Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Google Cloud Security – Schlüsselverwaltungsdienste

Geschrieben vonAditi Goel 4 Minuten
In diesem Artikel werfen wir einen genaueren Blick auf die Cloud Key Management Services von Google. Wenn Nutzer Daten in der Google Cloud speichern, werden diese automatisch verschlüsselt. Wir nutzen den Cloud Key Management Service von Google, um die Verwaltung der verschlüsselten Daten und Verschlüsselungsschlüssel besser zu kontrollieren.
Inhaltsverzeichnis

In diesem Artikel werfen wir einen genaueren Blick auf die Google Cloud SchlüsselverwaltungsdiensteWenn Nutzer Daten in der Google Cloud speichern, werden diese automatisch verschlüsselt. Wir nutzen den Cloud Key Management-Dienst von Google, um die Verwaltung der verschlüsselten Daten im Ruhezustand besser zu kontrollieren und Verschlüsselung Schlüssel.

Quelle und Kontrolle kryptografischer Schlüssel

Mit Cloud KMS können Benutzer kryptografische Schlüssel in einem zentralen Cloud-Dienst verwalten und direkt oder mit anderen Ressourcen und Anwendungen verwenden. Die zu verwendenden Schlüssel müssen aus einer der folgenden Quellen stammen:

  • Softwaregestützter Schlüssel von Cloud KMS gibt Benutzern die Möglichkeit, Daten mit einem symmetrischen oder asymmetrischen Schlüssel zu verschlüsseln, den die Benutzer kontrollieren.
  • Cloud-HSM stellt Hardwareschlüssel bereit. Symmetrische und asymmetrische Schlüssel werden nur in FIPS 140-2 Level 3 validiert Hardware-Sicherheitsmodule (HSMs).
  • Bringen Sie Ihren eigenen Schlüssel mit (BYOK) steht Benutzern auch zum Importieren ihrer kryptografischen Schlüssel in Cloud KMS zur Verfügung.
  • Cloud External Key Manager (Cloud EKM), welche verwendet externe Schlüsselmanager Beispielsweise können auch Thales oder Fortanix verwendet werden.
Quellcodeverwaltung kryptografischer Schlüssel

Abbildung: Cloud EKM als Brücke zwischen KMS und External Key Manager

Kryptografische Schlüssel in Cloud KMS

In diesem Abschnitt werden Schlüssel, Schlüsselversionen und die Gruppierung von Schlüsseln in Schlüsselbunden beschrieben. Das folgende Diagramm veranschaulicht Schlüsselgruppierungen.

kryptografische Schlüssel in Cloud-KMS

Wesentliche: Ein benanntes Objekt, das einen kryptografischen Schlüssel darstellt. Es ist ein Zeiger auf einen Schlüssel, und die tatsächlichen Bits oder der Schlüssel können sich ändern, wenn wir die Schlüssel rotieren oder neuere Versionen der Schlüssel erstellen.

Cloud KMS unterstützt sowohl asymmetrische als auch symmetrische Schlüssel. Ein symmetrischer Schlüssel wird für die symmetrische Verschlüsselung verwendet, um bestimmte Datenbestände zu schützen, z. B. durch die Verwendung von AES-256 im GCM-Modus zum Verschlüsseln eines Klartextblocks. Ein asymmetrischer Schlüssel kann für die asymmetrische Verschlüsselung oder zum Erstellen digitaler Signaturen verwendet werden.

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Cloud KMS-Komponenten

In diesem Abschnitt besprechen wir einige Punkte zu zusätzlichen Parametern, die mit Google CloudKMS-Ressourcen wie Schlüsseln und Schlüsselbunden verknüpft sind.

  • ProjektGoogle Cloud KMS-Ressourcen gehören wie alle anderen Google Cloud-Ressourcen zu einem Google Cloud-Projekt. Nutzer können Daten in einem anderen Projekt hosten als dem, in dem sich die Cloud KMS-Schlüssel befinden. Diese Funktion unterstützt die bewährte Praxis der Aufgabentrennung zwischen Schlüssel- und Datenadministratoren.
  • Ort: Innerhalb eines Projekts werden Cloud KMS-Ressourcen an einem Ort erstellt.

Schlüsselhierarchie

Das folgende Diagramm veranschaulicht die Schlüsselhierarchie des internen Schlüsselverwaltungsdienstes von Google. Cloud KMS nutzt Googles internen KMS, indem Cloud KMS-verschlüsselte Schlüssel von Google KMS umschlossen werden. Cloud KMS verwendet denselben Vertrauensanker wie Google KMS.

Schlüsselhierarchie des internen Schlüsselverwaltungsdienstes von Google
  • Datenverschlüsselungsschlüssel (DEK): Ein Schlüssel zum Verschlüsseln von Daten.
  • Schlüsselverschlüsselungsschlüssel (KEK): Ein Schlüssel zum Verschlüsseln oder Verpacken eines Datenverschlüsselungsschlüssels. Mit allen Cloud KMS-Plattformoptionen (Software, Hardware und externe Backends) können Sie den Schlüsselverschlüsselungsschlüssel steuern.
  • KMS-Hauptschlüssel: Der Schlüssel zum Verschlüsseln der Schlüsselverschlüsselungsschlüssel (KEK). Dieser Schlüssel wird im Speicher verteilt. Der KMS-Hauptschlüssel wird auf Hardwaregeräten gesichert. Dieser Schlüssel ist für die Verschlüsselung Ihrer Schlüssel verantwortlich.
  • Stamm-KMS: Der interne Schlüsselverwaltungsdienst von Google.

Überblick über die Cloud-KMS-Plattform

Die Cloud KMS-Plattform unterstützt mehrere kryptografische Algorithmen und bietet Methoden zum Verschlüsseln und digitalen Signieren sowohl mit Hardware als auch softwaregestützte Schlüssel.

Cloud-KMS-Plattform

Das Diagramm zeigt die Hauptkomponenten der Cloud KMS-Plattform. Administratoren greifen über die Google Cloud Console, das Befehlszeilentool gcloud oder über Anwendungen, die die REST- oder gRPC-APIs implementieren, auf Schlüsselverwaltungsdienste zu. Anwendungen greifen über eine REST-API oder gRPC auf Schlüsselverwaltungsdienste zu.

Anwendungen können Google-Dienste nutzen, die für die Verwendung von kundenverwalteten Verschlüsselungsschlüsseln (CMEK) aktiviert sind. CMEK wiederum nutzt die Cloud KMS API. Die Cloud KMS API ermöglicht Benutzern die Verwendung von Software- (Cloud KMS) oder Hardware-Schlüsseln (Cloud HSM). Sowohl software- als auch hardwarebasierte Schlüssel nutzen den redundanten Backup-Schutz von Google.

Mit der Cloud KMS-Plattform können Benutzer beim Erstellen eines Schlüssels eine Schutzstufe auswählen, um zu bestimmen, welches Schlüssel-Backend den Schlüssel erstellt und alle zukünftigen kryptografischen Vorgänge mit diesem Schlüssel ausführt.

Die Cloud KMS-Plattform bietet zwei Backends (außer Cloud EKM), die in der Cloud KMS-API verfügbar sind als

  • Software-Schutzstufe Die Schutzstufe „Software“ bezieht sich auf Schlüssel, die von einem Software-Sicherheitsmodul entschlüsselt werden können, um kryptografische Operationen durchzuführen.
  • HSM-Schutzstufe Die Schutzstufe HSM gilt für Schlüssel, die nur von Hardware-Sicherheitsmodulen entschlüsselt werden können, die alle kryptografischen Operationen mit den Schlüsseln durchführen.

Google Cloud unterstützt CMEK für mehrere Dienste, darunter

  • Cloud Storage
  • BigQuery
  • Rechenmaschine.

Mit CMEK können Benutzer die Cloud KMS-Plattform verwenden, um die Verschlüsselungsschlüssel zu verwalten, die diese Dienste zum Schutz ihrer Daten verwenden. Die kryptografischen Vorgänge von Cloud KMS werden von FIPS 140-2-validierten Modulen ausgeführt.

  • Schlüssel mit Schutzniveau-Software und die damit durchgeführten kryptografischen Operationen entsprechen FIPS 140-2 Level 1.
  • Schlüssel mit Schutzniveau HSM und die damit durchgeführten kryptografischen Operationen entsprechen FIPS 140-2 Level 3.

Referenzen

www.cloud.google.com/kms/docs

www.cloud.google.com/security-key-management

www.cloud.google.com/sdk/gcloud/reference/kms

www.googleapis.dev/python/cloudkms/latest/UPGRADING.html

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen