Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK für Google SecOps

Unterstützt in:

Google SecOps

In diesem Dokument wird beschrieben, wie Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für Google Security Operations konfigurieren. Google SecOps verschlüsselt ruhende Kundendaten standardmäßig mit der Google-Standardverschlüsselung, ohne dass Sie etwas tun müssen. Wenn Sie jedoch mehr Kontrolle über Verschlüsselungsschlüssel benötigen oder dies von einer Organisation vorgeschrieben wird, ist CMEK für Google SecOps-Instanzen verfügbar.

CMEKs sind Verschlüsselungsschlüssel, die Sie besitzen, verwalten und in Cloud Key Management Service speichern. Mit CMEKs haben Sie die vollständige Kontrolle über Verschlüsselungsschlüssel, einschließlich der Verwaltung ihres Lebenszyklus, ihrer Rotation und ihrer Zugriffsrichtlinien. Wenn Sie CMEK konfigurieren, verschlüsselt der Dienst automatisch alle Daten mit dem angegebenen Schlüssel. CMEK

CMEK ist in allen Regionen verfügbar, in denen Google SecOps unterstützt wird. Eine vollständige Liste der von Google SecOps unterstützten Regionen finden Sie auf der Seite mit den Standorten der SecOps-Dienste.

CMEK in Cloud KMS verwenden

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie CMEKs in Cloud KMS mit CMEK-integrierten Diensten wie Google SecOps verwenden. Gehen Sie dazu so vor:

Sie verwalten und speichern diese Schlüssel in Cloud KMS.
Daten im Google SecOps Data Lake werden im Ruhezustand verschlüsselt.
Wenn Sie Ihre Google SecOps-Instanz mit einem CMEK konfigurieren, wird der ausgewählte Cloud KMS-Schlüssel verwendet, um ruhende Daten im Data Lake zu verschlüsseln.
Die Verwendung von CMEK mit Cloud KMS kann je nach Nutzungsmuster zusätzliche Kosten verursachen.

Weitere Informationen zu Cloud KMS-Preisen

CMEK aktivieren

Die folgenden Schritte beschreiben den allgemeinen Prozess für das Onboarding von CMEK mit Google SecOps:

Google Cloud -Projekt für Google SecOps konfigurieren: Nehmen Sie die Bereitstellungseinladung an, um zu beginnen. Unser Expertenteam für Google SecOps übernimmt die spezielle Konfiguration und Integration.
Erstellen Sie einen Cloud KMS-Schlüssel in der Region, in der Sie Ihre Instanz hosten möchten.
Erstellen Sie eine neue Google SecOps-Instanz und wählen Sie den CMEK-Schlüssel aus, den Sie in Schritt 2 erstellt haben. Sie werden aufgefordert, Google SecOps während der Instanzerstellung Zugriff auf diesen Schlüssel zu gewähren.
Optional: Planen Sie eine Schlüsselrotation für jeden Schlüssel. Wir empfehlen diese Sicherheitsmaßnahme, um die Auswirkungen eines potenziellen Schlüsselmissbrauchs zu minimieren.

Nach dem Onboarding müssen Sie für diese Instanz keinen Schlüssel mehr über die API oder die Benutzeroberfläche angeben.

Schlüsselverwaltung

Google empfiehlt, Ihre Schlüssel mit Cloud KMS zu verwalten. Google SecOps kann Schlüsseländerungen erst erkennen oder darauf reagieren, wenn sie von Cloud KMS weitergegeben wurden.

Google SecOps unterstützt zwei Arten der Schlüsselverwaltung:

Cloud KMS-Schlüssel erstellen: Dies ist die von Google empfohlene Methode.
Cloud External Key Manager (Cloud EKM) verwenden: Die Verwendung von Cloud EKM-Schlüsseln kann sich aufgrund der Abhängigkeit von externen Systemen auf die Verfügbarkeit auswirken.

Schlüsselrotation

Berechtigungsänderungen werden in der Regel schnell vorgenommen. Bei der Schlüsselrotation müssen Sie jedoch zwei Wochen warten, nachdem die Rotation begonnen hat, bevor Sie den alten Schlüssel löschen oder deaktivieren können. Weitere Informationen zu Cloud KMS und Cloud KMS-Service Level Objectives

Schlüssel deaktivieren

Wenn Sie Ihren aktuellen CMEK-Schlüssel deaktivieren, verliert Google SecOps den Zugriff auf Ihre Daten und kann sie nicht mehr verarbeiten. Das bedeutet, dass Google SecOps keine vorhandenen Daten lesen, schreiben oder aktualisieren und keine neuen Daten aufnehmen, speichern oder verarbeiten kann. Wenn Sie den Schlüssel nicht wieder aktivieren, werden die Daten nach 30 Tagen gelöscht. Wenn Sie den Schlüssel wieder aktivieren, beginnt Google SecOps automatisch mit dem Erfassen und Verarbeiten neuer Daten. Es kann jedoch bis zu zwei Wochen dauern, bis das System diese Vorgänge vollständig wieder aufnimmt.

Einschränkungen für CMEK-Organisationsrichtlinien

Wenn Sie die Verwendung von CMEK für Google SecOps erzwingen möchten, können Sie die folgenden Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene anwenden:

constraints/gcp.restrictNonCmekServices: Erfordert, dass Dienste CMEK verwenden. Wenn Sie constraints/gcp.restrictNonCmekServices für eine Organisation erzwingen und Google SecOps als eingeschränkten Dienst auflisten, müssen Sie beim Erstellen Ihrer Google SecOps-Instanz einen CMEK-Schlüssel auswählen.

Wichtig :Wenn Sie diese Einschränkung mit Google SecOps als eingeschränkten Dienst erzwingen, aber beim Erstellen einer Instanz keinen CMEK-Schlüssel angeben, wird Google SecOps nicht bereitgestellt.
constraints/gcp.restrictCmekCryptoKeyProjects: Erfordert, dass der CMEK-Schlüssel für Google SecOps aus einem bestimmten Projekt oder einer bestimmten Gruppe von Projekten stammt.

Wenn Sie beide Einschränkungen für die Organisation erzwingen, die Ihre Google SecOps-Instanz enthält, müssen Sie CMEK mit einem Schlüssel aus einem Projekt aktivieren, das Sie beim Anwenden der Organisationsrichtlinien angeben.

Informationen dazu, wie Organisationsrichtlinien in derGoogle Cloud -Ressourcenhierarchie (Organisationen, Ordner und Projekte) ausgewertet werden, finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Allgemeine Informationen zur Verwendung von CMEK-Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten