Visão geral do Cloud Key Management Service

Com o Cloud Key Management Service (Cloud KMS), você cria e gerencia chaves criptográficas para uso em serviços Cloud de Confiance by S3NS compatíveis e em seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:

Escolher a criptografia certa para suas necessidades

Use a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades em cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, é possível usar chaves de software para os dados menos sensíveis e chaves externas para os mais sensíveis. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Proteção de dados no Cloud de Confiance by S3NS nesta página.

Tipo de criptografia Serviços compatíveis Recursos
Google Cloud-powered encryption keys (criptografia padrão doCloud de Confiance ) Todos os serviços Cloud de Confiance que armazenam dados de clientes
  • Não é necessário configurar.
  • Criptografa automaticamente os dados do cliente salvos em qualquer serviço do Cloud de Confiance by S3NS .
  • A maioria dos serviços faz a rotação automática das chaves.
  • Aceita criptografia usando AES-256.
  • Validação FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente: software
(chaves do Cloud KMS)		 Mais de 40 serviços
Chaves de criptografia gerenciadas pelo cliente - externas
(chaves do Cloud EKM)		 Mais de 30 serviços
  • Você controla papéis e permissões do IAM; ative, desative ou destrua versões de chaves.
  • As chaves nunca são enviadas ao Google.
  • O material da chave reside em um provedor de gerenciamento de chaves externas (EKM) compatível.
  • Os serviços compatíveis Cloud de Confiance se conectam ao provedor de EKM por uma nuvem privada virtual (VPC).
  • Compatível com chaves simétricas para criptografia e descriptografia.
  • Gire as chaves manualmente em coordenação com o Cloud EKM e seu provedor de EKM.
  • FIPS 140-2 Nível 2 ou FIPS 140-2 Nível 3 validado, dependendo do EKM.
  • As chaves são exclusivas para um cliente.
Criptografia do lado do cliente usando chaves do Cloud KMS Use bibliotecas de cliente nos seus aplicativos
  • Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves.
  • Compatível com chaves simétricas e assimétricas para criptografia, descriptografia, assinatura e validação de assinatura.
  • A funcionalidade varia de acordo com o nível de proteção da chave.
Chaves de criptografia fornecidas pelo cliente
  • Você fornece materiais importantes quando necessário.
  • O material da chave fica na memória. O Google não armazena permanentemente suas chaves nos nossos servidores.

Observação: os preços variam de acordo com o tipo de criptografia e o nível de proteção. Para mais informações, consulte os detalhes de preços compartilhados com você por Cloud de Confiance.

Proteção de dados no Cloud de Confiance by S3NS

Google Cloud-powered encryption keys (criptografia padrão doCloud de Confiance )

Por padrão, os dados em repouso no Cloud de Confiance são protegidos por chaves no Keystore,o serviço interno de gerenciamento de chaves do Cloud de Confiance. As chaves no Keystore são gerenciadas automaticamente pelo Cloud de Confiance, sem necessidade de configuração da sua parte. A maioria dos serviços faz a rotação automática das chaves para você. O keystore oferece suporte a uma versão de chave primária e a um número limitado de versões de chave mais antigas. A versão chave primária é usada para criptografar novas chaves de criptografia de dados. As versões de chave mais antigas ainda podem ser usadas para descriptografar chaves de criptografia de dados atuais. Não é possível ver, gerenciar ou analisar os registros de uso dessas chaves. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves.

Essa criptografia padrão usa módulos criptográficos validados como compatíveis com o FIPS 140-3 Nível 1.

Chaves de criptografia gerenciadas pelo cliente (CMEKs)

As chaves do Cloud KMS usadas para proteger seus recursos em serviços integrados à CMEK são chaves de criptografia gerenciadas pelo cliente (CMEKs).

Você pode usar as chaves do Cloud KMS em serviços compatíveis para ajudar a atingir as seguintes metas:

  • Tenha suas próprias chaves de criptografia.

  • Controle e gerencie suas chaves de criptografia, incluindo escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.

  • Exclua seletivamente os dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (criptoexclusão).

  • Crie chaves dedicadas de locatário único que estabelecem um limite criptográfico em torno dos seus dados.

  • Registre o acesso administrativo e aos dados às chaves de criptografia.

  • Atender a regulamentações atuais ou futuras que exigem qualquer uma dessas metas.

Ao usar chaves do Cloud KMS com serviços integrados à CMEK, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que seus recursos Cloud de Confiance compatíveis usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos principais precisam estar.

Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:

  • Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os locais do Cloud de Confiance . É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados pelo FIPS 140-3 Nível 1. Você também tem controle sobre o período de rotação, os papéis e permissões do Identity and Access Management (IAM) e as políticas da organização que regem suas chaves. É possível usar as chaves de software com muitos recursos Cloud de Confiance compatíveis.

  • Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. Você pode importar novas versões de chave para alternar manualmente as chaves importadas. É possível usar papéis e permissões do IAM e políticas da organização para controlar o uso das chaves importadas.

  • Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externas (EKM). Com o Cloud EKM, você usa chaves armazenadas em um gerenciador de chaves compatível para proteger seus recursos doCloud de Confiance . Você se conecta ao EKM por uma nuvem privada virtual (VPC). Alguns Cloud de Confiance serviços que aceitam chaves do Cloud KMS não são compatíveis com chaves do Cloud EKM.

Chaves do Cloud KMS

Você pode usar as chaves do Cloud KMS em aplicativos personalizados usando as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.

Chaves de criptografia fornecidas pelo cliente (CSEKs)

O Cloud Storage pode usar chaves de criptografia fornecidas pelo cliente (CSEKs). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage quando necessário. O Cloud de Confiance não armazena suas CMEKs de forma alguma.