Configura CMEK
En este documento, se describe cómo configurar claves de encriptación administradas por el cliente (CMEK) para Google Security Operations. De forma predeterminada, Google SecOps encripta los datos del cliente en reposo con la encriptación predeterminada de Google sin que debas realizar ninguna acción adicional. Sin embargo, para tener más control sobre las claves de encriptación o cuando lo exige una organización, CMEK está disponible para las instancias de Google SecOps.
Las CMEK son claves de encriptación que posees, administras y almacenas en Cloud Key Management Service. El uso de CMEK proporciona control total sobre las claves de encriptación, incluida la administración de su ciclo de vida, la rotación y las políticas de acceso. Cuando configuras CMEK, el servicio encripta automáticamente todos los datos con la clave especificada. Obtén más información sobre CMEK.
CMEK está disponible en todas las regiones en las que se admite Google SecOps. Para obtener una lista completa de las regiones compatibles con Google SecOps, consulta la página Ubicaciones de los servicios de SecOps.
Usa CMEK en Cloud KMS
Para controlar tus claves de encriptación, puedes usar CMEK en Cloud KMS con servicios integrados en CMEK, incluido Google SecOps, de la siguiente manera:
- Administras y almacenas estas claves en Cloud KMS.
- Los datos del lago de datos de Google SecOps se encriptan en reposo.
- Cuando configuras tu instancia de Google SecOps con una CMEK, usa la clave de Cloud KMS seleccionada para encriptar los datos en reposo dentro del lago de datos.
- El uso de CMEK con Cloud KMS puede generar costos adicionales, según tus patrones de uso.
Obtén más información sobre los precios de Cloud KMS.
Habilita CMEK
En los siguientes pasos, se describe el proceso de alto nivel para incorporar CMEK con Google SecOps:
- Configura un Google Cloud proyecto para Google SecOps: Acepta la invitación de aprovisionamiento para comenzar. Nuestro equipo experto de Google SecOps se encargará de la configuración y la integración especializadas.
- Crea una clave de Cloud KMS en la región en la que planeas alojar tu instancia.
- Crea una instancia nueva de Google SecOps y selecciona la clave de CMEK que creaste en el paso 2. Se te pedirá que otorgues acceso a Google SecOps a esta clave durante la creación de la instancia.
- Opcional: Establece un programa de rotación de claves para cada clave. Google recomienda esta práctica de seguridad para minimizar el impacto de una posible vulneración de claves.
Una vez que completes la incorporación, ya no necesitarás proporcionar una clave con la API o la IU para esa instancia.
Administración de claves
Google recomienda que administres tus claves con Cloud KMS. Google SecOps no puede detectar ni realizar cambios en cualquier cambio de clave hasta que Cloud KMS los propague.
Google SecOps admite dos tipos de administración de claves:
- Crea una clave de Cloud KMS: Esto es lo que recomienda Google.
- Usa Cloud External Key Manager (Cloud EKM)): El uso de claves de Cloud EKM puede afectar la disponibilidad debido a la dependencia de sistemas externos.
Administra la rotación de claves
Debes destruir la clave antes de borrarla de la siguiente manera:
- Inhabilita la clave o la versión de clave. Por lo general, este paso es opcional, pero algunas políticas de la organización requieren que la clave se inhabilite antes de la destrucción.
- Destruye la versión de clave.
- Borra la clave.
Acceso a los datos y pérdida permanente de datos
Google recomienda que supervises los registros para detectar las claves que dejaron de estar disponibles mientras aún haya tiempo para evitar la pérdida de datos.
Después de que Google SecOps pierde el acceso a los datos, estos se borran después de 30 días.
Google SecOps puede perder el acceso a los datos debido a una acción intencional de un usuario (por ejemplo, la revocación de claves) o una acción no intencional (por ejemplo, una caída de conectividad de EKM). Esto significa que Google SecOps no puede leer, escribir ni actualizar datos existentes, y no puede incorporar, almacenar ni procesar datos nuevos.
Si Google SecOps recupera el acceso a los datos (por ejemplo, cuando vuelves a habilitar la clave), Google SecOps comienza a incorporar y procesar datos nuevos de forma automática. Sin embargo, es posible que el sistema tarde hasta dos semanas en reanudar por completo estas operaciones.
Restricciones de políticas de la organización de CMEK
Para aplicar el uso de CMEK para Google SecOps, puedes aplicar las siguientes restricciones de políticas de la organización a nivel de la organización, la carpeta o el proyecto:
constraints/gcp.restrictNonCmekServices: Requiere que los servicios usen CMEK. Si aplicasconstraints/gcp.restrictNonCmekServicesen una organización y enumeras Google SecOps como un servicio restringido, debes seleccionar una clave de CMEK cuando crees tu instancia de Google SecOps.constraints/gcp.restrictCmekCryptoKeyProjects: Requiere que la clave de CMEK para Google SecOps provenga de un proyecto o un conjunto de proyectos específicos.
Si aplicas ambas restricciones en la organización que contendría tu instancia de Google SecOps, debes habilitar CMEK con una clave de un proyecto que especifiques cuando apliques las políticas de la organización.
Para obtener información sobre cómo se evalúan las políticas de la organización en la Google Cloud jerarquía de recursos (organizaciones, carpetas y proyectos), consulta Comprende la evaluación de jerarquías.
Para obtener información general sobre el uso de políticas de la organización de CMEK, consulta Políticas de la organización de CMEK.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.