Configurare CMEK

Supportato in:

Questo documento descrive come configurare le chiavi di crittografia gestite dal cliente (CMEK) per Google Security Operations. Per impostazione predefinita, Google SecOps cripta i dati inattivi dei clienti utilizzando la crittografia predefinita di Google senza che tu debba eseguire ulteriori azioni. Tuttavia, per un maggiore controllo sulle chiavi di crittografia o quando richiesto da un'organizzazione, CMEK è disponibile per le istanze Google SecOps.

Le chiavi CMEK sono chiavi di crittografia di tua proprietà, che gestisci e archivi in Cloud Key Management Service. L'utilizzo delle chiavi CMEK offre il controllo completo sulle chiavi di crittografia, inclusa la gestione del ciclo di vita, della rotazione e delle policy di accesso. Quando configuri CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Scopri di più su CMEK.

CMEK è disponibile in tutte le regioni in cui è supportato Google SecOps. Per un elenco completo delle regioni supportate da Google SecOps, consulta la pagina delle località dei servizi SecOps.

Utilizzare le chiavi CMEK in Cloud KMS

Per controllare le chiavi di crittografia, puoi utilizzare le chiavi CMEK in Cloud KMS con i servizi integrati con CMEK, incluso Google SecOps, nel seguente modo:

  • Gestisci e archivi queste chiavi in Cloud KMS.
  • I dati nel data lake di Google SecOps sono criptati at-rest.
  • Quando configuri l'istanza Google SecOps con una chiave CMEK, questa utilizza la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del data lake.
  • L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei pattern di utilizzo.

Scopri di più sui prezzi di Cloud KMS.

Disponibilità delle funzionalità con Cloud KMS

La seguente tabella riassume la disponibilità delle funzionalità principali con Cloud KMS per i clienti Google SecOps:

Funzionalità Stato di Cloud KMS Roadmap / ETA Note/Dettagli
Tabelle di dati Conforme a Cloud KMS Disponibile
Funzionalità di AI / Gemini Funzionalità di AI abilitate in un ambiente Cloud KMS; non conforme a Cloud KMS 30 giugno 2025 Consente a un cliente Cloud KMS di attivare l'utilizzo di Gemini nelle funzionalità di Google SecOps senza il supporto di Cloud KMS. Include: query in linguaggio naturale, regole, PlaybooksChat / Assistente per le indagini, agente di triage (anteprima privata nel terzo trimestre del 2025, anteprima pubblica nel quarto trimestre del 2025). Esclude: SecOps Lab. Per le nuove funzionalità di AI, le tempistiche di Cloud KMS verranno fornite caso per caso.
Funzionalità di AI / Gemini Supporto completo di Cloud KMS Primo semestre del 2026 (tempistiche esatte da definire in base alle dipendenze) Include: query in linguaggio naturale, regole, PlaybooksChat / Assistente per le indagini, agente di triage (anteprima pubblica, GA da definire). Esclude: SecOps Lab. Per le nuove funzionalità di AI, le tempistiche di Cloud KMS verranno fornite caso per caso.
Esportazioni in BigQuery Standard/Enterprise: BYOBQ → conforme a Cloud KMS In anteprima privata Per Enterprise Plus, stiamo passando alla nostra nuova offerta di BigQuery avanzato, che è in anteprima privata e conforme a Cloud KMS. Per gli utenti di Cloud KMS e Controlli di servizio VPC, l'accesso diretto al progetto TLA per le esportazioni può essere bloccato (interrompendo la funzionalità Esportazioni) oppure questo percorso di accesso diretto rimarrebbe non conforme.
Dashboard di Looker Non sarà conforme a Cloud KMS Ritirato a favore delle dashboard integrate Le dashboard integrate saranno la funzionalità principale di creazione di dashboard in futuro e sono già conformi a Cloud KMS.
Dashboard integrata Email con allegato: non conforme a Cloud KMS end-to-end ETA della fase 1: inizio dicembre 2025 Questa opzione è meno sicura perché l'allegato non può essere controllato da Google SecOps una volta ricevuto dai server e dai client di posta.
Dashboard integrata Email con link al bucket Cloud Storage per il report: conforme a Cloud KMS ETA della fase 2: da definire Questa opzione è conforme a Cloud KMS perché il report verrà archiviato in Cloud Storage con la crittografia Cloud KMS.
Data Tap Escluso dai servizi (non verrà più preso in considerazione per la GA) Non verrà rilasciato in GA Quando si abilita il supporto di Cloud KMS e Controlli di servizio VPC per tutti i servizi Google SecOps, DataTap verrà escluso.

Attivare CMEK

I seguenti passaggi descrivono il processo di onboarding di CMEK con Google SecOps:

  1. Configura un Google Cloud progetto per Google SecOps: accetta l'invito di provisioning per iniziare. Il nostro team di esperti di Google SecOps si occuperà della configurazione e dell'integrazione specializzate.
  2. Crea una chiave Cloud KMS nella regione in cui prevedi di ospitare l'istanza.
  3. Crea una nuova istanza Google SecOps e seleziona la chiave CMEK creata nel passaggio 2. Ti verrà chiesto di concedere a Google SecOps l'accesso a questa chiave durante la creazione dell'istanza.
  4. (Facoltativo) Imposta una pianificazione della rotazione delle chiavi per ogni chiave. Google consiglia questa prassi di sicurezza per ridurre al minimo l'impatto di una potenziale compromissione delle chiavi.

Una volta completato l'onboarding, non devi più fornire una chiave utilizzando l'API o l'interfaccia utente per l'istanza.

Gestione delle chiavi

Google consiglia di gestire le chiavi utilizzando Cloud KMS. Google SecOps non può rilevare o agire su eventuali modifiche delle chiavi finché non vengono propagate da Cloud KMS.

Google SecOps supporta due tipi di gestione delle chiavi:

Gestire rotazione della chiave

Devi eliminare la chiave prima di eliminarla nel seguente modo:

  1. Disabilita la chiave o la versione della chiave. Questo passaggio è in genere facoltativo, ma alcune policy dell'organizzazione richiedono che la chiave venga disabilitata prima dell'eliminazione.
  2. Elimina la versione della chiave.
  3. Elimina la chiave.

Accesso ai dati e perdita permanente dei dati

Google consiglia di monitorare i log per rilevare le chiavi che sono diventate non disponibili mentre è ancora possibile prevenire la perdita di dati.

Dopo che Google SecOps perde l'accesso ai dati, questi vengono eliminati dopo 30 giorni.

Google SecOps può perdere l'accesso ai dati a causa di un'azione intenzionale di un utente (ad esempio, la revoca della chiave) o di un'azione non intenzionale (ad esempio, un'interruzione della connettività EKM). Ciò significa che Google SecOps non può leggere, scrivere o aggiornare i dati esistenti e non può inserire, archiviare o trattare nuovi dati.

Se Google SecOps riacquista l'accesso ai dati (ad esempio, quando riattivi la chiave), inizia automaticamente a inserire e trattare i nuovi dati. Tuttavia, il sistema potrebbe impiegare fino a due settimane per riprendere completamente queste operazioni.

Vincoli delle policy dell'organizzazione CMEK

Per applicare l'utilizzo di CMEK per Google SecOps, puoi applicare i seguenti vincoli delle policy dell'organizzazione a livello di organizzazione, cartella o progetto:

  • constraints/gcp.restrictNonCmekServices: richiede che i servizi utilizzino CMEK. Se applichi constraints/gcp.restrictNonCmekServices a un'organizzazione ed elenchi Google SecOps come servizio con limitazioni, devi selezionare una chiave CMEK quando crei l'istanza Google SecOps.

  • constraints/gcp.restrictCmekCryptoKeyProjects: richiede che la chiave CMEK per Google SecOps provenga da un progetto o da un insieme di progetti specifici.

Se applichi entrambi i vincoli all'organizzazione che conterrà l'istanza Google SecOps, devi attivare CMEK utilizzando una chiave di un progetto che specifichi quando applichi le policy dell'organizzazione.

Per informazioni su come vengono valutate le policy dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta la pagina Comprendere la valutazione della gerarchia.

Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta la pagina Policy dell'organizzazione CMEK.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.