Vista geral do Cloud Key Management Service

O Cloud Key Management Service (Cloud KMS) permite-lhe criar e gerir chaves criptográficas para utilização em serviços compatíveis Cloud de Confiance by S3NS e nas suas próprias aplicações. Com o Cloud KMS, pode fazer o seguinte:

Escolha a encriptação certa para as suas necessidades

Pode usar a tabela seguinte para identificar que tipo de encriptação satisfaz as suas necessidades para cada exemplo de utilização. A melhor solução para as suas necessidades pode incluir uma combinação de abordagens de encriptação. Por exemplo, pode usar chaves de software para os dados menos confidenciais e chaves externas para os dados mais confidenciais. Para mais informações acerca das opções de encriptação descritas nesta secção, consulte Proteger dados no Cloud de Confiance by S3NS nesta página.

Tipo de encriptação Serviços compatíveis Funcionalidades
Google Cloud-powered encryption keys (Cloud de Confiance encriptação predefinida) Todos os Cloud de Confiance serviços que armazenam dados de clientes
  • Não é necessária configuração.
  • Encripta automaticamente os dados dos clientes guardados em qualquer Cloud de Confiance by S3NS serviço.
  • A maioria dos serviços roda automaticamente as chaves.
  • Suporta encriptação com AES-256.
  • FIPS 140-2 Nível 1 validado.
Chaves de encriptação geridas pelo cliente: software
(chaves do Cloud KMS)		 Mais de 40 serviços
Chaves de encriptação geridas pelo cliente – externas
(chaves do Cloud EKM)		 Mais de 30 serviços
  • Controla as funções e as autorizações de IAM; ativa, desativa ou destrói versões de chaves.
  • As chaves nunca são enviadas para a Google.
  • O material da chave reside num fornecedor de gestão de chaves externas (EKM) compatível.
  • Os serviços Cloud de Confiance compatíveis estabelecem ligação ao seu fornecedor de GCE através de uma nuvem virtual privada (VPC).
  • Suporta chaves simétricas para encriptação e desencriptação.
  • Rode manualmente as suas chaves em coordenação com o EKM na nuvem e o seu fornecedor de EKM.
  • Validação FIPS 140-2 Nível 2 ou FIPS 140-2 Nível 3, consoante o EKM.
  • As chaves são exclusivas de um cliente.
Encriptação por parte do cliente com chaves do Cloud KMS Use bibliotecas cliente nas suas aplicações
Chaves de encriptação fornecidas pelos clientes
  • Fornece materiais importantes quando necessário.
  • O material das chaves reside na memória. A Google não armazena permanentemente as suas chaves nos respetivos servidores.

Nota: os preços variam consoante o tipo de encriptação e o nível de proteção. Para mais informações, consulte os detalhes de preços partilhados consigo pela Cloud de Confiance.

Proteger os dados no Cloud de Confiance by S3NS

Google Cloud-powered encryption keys (Cloud de Confiance encriptação predefinida)

Por predefinição, os dados em repouso no Cloud de Confiance estão protegidos por chaves no serviço de gestão de chaves interno do Cloud de Confiance. As chaves no Keystore são geridas automaticamente pela Cloud de Confiance, sem configuração necessária da sua parte. A maioria dos serviços roda automaticamente as chaves por si. O arquivo de chaves suporta uma versão da chave principal e um número limitado de versões de chaves mais antigas. A versão da chave principal é usada para encriptar novas chaves de encriptação de dados. As versões mais antigas das chaves continuam a poder ser usadas para desencriptar as chaves de encriptação de dados existentes. Não pode ver nem gerir estas chaves, nem rever os registos de utilização das chaves. Os dados de vários clientes podem usar a mesma chave de encriptação de chaves.

Esta encriptação predefinida usa módulos criptográficos validados como estando em conformidade com a norma FIPS 140-2 Nível 1.

Chaves de encriptação geridas pelo cliente (CMEKs)

As chaves do Cloud KMS usadas para proteger os seus recursos nos serviços integrados com CMEK são chaves de encriptação geridas pelo cliente (CMEKs).

Pode usar as suas chaves do Cloud KMS em serviços compatíveis para ajudar a atingir os seguintes objetivos:

  • Seja proprietário das suas chaves de encriptação.

  • Controlar e gerir as suas chaves de encriptação, incluindo a escolha da localização, o nível de proteção, a criação, o controlo de acesso, a rotação, a utilização e a destruição.

  • Eliminar seletivamente dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (destruição criptográfica).

  • Crie chaves dedicadas de inquilino único que estabelecem um limite criptográfico em torno dos seus dados.

  • Registe o acesso administrativo e aos dados às chaves de encriptação.

  • Cumprir os regulamentos atuais ou futuros que exijam qualquer um destes objetivos.

Quando usa chaves do Cloud KMS com serviços integrados com CMEK, pode usar políticas da organização para garantir que as CMEKs são usadas conforme especificado nas políticas. Por exemplo, pode definir uma política da organização que garanta que os seus recursos compatíveis usam as suas chaves do Cloud KMS para encriptação. Cloud de Confiance As políticas da organização também podem especificar em que projeto os recursos principais têm de residir.

As funcionalidades e o nível de proteção oferecidos dependem do nível de proteção da chave:

  • Chaves de software: pode gerar chaves de software no Cloud KMS e usá-las em todas as Cloud de Confiance localizações. Pode criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software geridas pelo cliente usam módulos de criptografia de software validados pela FIPS 140-2 Nível 1. Também tem controlo sobre o período de rotação, as funções e as autorizações da gestão de identidade e de acesso (IAM) e as políticas da organização que regem as suas chaves. Pode usar as suas chaves de software com muitos recursos compatíveis Cloud de Confiance.

  • Chaves de software importadas: pode importar chaves de software que criou noutro local para utilização no Cloud KMS. Pode importar novas versões de chaves para alternar manualmente as chaves importadas. Pode usar funções e autorizações do IAM, bem como políticas da organização, para reger a utilização das chaves importadas.

  • Chaves externas e Cloud EKM: pode usar chaves que residam num gestor de chaves externo (EKM). O Cloud EKM permite-lhe usar chaves mantidas num gestor de chaves suportado para proteger os seusCloud de Confiance recursos. Estabelece ligação ao EKM através de uma nuvem virtual privada (VPC). Alguns Cloud de Confiance serviços que suportam chaves do KMS na nuvem não suportam chaves do EKM na nuvem.

Chaves do Cloud KMS

Pode usar as suas chaves do Cloud KMS em aplicações personalizadas através das bibliotecas cliente do Cloud KMS ou da API Cloud KMS. As bibliotecas de cliente e a API permitem-lhe encriptar e desencriptar dados, assinar dados e validar assinaturas.

Chaves de encriptação fornecidas pelos clientes (CSEKs)

O Cloud Storage pode usar chaves de encriptação fornecidas pelo cliente (CSEKs). Com as chaves de encriptação fornecidas pelos clientes, armazena o material da chave e faculta-o ao Cloud Storage quando necessário. O Cloud de Confiance não armazena as suas CSEKs de forma alguma.