martes, 26 de junio de 2018

Proteja con claves encriptadas administradas por su empresa usando Cloud Key Management Service


En Google Cloud Español te hablamos  de como los datos de los usuarios almacenados en disco duro siempre se pueden cifran de forma predeterminada utilizando varias capas de tecnología de cifrado . Te explicamos que   opciones de administración de claves de encriptación tienes para ayudarte a cumplir con los requisitos de seguridad de tu organización.
¿Sabía que ahora hay una funcionalidad beta que puede usar para aumentar aún más la protección de tus discos, imágenes e instantáneas de Compute Engine utilizando sus propias claves de cifrado almacenadas y administradas con Cloud Key Management Service (KMS)? Estas claves de encriptación administradas por el cliente (CMEK) le ofrecen un control granular sobre qué discos, imágenes e instantáneas se cifrarán.

Puede ver a continuación que en un extremo del espectro, Compute Engine encripta automáticamente los discos y administra las claves en tu nombre. En el otro extremo, puede continuar usando las claves de encriptación proporcionadas por el cliente(CSEK) para sus cargas de trabajo más sensibles y/o reguladas.

Esta característica te ayuda a encontrar el equilibrio entre la facilidad de uso y el control: tus claves están en la nube, pero aún bajo tu administración. Esta opción es ideal para organizaciones en industrias reguladas que necesitan cumplir con requisitos estrictos para la protección de datos, pero que no desean ocuparse de los gastos generales de la creación de soluciones personalizadas para generar y almacenar claves, administrar y registrar el acceso clave, etc.

La configuración de CMEK en Compute Engine ayuda a brindarles tranquilidad rápidamente a estas organizaciones, ya que controlan el acceso al disco mediante el control de las claves.

Cómo crear un disco compatible con CMEK

Para comenzar con la función CMEK es fácil. Siga los pasos a continuación para crear y adjuntar un disco de Compute Engine cifrado con una clave que gestionas.

Deberá crear "Key ring" y una clave en KMS. Esto, y el resto de los pasos a continuación, se pueden realizar de varias maneras: a través de Developer Console , API y gcloud . En este tutorial, usaremos la consola de desarrollador. Comenzaremos en la página Claves criptográficas , donde seleccionaremos "Key ring".

Dale un nombre a tu llavero. Haga lo mismo con la tecla de la página siguiente. Para este tutorial, el resto de opciones pueden dejarse por defecto.

Cuando completes estos pasos tendras una KEY con una sola clave de cifrado AES-256. En la captura de pantalla siguiente, puede verlo como "tutorial-keyring-1". Y como KMS administra el llavero, ya está completamente integrado con Cloud Identity and Access Management (IAM) y Cloud Audit Logging, por lo que puede fácilmente Administrar permisos y monitorear cómo se usa.

Con la clave en su lugar, puede comenzar a encriptar discos con las teclas CMEK. Las instrucciones a continuación son para crear una nueva instancia y proteger su disco de arranque con una clave CMEK. Tenga en cuenta que también es posible crear nuevos discos encriptados a partir de instantáneas e imágenes y adjuntarlos a máquinas virtuales existentes, o incluso encriptar las instantáneas y las imágenes subyacentes.

Primero iremos a la página de instancias de VM y crearemos una nueva instancia de VM.

En la página de creación de instancias, expanda la sección "Administración, discos, redes y claves SSH" y vaya a la pestaña "Discos". Allí, verá opciones para las tres opciones de encriptación diferentes descritas anteriormente. Seleccione "Clave administrada a medida" y seleccione la clave adecuada en el menú desplegable.

Tenga en cuenta que si es la primera vez que hace esto, puede ver el siguiente diálogo. Esto es lo que debe aparecer la primera vez para otorgar permisos a esta cuenta de servicio. A su vez, Compute Engine utiliza esta cuenta de servicio para realizar el cifrado y descifrado real de discos, imágenes e instantáneas.

Una vez que haya hecho esto, confirme la creación de la máquina virtual seleccionando "Crear".

¡Y ahí lo tienes! Con unos sencillos pasos, puede crear una clave en Cloud KMS, cifrar un disco con la clave y montarlo en una máquina virtual. Como administra la clave, puede elegir suspender o eliminar la clave en cualquier momento. Si eso sucede, los recursos protegidos por esa clave no se iniciarán hasta que se restablezca el acceso a la clave.