2019 年 11 月、Google は Google Cloud Next UK カンファレンスで外部キー マネージャー (EKM) サービスを発表しました。 Google Cloud の外部キー マネージャーは、暗号化キーの次のレベルの制御であり、Google Cloud Platform (GCP) で実行される 20 以上の広範囲にわたる Google サービスを使用して、ますます増え続けています。

EKM を使用すると、Google インフラストラクチャの外にデプロイされた外部キー管理サービスを使用して、Big Query と Google Compute Engine (GCE) でデータを暗号化できますが、単一の管理ポイントからユーザーによって完全に制御されます。

企業は、保存データと暗号化キーを分離しておくことで、クラウド コンピューティングと分析機能を活用できます。

多くのクラウド サービス プロバイダーには、企業は次のことが可能です BYOK という規定があります。ただし、Google Cloud Platform は、企業は BYOKMS を導入できるようにした最初のパブリック クラウド プロバイダーです。

Fortanix データセキュリティマネージャ(DSM) は Google EKM 統合をサポートしています。この機能により、Fortanix の顧客は、機密性の高い金融サービス、ヘルスケア、および最高のデータ プライバシー コンプライアンス レベルを必要とするその他のアプリケーションの新しいクラスをパブリック クラウドに移行できます。

Google EKM はエンベロープ暗号化スキームを拡張し、外部で管理されるキー暗号化キー (EKEK) を使用してキー暗号化キー (KEK) を暗号化できるようにします。

まず、データは、データとともに保存されているローカルのデータ暗号化キー (DEK) を使用して暗号化されます。その後、DEK は、クラウド キーマネジメントサービス  (KMS) またはクラウド ハードウェア セキュリティ モジュール (HSM) に個別に保存されているキー暗号化キー (KEK) を使用して暗号化されます。

Big Query や GCE などの GCP 上で実行されているサービスは現在、Google Cloud KMS または Cloud HSM によってホストされている暗号化キーを使用して保存データを保護できます。

キーの来歴記録 キーの作成プロセス。これには、誰がいつキーを作成したか、使用された暗号モデル、キーの承認、およびキーの作成の必要性に関する情報が含まれます。

キーの来歴はキーのライフサイクル全体に適用され、キーがどのように保存、アクセス、使用、破棄されるかについての詳細を提供します。

組織は、キーの発行元、場所、バックアップ履歴、その他の特性を追跡できます。 Provenance は、組織がキーの暗号化やその他の定性的な指標を検証するのに役立ちます。

キーの集中化により、キーの配布サイクルが短縮され、キーが侵害されるリスクが軽減されます。

これにより、組織は、さまざまなシステムにわたって断片化されたポリシーを管理するのではなく、単一の制御ユニットの監査と管理に集中することができます。

一元化されたキー管理により、任意の数のクラウド プラットフォームでキーの作成、キーのローテーション、およびキーの削除が可能になります。この設定により、マルチクラウドおよびハイブリッド アーキテクチャでの柔軟性が可能になります。

Google EKM を使用すると、組織は暗号化キーを完全に所有し、自己管理制御の下でオンプレミスに保存できます。

この設定により、セキュリティ上の理由で必要な場合、または機密の顧客データに対する Google の公開を制限するために、データへの Google のアクセスを取り消すことができます。

組織はキーの使用を承認および検証し、ルートキーの完全な来歴を維持できます。

EKM の Key Access Justifications (KAJ) 機能を使用すると、制御不能なインシデントや第三者機関から要求されたインシデントであっても、組織は Google によるデータ復号化への直接アクセスを拒否できます。

KAJ は、データを復号化するすべてのリクエストに対して詳細な理由を提供します。組織は、アクセス理由ポリシーに基づいて、暗号化リクエストを明示的に承認または拒否できます。

たとえば、組織は Google が Key Encryption Keys (KEK) へのアクセスを開始することを許可しても、第三者へのアクセスを拒否したり、正当な理由が提供されない場合には拒否することができます。

組織は、アクセス理由を含む各暗号化操作の監査ログ エントリを使用できます。

• 監査可能性

  高可用性– 外部キー マネージャー (EKM) は、統合される GCP KMS サービスとして利用できる必要があります。
• 災害復旧 - Google はサーバーに鍵を保存せず、組織が Cloud EKM への鍵を提供しない限り、保護されたディスクにアクセスできません。キーを紛失した場合、Google がキーや紛失したキーで暗号化されたデータを回復する方法はありません。
• パフォーマンス- レイテンシとスループットは許容範囲内である必要があります。
• 役割ベースのアクセス制御 - EKM キーへのアクセスは、許可されたユーザーの役割に基づいている必要があります。
• 監査可能性- クラウドの外部で EKM 上で実行されるオペレーションは、高レベルの粒度でログに記録する必要があります。

次のサービスは Cloud EKM キーをサポートしています。

• Compute Engine/永続ディスク
  Compute Engine は、デフォルトで保存中の顧客データを暗号化します。クラウド EKM を使用すると、組織は永続ディスクの保護に使用されるデフォルトの暗号化とデータ暗号化キー (DEK) を制御および管理できます。
• BigQuery
  組織は、BigQuery に保存されているデータを暗号化できます。 BigQuery キャッシュからデータを取り消すためのキーにアクセスするには、追加の承認を与える必要があります。
  Google Kubernetes Engine (GKE)
• GKE では、Cloud EKM 鍵を使用して、仮想マシン ディスク（ノードのブート ディスクと接続されたディスク）上のデータとアプリケーション層のシークレットを保護できます。
• Cloud EKM 鍵を使用すると、Cloud SQL とそのバックアップを同じ鍵で暗号化できます

Fortanix DSM は、Google クラウド上で次の顧客管理の暗号鍵 (CMEK) 統合サービスをサポートしています。

• アーティファクトレジストリ
• BigQuery
• コンピューティング エンジン
• Cloud Logging: ログルーター
• クラウドスパナー
• クラウド SQL
• クラウドストレージ
• Dataflow アプライアンスと Dataflow シャッフル
• Google Kubernetes Engine: VM ディスク上のデータまたはアプリケーション層のシークレット
• パブ/サブ
• シークレットマネージャー

Fortanix DSM 統合は、FIPS 140-2 レベル 3 認定™ を備えたオンプレミス ソリューションおよび SaaS 製品としてすぐに利用可能です。

TM: NIST の認証マーク。NIST、米国、またはカナダ政府による製品の承認を意味するものではありません。

• 任意の Google サービスの Google EKM 統合では、Google サービスは Fortanix DSM サービスにアクセスして CMEK (顧客管理の暗号化キー) にアクセスします。

• オンプレミス クラスターの場合は、適切なネットワーク アクセス制限と考慮事項を考慮して、Fortanix DSM サービスを GCP サービスに公開する必要があります。

Fortanix BV (オランダ事務所) は、ヨーロッパの独立した事業体です。当社はヨーロッパにデータセンターを持っています。

欧州のいかなる事業体も米国に情報を転送することは契約により許可されておらず、この事業体の所有権により、アメリカの裁判所がクラウド法を通じて暗号化キーを要求することは許可されていません。