Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK pour Google SecOps

Compatible avec :

Google secops

Ce document explique comment configurer des clés de chiffrement gérées par le client (CMEK) pour Google Security Operations. Par défaut, Google SecOps chiffre les données client au repos à l'aide du chiffrement par défaut de Google, sans aucune action supplémentaire de votre part. Toutefois, pour mieux contrôler les clés de chiffrement ou lorsque cela est obligatoire pour une organisation, les CMEK sont disponibles pour les instances Google SecOps.

Les CMEK sont des clés de chiffrement que vous possédez, gérez et stockez dans Cloud Key Management Service. L'utilisation de CMEK vous permet de contrôler entièrement les clés de chiffrement, y compris la gestion de leur cycle de vie, leur rotation et leurs règles d'accès. Lorsque vous configurez une CMEK, le service chiffre automatiquement toutes les données à l'aide de la clé spécifiée. En savoir plus sur les CMEK.

Les CMEK sont disponibles dans toutes les régions où Google SecOps est compatible. Pour obtenir la liste complète des régions compatibles avec Google SecOps, consultez la page Emplacements des services SecOps.

Utiliser des CMEK dans Cloud KMS

Pour contrôler vos clés de chiffrement, vous pouvez utiliser des CMEK dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Google SecOps, comme suit :

Vous gérez et stockez ces clés dans Cloud KMS.
Les données du data lake Google SecOps sont chiffrées au repos.
Lorsque vous configurez votre instance Google SecOps avec une CMEK, elle utilise la clé Cloud KMS sélectionnée pour chiffrer les données au repos dans le data lake.
L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation.

En savoir plus sur les tarifs de Cloud KMS.

Activer les CMEK

Les étapes suivantes décrivent le processus général d'intégration des CMEK à Google SecOps :

Configurez un Google Cloud projet pour Google SecOps : acceptez l'invitation de provisionnement pour commencer. Notre équipe d'experts Google SecOps se chargera de la configuration et de l'intégration spécialisées.
Créez une clé Cloud KMS dans la région où vous prévoyez d'héberger votre instance.
Créez une instance Google SecOps et sélectionnez la clé CMEK que vous avez créée à l'étape 2. Vous serez invité à accorder à Google SecOps l'accès à cette clé lors de la création de l'instance.
Facultatif : Planifiez une rotation des clés pour chaque clé. Nous vous recommandons cette pratique de sécurité pour minimiser l'impact d'une éventuelle compromission des clés.

Une fois l'intégration terminée, vous n'avez plus besoin de fournir de clé à l'aide de l'API ou de l'interface utilisateur pour cette instance.

Gestion des clés

Google vous recommande de gérer vos clés à l'aide de Cloud KMS. Google SecOps ne peut ni détecter, ni exploiter les modifications d'une clé avant que celles-ci ne soient propagées par Cloud KMS.

Google SecOps est compatible avec deux types de gestion des clés :

Créer une clé Cloud KMS : c'est ce que Google recommande.
Utiliser Cloud External Key Manager (Cloud EKM) : l'utilisation de clés Cloud EKM peut affecter la disponibilité, car elle dépend de systèmes externes.

Rotation des clés

Bien que les modifications d'autorisation soient généralement rapides, la rotation des clés nécessite que vous attendiez deux semaines avant de pouvoir supprimer ou désactiver votre ancienne clé. En savoir plus sur Cloud KMS et les objectifs de niveau de service Cloud KMS.

Désactivation des clés

Lorsque vous désactivez votre clé CMEK actuelle, Google SecOps perd l'accès à vos données et ne peut plus les traiter. Cela signifie que Google SecOps ne peut pas lire, écrire ni mettre à jour les données existantes, et qu'il ne peut pas ingérer, stocker ni traiter de nouvelles données. Si vous ne réactivez pas la clé, les données seront supprimées au bout de 30 jours. Lorsque vous réactivez la clé, Google SecOps commence automatiquement à ingérer et à traiter de nouvelles données. Toutefois, le système peut mettre jusqu'à deux semaines pour reprendre complètement ces opérations.

Contraintes liées aux règles d'administration CMEK

Pour appliquer l'utilisation de CMEK pour Google SecOps, vous pouvez appliquer les contraintes liées aux règles d'administration suivantes au niveau de l'organisation, du dossier ou du projet :

constraints/gcp.restrictNonCmekServices : exige que les services utilisent CMEK. Si vous appliquez constraints/gcp.restrictNonCmekServices à une organisation et que vous répertoriez Google SecOps comme service restreint, vous devez sélectionner une clé CMEK lorsque vous créez votre instance Google SecOps.

Important : Si vous appliquez cette contrainte avec Google SecOps comme service restreint, mais que vous ne fournissez pas de CMEK lors de la création d'une instance, Google SecOps ne sera pas provisionné.
constraints/gcp.restrictCmekCryptoKeyProjects: exige que la clé CMEK pour Google SecOps provienne d'un projet ou d'un ensemble de projets spécifiques.

Si vous appliquez les deux contraintes à l'organisation qui contiendra votre instance Google SecOps, vous devez activer CMEK à l'aide d'une clé provenant d'un projet que vous spécifiez lorsque vous appliquez les règles d'administration.

Pour en savoir plus sur l'évaluation des règles d'administration dans la Google Cloud hiérarchie des ressources (organisations, dossiers et projets), consultez la page Comprendre le processus d'évaluation hiérarchique.

Pour obtenir des informations générales sur l'utilisation des règles d'administration CMEK, consultez la page Règles d'administration CMEK.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.