o la API de Cloud KMS. Las bibliotecas cliente y la API te permiten encriptar y desencriptar datos, firmar datos y validar firmas.