Neste documento, apresentamos uma visão geral do uso do Cloud Key Management Service (Cloud KMS) para chaves de criptografia gerenciadas pelo cliente (CMEK). O uso da CMEK do Cloud KMS oferece a você a propriedade e o controle das chaves que protegem seus dados em repouso no Google Cloud.
Comparação entre CMEK e chaves de propriedade e gerenciadas pelo Google
As chaves do Cloud KMS que você cria são chaves gerenciadas pelo cliente. Os serviços do Google que usam suas chaves têm uma integração de CMEK. É possível gerenciar essas CMEKs diretamente ou por meio da chave automática do Cloud KMS (pré-lançamento). Os fatores a seguir diferenciam a criptografia padrão em repouso do Google das chaves gerenciadas pelo cliente:
| Tipo de chave | Gerenciada pelo cliente com a Autokey (pré-lançamento) | Gerenciado pelo cliente (manual) | Pertencente e gerenciado pelo Google (padrão do Google) |
|---|---|---|---|
| Pode ver metadados da chave | Sim | Sim | Sim |
| Propriedade das chaves1 | Cliente | Cliente | |
| Pode gerenciar e controlar2 chaves3 | A criação e a atribuição de chaves são automatizadas. O controle manual do cliente é totalmente compatível. | Cliente, somente controle manual | |
| Aceita requisitos regulatórios para chaves gerenciadas pelo cliente | Sim | Sim | No |
| Compartilhamento de chaves | Exclusivo para um cliente | Exclusivo para um cliente | Dados de vários clientes geralmente usam a mesma chave de criptografia de chaves (KEK). |
| Controle da rotação de chaves | Sim | Sim | Não |
| Políticas da organização CMEK | Sim | Sim | No |
| Preços | Varia: para mais informações, consulte Preços. Nenhum custo adicional para a chave automática (pré-lançamento) | Varia: para mais informações, consulte Preços | Sem custo financeiro |
1 Em termos legais, o proprietário da chave indica quem detém os direitos sobre ela. As chaves de propriedade do cliente têm acesso restrito ou não têm acesso por parte do Google.
2O controle de chaves significa definir controles sobre o tipo de chaves e como elas são usadas, detectar variações e planejar ações corretivas, se necessário. É possível controlar suas chaves, mas delegue o gerenciamento delas a terceiros.
3O gerenciamento de chaves inclui os seguintes recursos:
- Criar chaves.
- Escolha o nível de proteção das chaves.
- Atribua autoridade para gerenciar as chaves.
- Controle o acesso às chaves.
- Controla o uso de chaves.
- Defina e modifique o período de rotação das chaves ou acione uma rotação delas.
- Mudar o status da chave.
- Destrua as versões da chave.
Criptografia padrão com chaves de propriedade e gerenciadas pelo Google
Todos os dados armazenados no Google Cloud são criptografados em repouso com os mesmos sistemas de gerenciamento de chaves com aumento da proteção que o Google usa nos nossos próprios dados criptografados. Esses sistemas de gerenciamento de chaves oferecem controles rigorosos de acesso a chaves e auditoria e criptografam dados do usuário em repouso usando o padrão de criptografia AES-256. O Google é proprietário e controla as chaves usadas para criptografar seus dados. Não é possível ver ou gerenciar essas chaves nem analisar os registros de uso delas. Dados de vários clientes podem usar a mesma chave de criptografia de chaves (KEK, na sigla em inglês). Nenhuma configuração, configuração ou gerenciamento é necessário.
Para mais informações sobre a criptografia padrão no Google Cloud, consulte Criptografia padrão em repouso.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
As chaves de criptografia gerenciadas pelo cliente são suas. Esse recurso permite que você tenha mais controle sobre as chaves usadas para criptografar dados em repouso nos serviços com suporte do Google Cloud e fornece um limite criptográfico em torno dos dados. É possível gerenciar as CMEKs diretamente no Cloud KMS ou automatizar o provisionamento e a atribuição usando a chave automática do Cloud KMS (pré-lançamento).
Os serviços compatíveis com a CMEK têm uma integração da CMEK. A integração de CMEK é uma tecnologia de criptografia do lado do servidor que pode ser usada no lugar da criptografia padrão do Google. Depois que a CMEK é configurada, o agente de serviço de recursos lida com as operações para criptografar e descriptografar os recursos. Como os serviços integrados à CMEK processam o acesso ao recurso criptografado, a criptografia e a descriptografia podem ocorrer de forma transparente, sem o esforço do usuário final. A experiência de acessar recursos é semelhante a usar a criptografia padrão do Google. Para mais informações sobre a integração de CMEK, consulte O que um serviço integrado de CMEK oferece.
É possível usar versões ilimitadas para cada chave.
Para saber se um serviço oferece suporte a chaves CMEK, consulte a lista de serviços suportados.
O uso do Cloud KMS incorre em custos relacionados ao número de versões de chaves e às operações criptográficas com essas versões. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service. Nenhuma compra ou compromisso mínimo é necessário.
Chaves de criptografia gerenciadas pelo cliente (CMEK) com a chave automática do Cloud KMS
O Cloud KMS Autokey simplifica a criação e o gerenciamento de chaves CMEK ao automatizar o provisionamento e a atribuição. Com ela, os keyrings e as chaves são gerados sob demanda como parte da criação de recursos, e os agentes de serviço que usam as chaves para operações de criptografia e descriptografia recebem automaticamente os papéis necessários do Identity and Access Management (IAM).
O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo alinhamento do local de dados da chave, especificidade da chave, nível de proteção do módulo de segurança de hardware (HSM, na sigla em inglês), programação de rotação de chaves e separação de funções. O Autokey cria chaves que seguem as diretrizes gerais e específicas do tipo de recurso dos serviços do Google Cloud que se integram ao Autokey. Chaves criadas usando a função Autokey de maneira idêntica a outras chaves do Cloud HSM (Cloud HSM) com as mesmas configurações, incluindo suporte a requisitos regulatórios para chaves gerenciadas pelo cliente. Para mais informações sobre a chave automática, consulte Visão geral da chave automática.
Quando usar chaves gerenciadas pelo cliente
É possível usar chaves CMEK criadas manualmente ou chaves criadas pela chave automática em serviços compatíveis para ajudar você a atingir as metas a seguir:
Tenha suas chaves de criptografia.
Controle e gerencie as chaves de criptografia, incluindo escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Gere ou mantenha o material da chave fora do Google Cloud.
Defina uma política sobre onde as chaves precisam ser usadas.
Exclua seletivamente os dados protegidos pelas chaves em caso de desativação ou para corrigir eventos de segurança (trituração criptográfica).
Use chaves exclusivas para cada cliente, estabelecendo um limite criptográfico em torno dos seus dados.
Crie chaves exclusivas para um cliente a fim de estabelecer um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e de dados a chaves de criptografia.
cumprir a regulamentação atual ou futura que exija uma dessas metas;
O que um serviço integrado à CMEK oferece
Assim como a criptografia padrão do Google, a CMEK é uma criptografia de envelope simétrica e do lado do servidor dos dados do cliente. A diferença da criptografia padrão do Google é que a proteção CMEK usa uma chave controlada pelo cliente. As chaves CMEK criadas manual ou automaticamente usando a Autokey funcionam da mesma maneira durante a integração do serviço.
Os serviços do Cloud com uma integração de CMEK usam chaves criadas no Cloud KMS para proteger seus recursos.
Os serviços integrados ao Cloud KMS usam criptografia simétrica.
O nível de proteção da chave está sob seu controle.
Todas as chaves são AES-GCM de 256 bits.
O material da chave nunca sai do limite do sistema do Cloud KMS.
Suas chaves simétricas são usadas para criptografar e descriptografar no modelo de criptografia de envelopes.
Os serviços integrados à CMEK rastreiam chaves e recursos
Os recursos protegidos pela CMEK têm um campo de metadados que contém o nome da chave que o criptografa. Em geral, isso estará visível para o cliente nos metadados do recurso.
O rastreamento de chaves informa quais recursos uma chave protege.
As chaves podem ser listadas por projeto.
Os serviços integrados à CMEK lidam com o acesso a recursos
O principal que cria ou exibe recursos no serviço integrado à CMEK
não exige o
criptografador/descriptografador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) para a CMEK usada para proteger o
recurso.
Cada recurso do projeto tem uma conta de serviço especial chamada de agente de serviço que executa criptografia e descriptografia com chaves gerenciadas pelo cliente. Depois que você concede ao agente de serviço acesso a uma CMEK, ele usa essa chave para proteger os recursos que você escolher.
Quando um solicitante quer acessar um recurso criptografado com uma chave gerenciada pelo cliente, o agente de serviço tenta descriptografar automaticamente o recurso. Se o agente de serviço tiver permissão para descriptografar usando a chave e você não tiver desativado ou destruído a chave, o agente de serviço fará uso da criptografia e descriptografia da chave. Caso contrário, a solicitação falhará.
Nenhum acesso extra ao solicitante é necessário. Além disso, como o agente de serviço processa a criptografia e a descriptografia em segundo plano, a experiência do usuário no acesso a recursos é semelhante ao uso da criptografia padrão do Google.
Como usar a chave automática para CMEK
Há um processo de configuração único para cada pasta em que você quer usar a chave automática. Escolha uma pasta para trabalhar com suporte à chave automática e um projeto de chave associado em que o Autokey armazena as chaves dessa pasta. Para mais informações sobre como ativar a chave automática, consulte Ativar a chave automática do Cloud KMS.
Em comparação com a criação manual de CMEKs, a chave automática não requer as seguintes etapas de configuração:
Os administradores de chaves não precisam criar keyrings ou chaves manualmente nem atribuir privilégios aos agentes de serviço que criptografam e descriptografam dados. O agente de serviço do Cloud KMS realiza essas ações em nome dele.
Os desenvolvedores não precisam planejar com antecedência para solicitar chaves antes da criação dos recursos. Eles podem solicitar chaves do Autokey conforme necessário, mantendo a separação de tarefas.
Ao usar a chave automática, há apenas uma etapa: o desenvolvedor solicita as chaves como parte da criação de recursos. As chaves retornadas são consistentes para o tipo de recurso pretendido.
As chaves CMEK criadas com a chave automática se comportam da mesma forma que as chaves criadas manualmente para os seguintes recursos:
Os serviços integrados à CMEK se comportam da mesma forma.
O administrador de chaves pode continuar monitorando todas as chaves criadas e usadas no painel do Cloud KMS e no rastreamento de uso das chaves.
As políticas da organização funcionam da mesma maneira com as chaves automáticas e CMEK criadas manualmente.
Para ter uma visão geral da chave automática, consulte Visão geral da chave automática. Para mais informações sobre como criar recursos protegidos pela CMEK com a chave automática, consulte Criar recursos protegidos usando a chave automática do Cloud KMS.
Como criar chaves CMEK manualmente
Quando você cria manualmente as chaves CMEK, os keyrings, as chaves e os locais dos recursos precisam ser planejados e criados antes da criação dos recursos. Depois, use as chaves para proteger os recursos.
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. Alguns serviços, como o GKE, têm várias integrações de CMEKs para proteger diferentes tipos de dados relacionados ao serviço. Você pode seguir etapas semelhantes às seguintes:
Crie um keyring do Cloud KMS ou escolha um atual. Ao criar seu keyring, escolha um local geograficamente próximo aos recursos que você está protegendo. O keyring pode estar no mesmo projeto que os recursos que você está protegendo ou em projetos diferentes. O uso de projetos diferentes oferece maior controle sobre os papéis do IAM e ajuda a oferecer suporte à separação de tarefas.
Você cria ou importa uma chave do Cloud KMS no keyring escolhido. Essa chave é a CMEK.
Você concede o papel do IAM de criptografador/descriptografador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK para a conta de serviço do serviço.Ao criar um recurso, configure-o para usar a chave CMEK. Por exemplo, é possível configurar um cluster do GKE para usar a CMEK e proteger dados em repouso nos discos de inicialização dos nós.
Para que um solicitante tenha acesso aos dados, ele não precisa de acesso direto à chave CMEK.
Contanto que o agente de serviço tenha o papel Criptografador/Descriptografador CryptoKey, o serviço pode criptografar e descriptografar os dados. Se você revogar esse papel ou desativar ou destruir a chave CMEK, esses dados não poderão ser acessados.
Conformidade com CMEK
Alguns serviços têm integrações de CMEKs e permitem que você gerencie as chaves por conta própria. Alguns serviços oferecem conformidade com CMEK, o que significa que os dados temporários e a chave temporária nunca são gravados no disco. Para uma lista completa de serviços integrados e compatíveis, consulte Serviços compatíveis com CMEK.
Rastreamento de uso da chave
O rastreamento de uso da chave mostra os recursos do Google Cloud dentro da sua organização que são protegidos pelas chaves CMEK. Com o rastreamento de uso de chaves, é possível ver os recursos protegidos, projetos e produtos exclusivos do Google Cloud que utilizam uma chave específica e se as chaves estão em uso. Para mais informações, consulte Ver o uso das chaves.
Políticas da organização de CMEK
O Google Cloud oferece restrições de política da organização para ajudar a garantir o uso consistente da CMEK em um recurso da organização. Essas restrições fornecem controles aos Administradores da Organização para exigir o uso de CMEK e especificar limitações e controles nas chaves do Cloud KMS usadas para proteção de CMEK, incluindo:
Limites sobre quais chaves do Cloud KMS são usadas para proteção de CMEK
Limites para os níveis de proteção de chaves permitidos
Limites no local das chaves CMEK
Controles de destruição da versão da chave
Para mais informações sobre políticas da organização para CMEK, consulte Políticas da organização de CMEK.
A seguir
- Consulte a lista de serviços com integrações de CMEK.
- Consulte a lista de serviços compatíveis com CMEK.
- Confira a lista de tipos de recursos que podem ter rastreamento de uso de chaves.
- Veja a lista de serviços compatíveis com a chave automática.