O Cloud Key Management Service (Cloud KMS) permite criar e gerenciar chaves CMEK para uso em serviços compatíveis do Google Cloud e nos seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:
Gere chaves de software ou hardware, importe chaves para o Cloud KMS ou vincule chaves externas no seu sistema de gerenciamento de chaves externas (EKM) compatível.
Use chaves de criptografia gerenciadas pelo cliente (CMEKs) nos produtos do Google Cloud com a integração de CMEK. As integrações do CMEK usam as chaves do CMEK para criptografar ou "encapsular" as chaves de criptografia de dados (DEKs). O encapsulamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado de criptografia de envelope.
Use o Cloud KMS Autokey para automatizar o provisionamento e a atribuição. Com ele, não é preciso provisionar keyrings, chaves e contas de serviço com antecedência. Em vez disso, eles são gerados sob demanda como parte da criação de recursos.
Use chaves do Cloud KMS para operações de criptografia e descriptografia. Por exemplo, você pode usar a API Cloud KMS ou as bibliotecas de cliente para usar as chaves do Cloud KMS na criptografia do lado do cliente.
Use chaves do Cloud KMS para criar ou verificar assinaturas digitais ou assinaturas de código de autenticação de mensagens (MAC).
Escolha a criptografia certa para suas necessidades
Use a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades para cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, você pode usar chaves de software para dados menos sensíveis e chaves de hardware ou externas para dados mais sensíveis. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Proteger dados no Google Cloud nesta página.
| Tipo de criptografia | Custo | Serviços compatíveis | Recursos |
|---|---|---|---|
| Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud) | Incluído | Todos os serviços do Google Cloud que armazenam dados do cliente |
|
| Chaves de criptografia gerenciadas pelo cliente:
software (chaves do Cloud KMS) |
US$ 0,06 por versão de chave | Mais de 40 serviços |
|
| Chaves de criptografia gerenciadas pelo cliente:
hardware (chaves do Cloud HSM) |
US$ 1,00 a US $2,50 por versão de chave por mês | Mais de 40 serviços |
|
| Chaves de criptografia gerenciadas pelo cliente: externas (chaves do Cloud EKM) |
US$ 3,00 por versão de chave por mês | Mais de 30 serviços |
|
| Criptografia do lado do cliente usando chaves do Cloud KMS | O custo das versões de chaves ativas depende do nível de proteção da chave. | Usar bibliotecas de cliente nos seus aplicativos |
|
| Chaves de criptografia fornecidas pelo cliente | Pode aumentar os custos associados ao Compute Engine ou ao Cloud Storage |
|
|
| Computação confidencial | Custo adicional para cada VM confidencial. Pode aumentar o uso de registros e os custos associados |
|
Como proteger dados no Google Cloud
Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud)
Por padrão, os dados em repouso no Google Cloud são protegidos por chaves no keystore, o serviço de gerenciamento de chaves interno do Google. As chaves no Keystore são gerenciadas automaticamente pelo Google, sem a necessidade de configuração. A maioria dos serviços rotaciona as chaves automaticamente. O Keystore oferece suporte a uma versão chave primária e a um número limitado de versões de chave mais antigas. A versão da chave primária é usada para criptografar novas chaves de criptografia de dados. As versões de chaves mais antigas ainda podem ser usadas para descriptografar chaves de criptografia de dados. Não é possível visualizar ou gerenciar essas chaves nem analisar os registros de uso de chaves. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves.
Essa criptografia padrão usa módulos criptográficos validados para estar em conformidade com o FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente (CMEKs)
As chaves do Cloud KMS usadas para proteger seus recursos em serviços integrados a CMEK são chaves de criptografia gerenciadas pelo cliente (CMEKs). Você pode ser proprietário e controlar CMEKs, delegando tarefas de criação e atribuição de chaves para o Cloud KMS Autokey. Para saber mais sobre como automatizar o provisionamento de CMEKs, consulte Cloud Key Management Service com o Autokey.
Você pode usar suas chaves do Cloud KMS em serviços compatíveis para alcançar os seguintes objetivos:
Ter suas próprias chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Exclua seletivamente os dados protegidos pelas suas chaves no caso de desativação ou para remediar eventos de segurança (fragmentação criptográfica).
Crie chaves dedicadas e de locatário único que estabeleçam um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e de dados às chaves de criptografia.
Atender a regulamentações atuais ou futuras que exijam qualquer uma dessas metas.
Ao usar chaves do Cloud KMS com serviços integrados a CMEKs, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que os recursos compatíveis do Google Cloud usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos principais precisam residir.
Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:
Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os locais do Google Cloud. É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados pelo FIPS 140-2 Nível 1. Você também tem controle sobre o período de rotação, papéis e permissões do Identity and Access Management (IAM) e políticas da organização que regem suas chaves. É possível usar as chaves de software com mais de 40 recursos compatíveis do Google Cloud.
Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. É possível importar novas versões de chave para alternar manualmente as chaves importadas. É possível usar papéis e permissões do IAM e políticas da organização para governar o uso das chaves importadas.
Chaves de hardware e Cloud HSM: é possível gerar chaves de hardware em um cluster de módulos de segurança de hardware (HSMs, na sigla em inglês) FIPS 140-2 Nível 3. Você tem controle sobre o período de rotação, papéis e permissões do IAM e políticas da organização que governam suas chaves. Quando você cria chaves de HSM usando o Cloud HSM, o Google gerencia os clusters de HSM para que você não precise fazer isso. É possível usar suas chaves do HSM com mais de 40 recursos compatíveis do Google Cloud, os mesmos serviços que aceitam chaves de software. Para o mais alto nível de conformidade com a segurança, use chaves de hardware.
Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externo (EKM). O Cloud EKM permite usar chaves armazenadas em um gerenciador de chaves com suporte para proteger seus recursos do Google Cloud. É possível se conectar ao EKM pela Internet ou por uma nuvem privada virtual (VPC). Alguns serviços do Google Cloud que oferecem suporte a chaves de software ou hardware não são compatíveis com chaves EKM do Cloud.
Chaves do Cloud KMS
É possível usar as chaves do Cloud KMS em aplicativos personalizados usando as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.
Chaves de criptografia fornecidas pelo cliente (CSEKs)
O Cloud Storage e o Compute Engine podem usar chaves de criptografia fornecidas pelo cliente (CSEKs, na sigla em inglês). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material da chave e o fornece ao Cloud Storage ou ao Compute Engine quando necessário. O Google não armazena suas CSEKs de nenhuma forma.
Computação confidencial
No Compute Engine, GKE e Dataproc, é possível usar a plataforma de computação confidencial para criptografar os dados em uso. A Computação confidencial garante que seus dados permaneçam privados e criptografados, mesmo durante o processamento.