Esta página se ha traducido con Cloud Translation API.

Niveles de protección

En esta página se comparan los distintos niveles de protección que admite Cloud KMS:

Software: Cloud KMS con el nivel de protección SOFTWARE se usan en operaciones criptográficas que se realizan en software. Google puede generar o importar claves de Cloud KMS.

Hardware: Cloud HSM con el nivel de protección HSM se almacenan en un módulo de seguridad de hardware (HSM) propiedad de Google. Las operaciones criptográficas que usan estas claves se realizan en nuestros HSMs. Puedes usar las claves de Cloud HSM de la misma forma que las de Cloud KMS. Google puede generar o importar claves de Cloud HSM.

Externo a través de Internet: Cloud EKM con el nivel de protección EXTERNAL se generan y almacenan en tu sistema de gestión de claves externo (EKM). Cloud EKM almacena material criptográfico adicional y una ruta a tu clave única, que se usa para acceder a tu clave a través de Internet.
Externo a través de VPC: Cloud EKM almacena material criptográfico adicional y una ruta a tu clave única, que se usa para acceder a tu clave a través de una red de nube privada virtual (VPC).

Las claves con todos estos niveles de protección comparten las siguientes características:

Usa tus claves para losGoogle Cloud serviciosGoogle Cloud integrados con claves de cifrado gestionadas por el cliente (CMEK).

Nota: Algunos servicios integrados con CMEK no admiten claves de Cloud EKM. Para saber qué servicios integrados con CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK.
Usa tus claves con las APIs o las bibliotecas de cliente de Cloud KMS sin necesidad de usar código especializado en función del nivel de protección de la clave.
Controla el acceso a tus claves mediante roles de Gestión de Identidades y Accesos (IAM).
Controla si cada versión de la clave está habilitada o inhabilitada en Cloud KMS.
Las operaciones con claves se registran en los registros de auditoría. Se puede habilitar el registro de acceso a datos.

Nivel de protección del software

Cloud KMS utiliza el módulo BoringCrypto (BCM) para todas las operaciones criptográficas de las claves de software. El BCM está validado según el estándar FIPS 140-2. Las claves de software de Cloud KMS usan los primitivos criptográficos con la validación FIPS 140-2 de nivel 1 del módulo BoringCrypto (BCM).

El nivel de protección de software es el más económico. Las claves de software son una buena opción para los casos prácticos que no tienen requisitos normativos específicos para un nivel de validación FIPS 140-2 superior.

Nivel de protección de hardware

Cloud HSM te ayuda a cumplir las normativas de tus cargas de trabajo en Google Cloud. Con Cloud HSM, puedes generar claves de cifrado y realizar operaciones criptográficas en HSMs con validación FIPS 140-2 de nivel 3. El servicio está totalmente gestionado, por lo que puedes proteger tus cargas de trabajo más sensibles sin preocuparte por los costes innecesarios que se derivan de la gestión de clústeres de HSM. Cloud HSM proporciona una capa de abstracción sobre los módulos HSM. Esta abstracción te permite usar tus claves en integraciones de CMEK o en las APIs o bibliotecas de cliente de Cloud KMS sin código específico de HSM.

Las versiones de claves de hardware son más caras, pero ofrecen ventajas de seguridad considerables en comparación con las claves de software. Cada clave de Cloud HSM tiene una declaración de atestación que contiene información certificada sobre la clave. Esta atestación y sus cadenas de certificados asociadas se pueden usar para verificar la autenticidad de la declaración y los atributos de la clave y el HSM.

Niveles de protección externos

Las claves de Cloud External Key Manager (Cloud EKM) son claves que gestionas en un servicio de partner de gestión de claves externo (EKM) admitido y que usas enGoogle Cloud servicios y en las APIs y bibliotecas de cliente de Cloud KMS. Las claves de Cloud EKM pueden estar respaldadas por software o por hardware, en función de tu proveedor de EKM. Puedes usar tus claves de Cloud EKM en servicios integrados con CMEK o mediante las APIs y bibliotecas de cliente de Cloud KMS.

Los niveles de protección de Cloud EKM son los más caros. Cuando usas claves de Cloud EKM, puedes tener la certeza de que Google Cloud no puede acceder al material de tu clave.

Para ver qué servicios integrados con CMEK admiten claves de Cloud EKM, consulta las integraciones de CMEK y aplica el filtro Mostrar solo servicios compatibles con EKM.

Nivel de protección externa a través de Internet

Puedes usar claves de Cloud EKM a través de Internet en todas las ubicaciones admitidas por Cloud KMS, excepto nam-eur-asia1 y global.

Nivel de protección externa a través de VPC

Puedes usar claves de Cloud EKM en una red de VPC para mejorar la disponibilidad de tus claves externas. Esta mayor disponibilidad significa que hay menos probabilidades de que tus claves de Cloud EKM y los recursos que protegen dejen de estar disponibles.

Puedes usar claves de Cloud EKM en una red de VPC en la mayoría de las ubicaciones regionales compatibles con Cloud KMS. Cloud EKM a través de una red de VPC no está disponible en ubicaciones multirregión.

Siguientes pasos

Consulta los servicios compatibles que te permiten usar tus llaves en Google Cloud.
Consulta cómo crear llaveros y crear claves de cifrado.
Más información sobre cómo importar claves
Consulta información sobre las claves externas.
Consulta otras consideraciones sobre el uso de Cloud EKM.