CMEK konfigurieren
In diesem Dokument wird beschrieben, wie Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für Google Security Operations konfigurieren. Google SecOps verschlüsselt Kundendaten im Ruhezustand standardmäßig mit der Google-Standardverschlüsselung, ohne dass Sie etwas tun müssen. Wenn Sie jedoch mehr Kontrolle über Verschlüsselungsschlüssel benötigen oder dies von einer Organisation vorgeschrieben wird, ist CMEK für Google SecOps-Instanzen verfügbar.
CMEKs sind Verschlüsselungsschlüssel, die Sie besitzen, verwalten und in Cloud Key Management Service speichern. Mit CMEKs haben Sie die vollständige Kontrolle über Verschlüsselungsschlüssel, einschließlich der Verwaltung ihres Lebenszyklus, ihrer Rotation und ihrer Zugriffsrichtlinien. Wenn Sie CMEK konfigurieren, verschlüsselt der Dienst automatisch alle Daten mit dem angegebenen Schlüssel. CMEK
CMEK ist in allen Regionen verfügbar, in denen Google SecOps unterstützt wird. Eine vollständige Liste der von Google SecOps unterstützten Regionen finden Sie auf der Seite mit den Standorten der SecOps-Dienste.
CMEK in Cloud KMS verwenden
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie CMEKs in Cloud KMS mit CMEK-integrierten Diensten wie Google SecOps verwenden:
- Sie verwalten und speichern diese Schlüssel in Cloud KMS.
- Daten im Google SecOps Data Lake werden im Ruhezustand verschlüsselt.
- Wenn Sie Ihre Google SecOps-Instanz mit einem CMEK konfigurieren, wird der ausgewählte Cloud KMS-Schlüssel verwendet, um Daten im Ruhezustand im Data Lake zu verschlüsseln.
- Die Verwendung von CMEK mit Cloud KMS kann je nach Nutzungsmuster zusätzliche Kosten verursachen.
Weitere Informationen zu Cloud KMS-Preisen
Verfügbarkeit von Funktionen mit Cloud KMS
In der folgenden Tabelle ist die Verfügbarkeit wichtiger Funktionen mit Cloud KMS für Google SecOps-Kunden zusammengefasst:
| Funktion | Cloud KMS-Status | Roadmap / Voraussichtliche Ankunftszeit | Hinweise/Details |
|---|---|---|---|
| Datentabellen | Cloud KMS-konform | Verfügbar | |
| Gemini-/KI-Funktionen | KI-Funktionen in einer Cloud KMS-Umgebung aktiviert; nicht Cloud KMS-konform | 30. Juni 2025 | Ermöglicht einem Cloud KMS-Kunden, Gemini in Google SecOps-Funktionen ohne Cloud KMS-Unterstützung zu verwenden. Enthält: NL Query, Rule, PlaybooksChat / Investigation Assistant, Triage Agent (Private Preview Q3 2025, Public Preview Q4 2025). Ausgenommen: SecOps Lab. Für neue KI-Funktionen werden Cloud KMS-Zeitpläne von Fall zu Fall bereitgestellt. |
| Gemini-/KI-Funktionen | Vollständige Cloud KMS-Unterstützung | H1/26 (genauer Zeitplan wird je nach Abhängigkeiten festgelegt) | Enthält: NL Query, Rule, PlaybooksChat / Investigation Assistant, Triage Agent (öffentliche Vorschau, GA TBD). Ausgenommen: SecOps Lab. Für neue KI-Funktionen werden Cloud KMS-Zeitpläne von Fall zu Fall bereitgestellt. |
| BigQuery-Exporte | Std/Ent: BYOBQ → Cloud KMS-kompatibel | Private Vorschau | Für Enterprise Plus wird auf das neue Angebot von Advanced BigQuery umgestellt, das sich in der privaten Vorschau befindet und mit Cloud KMS kompatibel ist. Für Cloud KMS- und VPC Service Controls-Nutzer kann der direkte Zugriff auf das TLA-Projekt für Exporte blockiert werden (wodurch die Exportfunktion nicht mehr funktioniert) oder dieser direkte Zugriffspfad bleibt nicht konform. |
| Looker-Dashboards | Nicht Cloud KMS-konform | Wird zugunsten von integrierten Dashboards nicht mehr unterstützt | Integrierte Dashboards werden in Zukunft die wichtigste Dashboarding-Funktion sein und sind bereits Cloud KMS-konform. |
| Eingebettetes Dashboard | E‑Mail mit Anhang – nicht Cloud KMS-konform (Ende-zu-Ende) | Voraussichtlicher Zeitplan für Phase 1: Anfang Dezember 2025 | Diese Option ist weniger sicher, da die Anlage nicht von Google SecOps kontrolliert werden kann, sobald sie von E-Mail-Servern und ‑Clients empfangen wurde. |
| Eingebettetes Dashboard | E‑Mail mit Cloud Storage-Bucket-Link für den Bericht – Cloud KMS-konform | Phase 2: noch nicht festgelegt | Diese Option entspricht Cloud KMS, da der Bericht mit Cloud KMS-Verschlüsselung in Cloud Storage gespeichert wird. |
| Data Taps | Von Diensten ausgeschlossen (wird nicht mehr für GA berücksichtigt) | Keine allgemeine Verfügbarkeit | Wenn Sie Cloud KMS- und VPC Service Controls-Unterstützung für alle Google SecOps-Dienste aktivieren, wird DataTap ausgeschlossen. |
CMEK aktivieren
Die folgenden Schritte beschreiben den allgemeinen Prozess für das Onboarding von CMEK mit Google SecOps:
- Google Cloud -Projekt für Google SecOps konfigurieren: Nehmen Sie die Bereitstellungseinladung an, um zu beginnen. Unser Expertenteam für Google SecOps übernimmt die spezielle Konfiguration und Integration.
- Erstellen Sie einen Cloud KMS-Schlüssel in der Region, in der Sie Ihre Instanz hosten möchten.
- Erstellen Sie eine neue Google SecOps-Instanz und wählen Sie den CMEK-Schlüssel aus, den Sie in Schritt 2 erstellt haben. Sie werden aufgefordert, Google SecOps während der Instanzerstellung Zugriff auf diesen Schlüssel zu gewähren.
- Optional: Legen Sie für jeden Schlüssel einen Zeitplan für die Schlüsselrotation fest. Google empfiehlt diese Sicherheitsmaßnahme, um die Auswirkungen eines potenziellen Schlüsselmissbrauchs zu minimieren.
Nach dem Onboarding müssen Sie für diese Instanz keinen Schlüssel mehr über die API oder die Benutzeroberfläche angeben.
Schlüsselverwaltung
Google empfiehlt, Ihre Schlüssel mit Cloud KMS zu verwalten. Google SecOps kann Schlüsseländerungen erst erkennen oder darauf reagieren, wenn sie von Cloud KMS weitergegeben wurden.
Google SecOps unterstützt zwei Arten der Schlüsselverwaltung:
- Cloud KMS-Schlüssel erstellen: Dies ist die von Google empfohlene Methode.
- Cloud External Key Manager (Cloud EKM) verwenden: Die Verwendung von Cloud EKM-Schlüsseln kann sich aufgrund der Abhängigkeit von externen Systemen auf die Verfügbarkeit auswirken.
Schlüsselrotation verwalten
Sie müssen den Schlüssel zerstören, bevor Sie ihn löschen:
- Deaktivieren Sie den Schlüssel oder die Schlüsselversion. Dieser Schritt ist in der Regel optional, aber für einige Organisationsrichtlinien muss der Schlüssel vor dem Löschen deaktiviert werden.
- Schlüsselversion löschen
- Löschen Sie den Schlüssel.
Datenzugriff und permanenter Datenverlust
Google empfiehlt, Protokolle zu überwachen, um Schlüssel zu erkennen, die nicht mehr verfügbar sind, solange noch Zeit ist, Datenverlust zu verhindern.
Nachdem Google SecOps den Zugriff auf Daten verloren hat, werden die Daten nach 30 Tagen gelöscht.
Google SecOps kann den Zugriff auf Daten aufgrund einer absichtlichen Aktion eines Nutzers (z. B. Widerruf eines Schlüssels) oder einer unbeabsichtigten Aktion (z. B. Verlust der EKM-Verbindung) verlieren. Das bedeutet, dass Google SecOps keine vorhandenen Daten lesen, schreiben oder aktualisieren und keine neuen Daten aufnehmen, speichern oder verarbeiten kann.
Wenn Google SecOps wieder Zugriff auf Daten erhält (z. B. wenn Sie den Schlüssel wieder aktivieren), beginnt Google SecOps automatisch mit dem Erfassen und Verarbeiten neuer Daten. Es kann jedoch bis zu zwei Wochen dauern, bis das System diese Vorgänge wieder vollständig ausführt.
Einschränkungen für CMEK-Organisationsrichtlinien
Wenn Sie die Verwendung von CMEK für Google SecOps erzwingen möchten, können Sie die folgenden Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene anwenden:
constraints/gcp.restrictNonCmekServices: Erfordert, dass Dienste CMEK verwenden. Wenn Sieconstraints/gcp.restrictNonCmekServicesfür eine Organisation erzwingen und Google SecOps als eingeschränkten Dienst auflisten, müssen Sie beim Erstellen Ihrer Google SecOps-Instanz einen CMEK-Schlüssel auswählen.constraints/gcp.restrictCmekCryptoKeyProjects: Erfordert, dass der CMEK-Schlüssel für Google SecOps aus einem bestimmten Projekt oder einer bestimmten Gruppe von Projekten stammt.
Wenn Sie beide Einschränkungen für die Organisation erzwingen, die Ihre Google SecOps-Instanz enthält, müssen Sie CMEK mit einem Schlüssel aus einem Projekt aktivieren, das Sie beim Anwenden der Organisationsrichtlinien angeben.
Informationen dazu, wie Organisationsrichtlinien in derGoogle Cloud -Ressourcenhierarchie (Organisationen, Ordner und Projekte) ausgewertet werden, finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Allgemeine Informationen zur Verwendung von CMEK-Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten