Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK untuk Google SecOps

Didukung di:

Google secops

Dokumen ini menguraikan cara mengonfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk Google Security Operations. Google SecOps mengenkripsi data pelanggan dalam penyimpanan secara default menggunakan enkripsi default Google tanpa tindakan tambahan apa pun dari Anda. Namun, untuk kontrol yang lebih besar atas kunci enkripsi atau jika diwajibkan oleh organisasi, CMEK tersedia untuk instance Google SecOps.

CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service. Penggunaan CMEK memberikan kontrol penuh atas kunci enkripsi, termasuk mengelola siklus proses, rotasi, dan kebijakan aksesnya. Saat Anda mengonfigurasi CMEK, layanan akan otomatis mengenkripsi semua data menggunakan kunci yang ditentukan. Pelajari CMEK lebih lanjut.

CMEK tersedia di semua region tempat Google SecOps didukung. Untuk mengetahui daftar lengkap region yang didukung oleh Google SecOps, lihat Halaman Lokasi Layanan SecOps.

Menggunakan CMEK di Cloud KMS

Untuk mengontrol kunci enkripsi, Anda dapat menggunakan CMEK di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Google SecOps, sebagai berikut:

Anda mengelola dan menyimpan kunci ini di Cloud KMS.
Data di Google SecOps Data Lake dienkripsi dalam penyimpanan.
Saat Anda mengonfigurasi instance Google SecOps dengan CMEK, instance tersebut akan menggunakan kunci Cloud KMS yang dipilih untuk mengenkripsi data dalam penyimpanan di Data Lake.
Penggunaan CMEK dengan Cloud KMS dapat dikenakan biaya tambahan, bergantung pada pola penggunaan Anda.

Pelajari harga Cloud KMS lebih lanjut.

Mengaktifkan CMEK

Langkah-langkah berikut menguraikan proses tingkat tinggi untuk mengaktifkan CMEK dengan Google SecOps:

Mengonfigurasi Google Cloud project untuk Google SecOps: Terima undangan penyediaan untuk memulai. Tim Google SecOps ahli kami akan menangani konfigurasi dan integrasi khusus.
Buat kunci Cloud KMS di region tempat Anda berencana menghosting instance.
Buat instance Google SecOps baru dan pilih kunci CMEK yang Anda buat di Langkah 2. Anda akan diminta untuk memberikan akses Google SecOps ke kunci ini selama pembuatan instance.
Opsional: Jadwalkan rotasi kunci untuk setiap kunci. Kami merekomendasikan praktik keamanan ini untuk meminimalkan dampak potensi kompromi kunci.

Setelah menyelesaikan proses orientasi, Anda tidak perlu lagi memberikan kunci menggunakan API atau UI untuk instance tersebut.

Pengelolaan kunci

Google merekomendasikan agar Anda mengelola kunci menggunakan Cloud KMS. Google SecOps tidak dapat mendeteksi atau menindaklanjuti perubahan kunci apa pun hingga perubahan tersebut diterapkan oleh Cloud KMS.

Google SecOps mendukung dua jenis pengelolaan kunci:

Membuat Kunci Cloud KMS: ini yang direkomendasikan Google.
Menggunakan Cloud External Key Manager (Cloud EKM) (Cloud EKM): penggunaan kunci Cloud EKM dapat memengaruhi ketersediaan karena bergantung pada sistem eksternal.

Rotasi kunci

Meskipun perubahan izin biasanya cepat, rotasi kunci mengharuskan Anda menunggu selama dua minggu setelah rotasi dimulai sebelum dapat menghapus atau menonaktifkan kunci lama. Pelajari Cloud KMS dan Sasaran Tingkat Layanan Cloud KMS lebih lanjut.

Penonaktifan kunci

Saat Anda menonaktifkan kunci CMEK saat ini, Google SecOps akan kehilangan akses ke data Anda dan tidak dapat lagi memprosesnya. Artinya, Google SecOps tidak dapat membaca, menulis, atau memperbarui data yang ada, dan tidak dapat menyerap, menyimpan, atau memproses data baru apa pun. Jika Anda tidak mengaktifkan kembali kunci tersebut, data akan dihapus setelah 30 hari. Saat Anda mengaktifkan kembali kunci tersebut, Google SecOps akan otomatis mulai menyerap dan memproses data baru. Namun, sistem mungkin memerlukan waktu hingga dua minggu untuk sepenuhnya melanjutkan operasi ini.

Batasan kebijakan organisasi CMEK

Untuk menerapkan penggunaan CMEK untuk Google SecOps, Anda dapat menerapkan batasan kebijakan organisasi berikut di tingkat organisasi, folder, atau project:

constraints/gcp.restrictNonCmekServices: Mewajibkan layanan untuk menggunakan CMEK. Jika Anda menerapkan constraints/gcp.restrictNonCmekServices pada organisasi dan mencantumkan Google SecOps sebagai layanan yang dibatasi, Anda harus memilih kunci CMEK saat membuat instance Google SecOps.

Penting: Jika Anda menerapkan batasan ini dengan Google SecOps sebagai layanan yang dibatasi, tetapi tidak memberikan CMEK saat membuat instance, maka Google SecOps tidak akan disediakan.
constraints/gcp.restrictCmekCryptoKeyProjects: Mewajibkan kunci CMEK untuk Google SecOps berasal dari project tertentu atau sekumpulan project.

Jika Anda menerapkan kedua batasan pada organisasi yang akan berisi instance Google SecOps, Anda harus mengaktifkan CMEK menggunakan kunci dari project yang Anda tentukan saat menerapkan kebijakan organisasi.

Untuk mengetahui informasi tentang cara kebijakan organisasi dievaluasi di seluruh Google Cloud hierarki resource (organisasi, folder, dan project), lihat Memahami evaluasi hierarki.

Untuk mengetahui informasi umum tentang penggunaan kebijakan organisasi CMEK, lihat Kebijakan organisasi CMEK.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.