Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Gestión de claves en la nube

Seguridad de Google Cloud: cifrado de datos

Publicado porParnashree Saha 5 minutos
El almacenamiento en la nube cifra los datos en el servidor antes de escribirlos en el disco, sin coste adicional. Además de este estándar, existen otras formas de cifrar los datos al usar el almacenamiento en la nube.
Tabla de contenido

Introducción

Cifrado es un proceso que lleva texto sin formato como entrada y la transforma en una salida (texto cifrado) que no revela ninguna información sobre el texto sin formatoEl cifrado añade una capa de defensa para proteger los datos y garantiza que, si estos caen accidentalmente en manos de un atacante, este no pueda acceder a ellos sin tener acceso a las claves de cifrado. Incluso si un atacante obtiene los dispositivos de almacenamiento que contienen sus datos, no podrá comprenderlos ni descifrarlos.

Opciones de cifrado de datos

El almacenamiento en la nube cifra los datos en el servidor antes de escribirlos en el disco, sin coste adicional. Además de este estándar, existen otras formas de cifrar los datos al usar el almacenamiento en la nube.

A continuación se muestran las opciones de cifrado disponibles para Google Cloud:

Cifrado del lado del servidor

Google Cloud Storage cifra de forma predeterminada todos los objetos subidos. Todos los datos se dividen en fragmentos que pueden tener un tamaño de hasta varios GB. cifrado de sobreCada fragmento de datos se cifra con una clave de cifrado de datos (DEK) única, que a su vez se cifra con una clave de cifrado de claves (KEK). La versión cifrada de la DEK se almacena junto con los datos cifrados, y los fragmentos de datos cifrados se distribuyen entre los sistemas de almacenamiento de Google.

Google Cloud Storage admite el cifrado del lado del servidor con dos opciones clave:
Claves de cifrado proporcionadas por el cliente:

Con la opción de clave de cifrado proporcionada por el cliente (CSEK), los usuarios deben generar su propia clave. AES 256
clave simétrica y proporcionarla al almacenamiento en la nube de Google para cifrado/desencriptación Operaciones. El CSEK solo se almacena en la memoria del sistema de almacenamiento y nunca se conserva en ningún dispositivo de Google Cloud.

El almacenamiento en la nube no almacena permanentemente la clave del usuario en los servidores de Google ni la gestiona de otro modo. En su lugar, el usuario proporciona la clave para cada operación de almacenamiento en la nube, que se elimina del servidor de Google una vez completada. La clave de cifrado proporcionada por el cliente se somete a un hash y luego se elimina del sistema de almacenamiento. El hash criptográfico se utiliza para validar (solicitudes futuras), pero no para descifrar datos ni reconstruir una clave. Cuando el cliente proporciona la clave de cifrado, el almacenamiento en la nube la utiliza durante el cifrado.

  • los datos del objeto
  • la suma de comprobación del objeto
  • el hash del objeto

Cloud Storage utiliza claves estándar del lado del servidor para cifrar los metadatos restantes del objeto, incluido el nombre del objeto. Flujo de trabajo de cifrado y descifrado mencionado a continuación:

  1. El CSEK se proporciona a Google Cloud Storage junto con la carga de datos
  2. Los datos se dividen en fragmentos de subarchivos
  3. Un sistema de almacenamiento en la nube de Google llama a una biblioteca criptográfica común que Google mantiene, llamada CrunchyCrypt, para generar una clave única y de un solo uso llamada DEK
  4. Cada fragmento de datos se cifra mediante una DEK
  5. Luego, el sistema de almacenamiento utiliza el CSEK como KEK y cifra el DEK.
  6. El DEK cifrado se almacena junto con el fragmento de texto cifrado que cifró en Google Cloud Storage, mientras que la versión de texto simple del DEK se elimina de la memoria.
  7. La clave de cifrado proporcionada por el cliente se ha codificado y luego se elimina del sistema de almacenamiento. El hash criptográfico se utiliza para validar futuras solicitudes, pero no para descifrar datos ni reconstruir la clave.
  8. El cliente o la aplicación solicita datos de Google Cloud Storage mientras suministra el CSEK
  9. Google Cloud Storage identifica los fragmentos en los que se almacenan los datos y dónde residen dichos fragmentos, y los recupera.
  10. Para cada fragmento de datos, el sistema de almacenamiento recupera la DEK cifrada y la descifra utilizando la CSEK.
  11. Una vez realizado el descifrado mediante DEK, el sistema de almacenamiento descarta el DEK y envía los datos descifrados al cliente o aplicación que solicitó los datos.

Servicios de gestión de claves en la nube a medida

Obtenga servicios de consultoría flexibles y personalizables que se alineen con sus requisitos de nube.

Más Información
Claves de cifrado administradas por el cliente:

Las claves de cifrado gestionadas por el cliente son claves generadas para los usuarios por el Servicio de Gestión de Claves en la Nube (KMS), que el usuario gestiona personalmente. Estas claves actúan como una capa de cifrado adicional al cifrado estándar de Cloud Storage. El flujo de trabajo de cifrado y descifrado:

  1. Los datos se dividen en fragmentos de subarchivos después de cargarse en Google Cloud
  2. Un sistema de almacenamiento en la nube de Google llama a una biblioteca criptográfica común que Google mantiene, llamada CrunchyCrypt, para generar una DEK única de un solo uso.
  3. Cada fragmento de datos se cifra mediante una DEK
  4. A continuación, el sistema de almacenamiento envía el DEK a Servicio de administración de claves (KMS) de Google para ser cifrados utilizando la clave de cifrado de claves (KEK) asociada a ese sistema de almacenamiento
  5. El DEK cifrado se almacena junto con el fragmento de texto cifrado que cifró en Google Cloud Storage, mientras que la versión de texto simple del DEK se elimina de la memoria.
  6. Cuando se solicitan datos, Google Cloud Storage identifica los fragmentos en los que se almacenan los datos y dónde residen los fragmentos y los recupera.
  7. Para cada fragmento de datos, el sistema de almacenamiento recupera la DEK cifrada y la envía al KMS de Google para su descifrado.
  8. KMS envía el DEK descifrado al sistema de almacenamiento donde se utiliza para descifrar los datos.
  9. El sistema de almacenamiento descarta la DEK y envía los datos descifrados al cliente que solicitó los datos.

Cifrado del lado del cliente:

Con esta opción, los usuarios crean y administran sus propias claves de cifrado. Deben cifrar los datos antes de enviarlos al almacenamiento en la nube. Los datos cifrados del cliente llegan al almacenamiento en la nube cifrados. Cuando el almacenamiento en la nube los recibe, se cifran nuevamente. Este segundo cifrado se denomina cifrado del lado del servidor y lo gestiona el almacenamiento en la nube. Al recuperar los datos, el almacenamiento en la nube elimina la capa de cifrado del lado del servidor, pero el usuario debe descifrar la capa del lado del cliente.

Beneficios

Las claves administradas por el cliente brindan los siguientes beneficios:

  • Más control sobre el acceso a los datos:
    • Las claves administradas por el cliente proporcionan un nivel adicional de seguridad para los clientes con datos confidenciales.
    • Cuando el cliente decide deshabilitar el acceso, los datos ya no se pueden descifrar
  • Detener las filtraciones de datos:
    • En este caso, deshabilitar las claves administradas por el cliente permitirá a los clientes detener la exfiltración continua de sus datos.
  • Más control sobre el ciclo de vida de los datos:
    • Utilizando claves administradas por el cliente, los datos confidenciales se cifran con la clave del cliente. Sin el consentimiento del cliente/usuario, nadie puede descifrarlos.
    • El cliente tiene control total sobre el ciclo de vida de los datos.
  • Seguro
    • Los activos computacionales se cifran mediante el estándar AES-256 líder en la industria, y Google nunca conserva las claves de los usuarios, lo que significa que Google no puede descifrar los datos del usuario en reposo.
  • Cobertura
    • Las claves de cifrado proporcionadas por el cliente cubren todas las formas de datos en reposo para Compute Engine, incluidos los discos de arranque y de datos persistentes.
  • Rápido
    • Google Compute Engine ya está cifrando los datos del usuario en reposo y los datos proporcionados por el cliente Cifrado Las teclas brindan al usuario un mayor control, sin sobrecarga adicional.

Descubra nuestra

Blogs relacionados

Microsoft Azure es uno de los tres principales proveedores de servicios en la nube que utilizan las organizaciones actualmente. Los otros dos principales proveedores son Amazon Web Services (AWS) y Google Cloud Platform (GCP). Dada la situación actual, muchas empresas están migrando sus servicios a plataformas parcial o totalmente basadas en la nube, como Azure o AWS.

¿Cómo puedes hacer que las organizaciones sean más compatibles con Microsoft Azure?

Febrero 2, 2022
Introducción a la destrucción de criptomonedas

Familiarícese con el nuevo concepto de Crypto-Shredding

20 de agosto de 2021
Diferencias entre AWS KMS, Azure Key Vault y GCP KMS

AWS KMS frente a Azure Key Vault frente a GCP KMS

23 de julio de 2021

Explorar

Más temas