KMS

Το Cloud Key Management Service λειτουργεί ως ασφαλής αποθήκευση για κρυπτογραφικά κλειδιά, τα οποία είναι απαραίτητα για λειτουργίες όπως η κρυπτογράφηση και αποκρυπτογράφηση ευαίσθητων δεδομένων. Αυτά τα κλειδιά οργανώνονται μέσα σε δαχτυλίδια κλειδιών, επιτρέποντας δομημένη διαχείριση. Επιπλέον, ο έλεγχος πρόσβασης μπορεί να ρυθμιστεί ακριβώς, είτε στο επίπεδο του μεμονωμένου κλειδιού είτε για ολόκληρο το δαχτυλίδι κλειδιών, εξασφαλίζοντας ότι οι άδειες είναι ακριβώς ευθυγραμμισμένες με τις απαιτήσεις ασφαλείας.

Τα δαχτυλίδια κλειδιών του KMS δημιουργούνται από προεπιλογή ως παγκόσμια, πράγμα που σημαίνει ότι τα κλειδιά μέσα σε αυτό το δαχτυλίδι κλειδιών είναι προσβάσιμα από οποιαδήποτε περιοχή. Ωστόσο, είναι δυνατό να δημιουργηθούν συγκεκριμένα δαχτυλίδια κλειδιών σε συγκεκριμένες περιοχές.

Επίπεδο Προστασίας Κλειδιού

• Λογισμικού: Τα κλειδιά λογισμικού δημιουργούνται και διαχειρίζονται από το KMS αποκλειστικά με λογισμικό. Αυτά τα κλειδιά δεν προστατεύονται από κανένα υλικό ασφαλείας (HSM) και μπορούν να χρησιμοποιηθούν για σκοπούς δοκιμής και ανάπτυξης. Τα κλειδιά λογισμικού δεν συνιστώνται για παραγωγική χρήση επειδή παρέχουν χαμηλή ασφάλεια και είναι ευάλωτα σε επιθέσεις.

• Κλειδιά στον Νέφος: Τα κλειδιά στον νέφος δημιουργούνται και διαχειρίζονται από το KMS στον νέφος χρησιμοποιώντας μια υψηλά διαθέσιμη και αξιόπιστη υποδομή. Αυτά τα κλειδιά προστατεύονται από HSMs, αλλά τα HSMs δεν είναι αφιερωμένα σε έναν συγκεκριμένο πελάτη. Τα κλειδιά στον νέφος είναι κατάλληλα για τις περισσότερες περιπτώσεις παραγωγής.

• Εξωτερικά κλειδιά: Τα εξωτερικά κλειδιά δημιουργούνται και διαχειρίζονται εκτός του KMS και εισάγονται στο KMS για χρήση σε κρυπτογραφικές λειτουργίες. Τα εξωτερικά κλειδιά μπορούν να αποθηκευτούν σε ένα υλικό ασφαλείας (HSM) ή σε μια βιβλιοθήκη λογισμικού, ανάλογα με την προτίμηση του πελάτη.

Σκοποί Κλειδιού

• Συμμετρική κρυπτογράφηση/αποκρυπτογράφηση: Χρησιμοποιείται για κρυπτογράφηση και αποκρυπτογράφηση δεδομένων χρησιμοποιώντας ένα μόνο κλειδί για και τις δύο λειτουργίες. Τα συμμετρικά κλειδιά είναι γρήγορα και αποδοτικά για την κρυπτογράφηση και αποκρυπτογράφηση μεγάλου όγκου δεδομένων.

• Υποστηρίζεται: cryptoKeys.encrypt, cryptoKeys.decrypt

• Ασύμμετρη Υπογραφή: Χρησιμοποιείται για ασφαλή επικοινωνία

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Ανέλιξη Προνομίων

Μετά την Εκμετάλλευση

Αναφορές

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging