En este documento, se proporciona una descripción general del uso de Cloud Key Management Service (Cloud KMS) para las claves de encriptación administradas por el cliente (CMEK). El uso de CMEK de Cloud KMS te brinda la propiedad y el control de las claves que protegen tus datos en reposo en Google Cloud.
Comparación entre las CMEK y las claves que son propiedad de Google y están administradas por Google
Las claves de Cloud KMS que creas son claves administradas por el cliente. Se dice que los servicios de Google que usan tus claves tienen una integración con CMEK. Puedes administrar estas CMEK directamente o a través de Cloud KMS Autokey. Los siguientes factores diferencian la encriptación predeterminada de Google en reposo de las claves administradas por el cliente:
| Tipo de clave | Administrada por el cliente con Autokey | Administrada por el cliente (manual) | Propiedad de Google y administrada por Google (predeterminada de Google) |
|---|---|---|---|
| Puede ver los metadatos de clave | Sí | Sí | Sí |
| Propiedad de las claves1 | Cliente | Cliente | |
| Puede administrar y controlar2 claves3. | La creación y asignación de claves se automatiza. El control manual del cliente es totalmente compatible. | Cliente, solo control manual | |
| Admite los requisitos reglamentarios para las claves administradas por el cliente | Sí | Sí | No |
| Uso compartido de claves | Es exclusivo de un cliente. | Es exclusivo de un cliente. | Los datos de varios clientes suelen usar la misma clave de encriptación de claves (KEK). |
| Control de la rotación de claves | Sí | Sí | No |
| Políticas de la organización de CMEK | Sí | Sí | No |
| Registra el acceso administrativo y de datos a las claves de encriptación | Sí | Sí | No |
| Precios | Varía. Para obtener más información, consulta Precios. Sin costo adicional por Autokey | Varía. Para obtener más información, consulta Precios. | Gratis |
1 En términos legales, el propietario de la clave indica quién tiene los derechos de la clave. Google no tiene acceso a las claves que son propiedad del cliente o tiene acceso muy restringido a ellas.
2El control de claves implica establecer controles sobre el tipo de claves y cómo se usan, detectar la variación y planificar acciones correctivas si es necesario. Puedes controlar tus claves, pero delegar la administración de las claves a un tercero.
3La administración de claves incluye las siguientes funciones:
- Crea claves.
- Elige el nivel de protección de las llaves.
- Asigna la autoridad para administrar las claves.
- Controla el acceso a las claves.
- Controla el uso de las claves.
- Configura y modifica el período de rotación de las claves, o bien activa una rotación de claves.
- Cambia el estado de la clave.
- Destruir versiones de claves
Encriptación predeterminada con claves de Google y claves administradas por Google
Todos los datos almacenados en Google Cloud se encriptan en reposo con los mismos sistemas de administración de claves endurecidos que usa Google para sus propios datos encriptados. Estos sistemas de administración de claves proporcionan controles de acceso a claves y auditorías estrictos, y encriptan los datos en reposo del usuario con el estándar de encriptación AES-256. Google es propietario de las claves que se usan para encriptar tus datos y las controla. No puedes ver ni administrar estas claves ni revisar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave de encriptación de claves (KEK). No se requiere configuración ni administración.
Para obtener más información sobre la encriptación predeterminada en Google Cloud, consulta Encriptación en reposo predeterminada.
Claves de encriptación administradas por el cliente (CMEK)
Las claves de encriptación administradas por el cliente son claves de encriptación que te pertenecen. Esta función te permite tener un mayor control sobre las claves que se usan para encriptar los datos en reposo en los servicios de Google Cloud compatibles y proporciona un límite criptográfico alrededor de tus datos. Puedes administrar las CMEK directamente en Cloud KMS o automatizar el aprovisionamiento y la asignación con la clave automática de Cloud KMS.
Los servicios que admiten CMEK tienen una integración con CMEK. La integración de CMEK es una tecnología de encriptación del servidor que puedes usar en lugar de la encriptación predeterminada de Google. Después de configurar las CMEK, el agente de servicio de recursos se encarga de las operaciones de encriptación y desencriptación de los recursos. Debido a que los servicios integrados en CMEK controlan el acceso al recurso encriptado, la encriptación y la desencriptación pueden realizarse de forma transparente, sin esfuerzo del usuario final. La experiencia de acceso a los recursos es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre la integración de CMEK, consulta Qué proporciona un servicio integrado en CMEK.
Puedes usar versiones de clave ilimitadas para cada clave.
Para saber si un servicio admite CMEK, consulta la lista de servicios compatibles.
El uso de Cloud KMS genera costos relacionados con la cantidad de versiones de claves y las operaciones criptográficas con esas versiones de claves. Para obtener más información sobre los precios, consulta Precios de Cloud Key Management Service. No se requiere ninguna compra ni compromiso mínimo.
Claves de encriptación administradas por el cliente (CMEK) con Autokey de Cloud KMS
La clave automática de Cloud KMS simplifica la creación y administración de CMEK mediante la automatización del aprovisionamiento y la asignación. Con Autokey, los llaveros y las claves se generan a pedido como parte de la creación de recursos, y los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación obtienen automáticamente los roles de Identity and Access Management (IAM) necesarios.
El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, como la alineación de la ubicación de las claves y los datos, la especificidad de las claves, el nivel de protección del módulo de seguridad de hardware (HSM), el programa de rotación de claves y la separación de obligaciones. Autokey crea claves que siguen lineamientos generales y específicos del tipo de recurso para los servicios de Google Cloud que se integran con Autokey. Las claves creadas con Autokey funcionan de manera idéntica a otras claves de Cloud HSM con la misma configuración, incluida la compatibilidad con los requisitos reglamentarios para las claves administradas por el cliente. Para obtener más información sobre Autokey, consulta Descripción general de Autokey.
Cuándo usar claves de encriptación administradas por el cliente
Puedes usar CMEK creadas de forma manual o claves creadas por Autokey en servicios compatibles para ayudarte a cumplir con los siguientes objetivos:
Ser propietario de tus claves de encriptación
Controla y administra tus claves de encriptación, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.
Genera material de clave en Cloud KMS o importa material de clave que se mantenga fuera de Google Cloud.
Establece una política sobre dónde se deben usar tus claves.
Borra de forma selectiva los datos protegidos por tus claves en caso de desvinculación o para solucionar eventos de seguridad (fragmentación criptográfica).
Crea y usa claves únicas para un cliente y establece un límite criptográfico alrededor de tus datos.
Registra el acceso administrativo y a los datos a las claves de encriptación.
Cumple con la reglamentación actual o futura que requiera cualquiera de estos objetivos.
Qué proporciona un servicio integrado en CMEK
Al igual que la encriptación predeterminada de Google, la CMEK es una encriptación de sobre simétrica del servidor de los datos del cliente. La diferencia con la encriptación predeterminada de Google es que la protección de CMEK usa una clave que controla un cliente. Las CMEK creadas manualmente o automáticamente con Autokey funcionan de la misma manera durante la integración de servicios.
Los servicios en la nube que tienen una integración de CMEK usan las claves que creas en Cloud KMS para proteger tus recursos.
Los servicios integrados en Cloud KMS usan encriptación simétrica.
Elige el nivel de protección de la clave.
Todas las claves son AES-GCM de 256 bits.
El material de clave nunca sale de los límites del sistema de Cloud KMS.
Tus claves simétricas se usan para encriptar y desencriptar en el modelo de encriptación de sobres.
Los servicios integrados en CMEK hacen un seguimiento de las claves y los recursos
Los recursos protegidos por CMEK tienen un campo de metadatos que contiene el nombre de la clave que los encripta. Por lo general, los clientes podrán ver esta información en los metadatos del recurso.
El seguimiento de claves te indica qué recursos protege una clave en los servicios que admiten este seguimiento.
Las claves se pueden enumerar por proyecto.
Los servicios integrados en CMEK controlan el acceso a los recursos
El principal que crea o ve recursos en el servicio integrado en CMEK no requiere el encriptador/desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) para la CMEK que se usa para proteger el recurso.
Cada recurso de proyecto tiene una cuenta de servicio especial llamada agente de servicio que realiza la encriptación y desencriptación con claves administradas por el cliente. Después de darle acceso al agente de servicio a una CMEK, ese agente de servicio usará esa clave para proteger los recursos que elijas.
Cuando un solicitante desea acceder a un recurso encriptado con una clave administrada por el cliente, el agente de servicio intenta desencriptar automáticamente el recurso solicitado. Si el agente de servicio tiene permiso para desencriptar con la clave y no la inhabilitaste ni destruiste, el agente de servicio proporciona el uso de la clave para encriptar y desencriptar. De lo contrario, la solicitud fallará.
No se requiere acceso adicional del solicitante y, como el agente de servicio controla la encriptación y desencriptación en segundo plano, la experiencia del usuario para acceder a los recursos es similar a usar la encriptación predeterminada de Google.
Usa Autokey para CMEK
Para cada carpeta en la que quieras usar Autokey, hay un proceso de configuración único. Puedes elegir una carpeta en la que trabajar con la compatibilidad con Autokey y un proyecto de claves asociado en el que Autokey almacene las claves de esa carpeta. Para obtener más información sobre cómo habilitar Autokey, consulta Habilita Autokey de Cloud KMS.
En comparación con la creación manual de CMEK, Autokey no requiere los siguientes pasos de configuración:
Los administradores de claves no necesitan crear claves ni llaveros de claves de forma manual, ni asignar privilegios a los agentes de servicio que encriptan y desencriptan datos. El agente de servicio de Cloud KMS realiza estas acciones en su nombre.
Los desarrolladores no necesitan planificar con anticipación para solicitar claves antes de la creación de recursos. Pueden solicitar claves desde Autokey según sea necesario y, al mismo tiempo, preservar la separación de obligaciones.
Cuando se usa Autokey, solo hay un paso: el desarrollador solicita las claves como parte de la creación de recursos. Las claves que se muestran son coherentes con el tipo de recurso previsto.
Las CMEK que creas con Autokey se comportan de la misma manera que las claves creadas de forma manual para las siguientes funciones:
Los servicios integrados en CMEK se comportan de la misma manera.
El administrador de claves puede seguir supervisando todas las claves creadas y usadas a través del panel de Cloud KMS y el seguimiento del uso de claves.
Las políticas de la organización funcionan de la misma manera con Autokey que con las CMEK creadas de forma manual.
Para obtener una descripción general de Autokey, consulta Descripción general de Autokey. Para obtener más información sobre cómo crear recursos protegidos con CMEK con Autokey, consulta Cómo crear recursos protegidos con la clave automática de Cloud KMS.
Cómo crear CMEK de forma manual
Cuando creas tus CMEK de forma manual, debes planificar y crear llaveros, claves y ubicaciones de recursos antes de poder crear recursos protegidos. Luego, puedes usar tus claves para proteger los recursos.
Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Es posible que sigas pasos similares a los siguientes:
Crea un llavero de claves de Cloud KMS o elige uno existente. Cuando crees tu llavero de claves, elige una ubicación que esté geográficamente cerca de los recursos que proteges. El llavero de claves puede estar en el mismo proyecto que los recursos que proteges o en proyectos diferentes. El uso de proyectos diferentes te brinda un mayor control sobre los roles de IAM y ayuda a admitir la separación de obligaciones.
Creas o importas una clave de Cloud KMS en el llavero de claves elegido. Esta clave es la CMEK.
Otorga el [rol de IAM de encriptador/desencriptador de CryptoKeyencrypter-decrypter-role en la CMEK a la cuenta de servicio del servicio.
Cuando crees un recurso, configúralo para que use la CMEK. Por ejemplo, puedes configurar un clúster de GKE para que use CMEK a fin de proteger los datos en reposo en los discos de arranque de los nodos.
Para que un solicitante obtenga acceso a los datos, no necesita acceso directo al ACMK.
Siempre que el agente de servicio tenga el rol de encriptador/desencriptador de CryptoKey, el servicio puede encriptar y desencriptar sus datos. Si revocas este rol, o si inhabilitas o destruyes la CMEK, no se podrá acceder a los datos.
Cumplimiento de CMEK
Algunos servicios tienen integraciones de CMEK y te permiten administrar las claves por tu cuenta. En cambio, algunos servicios ofrecen cumplimiento de CMEK, lo que significa que los datos temporales y la clave efímera nunca se escriben en el disco. Para obtener una lista completa de los servicios integrados y compatibles, consulta Servicios compatibles con CMEK.
Seguimiento del uso de claves
El seguimiento de uso de las claves te muestra los recursos de Google Cloud de tu organización que están protegidos por tus CMEK. Con el seguimiento de uso de las claves, puedes ver los recursos, los proyectos y los productos únicos de Google Cloud protegidos que usan una clave específica, y si las claves están en uso. Para obtener más información sobre el seguimiento del uso de claves, consulta Visualiza el uso de claves.
Políticas de la organización de CMEK
Google Cloud ofrece restricciones de políticas de la organización para ayudar a garantizar el uso coherente de las CMEK en un recurso de la organización. Estas restricciones proporcionan controles a los administradores de la organización para exigir el uso de CMEK y especificar limitaciones y controles en las claves de Cloud KMS que se usan para la protección de CMEK, incluidos los siguientes:
Límites sobre qué claves de Cloud KMS se usan para la protección de CMEK
Límites de los niveles de protección de claves permitidos
Límites en la ubicación de los CMEK
Controles para la destrucción de versiones de claves
¿Qué sigue?
- Consulta la lista de servicios con integraciones con CMEK.
- Consulta la lista de servicios compatibles con CMEK.
- Consulta la lista de tipos de recursos que pueden tener seguimiento de uso de claves.
- Consulta la lista de servicios compatibles con Autokey.