Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK para Google SecOps

Compatible con:

Google secops

En este documento, se describe cómo configurar las claves de encriptación administradas por el cliente (CMEK) para Google Security Operations. Google SecOps encripta los datos del cliente en reposo de forma predeterminada con la encriptación predeterminada de Google sin que debas realizar ninguna acción adicional. Sin embargo, para obtener más control sobre las claves de encriptación o cuando lo exige una organización, CMEK está disponible para las instancias de Google SecOps.

Las CMEK son claves de encriptación que posees, administras y almacenas en Cloud Key Management Service. El uso de CMEK proporciona control total sobre las claves de encriptación, incluida la administración de su ciclo de vida, la rotación y las políticas de acceso. Cuando configuras CMEK, el servicio encripta automáticamente todos los datos con la clave especificada. Obtén más información sobre CMEK.

CMEK está disponible en todas las regiones en las que se admite Google SecOps. Para obtener una lista completa de las regiones compatibles con Google SecOps, consulta la página Ubicaciones de los servicios de SecOps.

Usa CMEK en Cloud KMS

Para controlar tus claves de encriptación, puedes usar CMEK en Cloud KMS con servicios integrados en CMEK, incluido Google SecOps, de la siguiente manera:

Administras y almacenas estas claves en Cloud KMS.
Los datos del lago de datos de Google SecOps se encriptan en reposo.
Cuando configuras tu instancia de Google SecOps con una CMEK, usa la clave de Cloud KMS seleccionada para encriptar los datos en reposo dentro del lago de datos.
El uso de CMEK con Cloud KMS puede generar costos adicionales, según tus patrones de uso.

Obtén más información sobre los precios de Cloud KMS.

Habilita CMEK

En los siguientes pasos, se describe el proceso de alto nivel para incorporar CMEK con Google SecOps:

Configura un Google Cloud proyecto para Google SecOps: Acepta la invitación de aprovisionamiento para comenzar. Nuestro equipo experto de Google SecOps se encargará de la configuración y la integración especializadas.
Crea una clave de Cloud KMS en la región en la que planeas alojar tu instancia.
Crea una instancia nueva de Google SecOps y selecciona la clave de CMEK que creaste en el paso 2. Se te pedirá que otorgues acceso a Google SecOps a esta clave durante la creación de la instancia.
Opcional: Programa una rotación de claves para cada clave. Recomendamos esta práctica de seguridad para minimizar el impacto de una posible vulneración de la clave.

Una vez que completes la incorporación, ya no necesitarás proporcionar una clave con la API o la IU para esa instancia.

Administración de claves

Google recomienda que administres tus claves con Cloud KMS. Google SecOps no puede detectar ni realizar cambios en cualquier cambio de clave hasta que Cloud KMS los propague.

Google SecOps admite dos tipos de administración de claves:

Crea una clave de Cloud KMS: Es lo que recomienda Google.
Usa Cloud External Key Manager (Cloud EKM): El uso de claves de Cloud EKM puede afectar la disponibilidad debido a la dependencia de sistemas externos.

Rotación de claves

Aunque los cambios de permisos suelen ser rápidos, la rotación de claves requiere que esperes dos semanas después de que comience la rotación antes de poder borrar o inhabilitar la clave anterior. Obtén más información sobre Cloud KMS y los objetivos de nivel de servicio de Cloud KMS.

Inhabilitación de claves

Cuando inhabilitas tu clave de CMEK actual, Google SecOps pierde el acceso a tus datos y ya no puede procesarlos. Esto significa que Google SecOps no puede leer, escribir ni actualizar datos existentes, y no puede transferir, almacenar ni procesar datos nuevos. Si no vuelves a habilitar la clave, los datos se borrarán después de 30 días. Cuando vuelves a habilitar la clave, Google SecOps comienza automáticamente a transferir y procesar datos nuevos. Sin embargo, es posible que el sistema tarde hasta dos semanas en reanudar por completo estas operaciones.

Restricciones de políticas de la organización de CMEK

Para aplicar el uso de CMEK para Google SecOps, puedes aplicar las siguientes restricciones de políticas de la organización a nivel de la organización, la carpeta o el proyecto:

constraints/gcp.restrictNonCmekServices: Requiere que los servicios usen CMEK. Si aplicas constraints/gcp.restrictNonCmekServices en una organización y enumeras Google SecOps como un servicio restringido, debes seleccionar una clave de CMEK cuando crees tu instancia de Google SecOps.

Importante: Si aplicas esta restricción con Google SecOps como un servicio restringido, pero no proporcionas una CMEK cuando creas una instancia, no se aprovisionará Google SecOps.
constraints/gcp.restrictCmekCryptoKeyProjects: Requiere que la clave de CMEK para Google SecOps provenga de un proyecto o un conjunto de proyectos específicos.

Si aplicas ambas restricciones en la organización que contendría tu instancia de Google SecOps, debes habilitar CMEK con una clave de un proyecto que especifiques cuando apliques las políticas de la organización.

Para obtener información sobre cómo se evalúan las políticas de la organización en la Google Cloud jerarquía de recursos (organizaciones, carpetas y proyectos), consulta Comprende la evaluación de jerarquías.

Para obtener información general sobre el uso de políticas de la organización de CMEK, consulta Políticas de la organización de CMEK.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.