CMEK pour Google SecOps

Compatible avec :

Ce document explique comment configurer des clés de chiffrement gérées par le client (CMEK) pour Google Security Operations. Par défaut, Google SecOps chiffre les données client au repos à l'aide du chiffrement par défaut de Google, sans aucune action supplémentaire de votre part. Toutefois, pour mieux contrôler les clés de chiffrement ou lorsque cela est exigé par une organisation, les CMEK sont disponibles pour les instances Google SecOps.

Les CMEK sont des clés de chiffrement que vous possédez, gérez et stockez dans Cloud Key Management Service. L'utilisation de CMEK vous permet de contrôler entièrement les clés de chiffrement, y compris la gestion de leur cycle de vie, leur rotation et leurs stratégies d'accès. Lorsque vous configurez une CMEK, le service chiffre automatiquement toutes les données à l'aide de la clé spécifiée. En savoir plus sur les CMEK.

Les CMEK sont disponibles dans toutes les régions où Google SecOps est compatible. Pour obtenir la liste complète des régions compatibles avec Google SecOps, consultez la page Emplacements des services SecOps.

Utiliser des CMEK dans Cloud KMS

Pour contrôler vos clés de chiffrement, vous pouvez utiliser des CMEK dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Google SecOps, comme suit :

  • Vous gérez et stockez ces clés dans Cloud KMS.
  • Les données du Data Lake Google SecOps sont chiffrées au repos.
  • Lorsque vous configurez votre instance Google SecOps avec une CMEK, elle utilise la clé Cloud KMS sélectionnée pour chiffrer les données au repos dans le Data Lake.
  • L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation.

En savoir plus sur les tarifs de Cloud KMS.

Activer les CMEK

Les étapes suivantes décrivent le processus général d'intégration des CMEK à Google SecOps :

  1. Configurez un Google Cloud projet pour Google SecOps : acceptez l'invitation de provisionnement pour commencer. Notre équipe d'experts Google SecOps se chargera de la configuration et de l'intégration spécialisées.
  2. Créez une clé Cloud KMS dans la région où vous prévoyez d'héberger votre instance.
  3. Créez une instance Google SecOps et sélectionnez la clé CMEK que vous avez créée à l'étape 2. Vous serez invité à accorder à Google SecOps l'accès à cette clé lors de la création de l'instance.
  4. Facultatif : Planifiez une rotation des clés pour chaque clé. Nous vous recommandons cette pratique de sécurité pour minimiser l'impact d'une éventuelle compromission des clés.

Une fois l'intégration terminée, vous n'avez plus besoin de fournir de clé à l'aide de l'API ou de l'interface utilisateur pour cette instance.

Gestion des clés

Vous gérez vos clés à l'aide de Cloud KMS. Google SecOps ne peut ni détecter, ni exploiter les modifications d'une clé avant que celles-ci ne soient propagées par Cloud KMS. Bien que les modifications d'autorisation soient généralement rapides, les modifications importantes, telles que la désactivation ou la suppression d'une clé, peuvent prendre jusqu'à 12 heures pour prendre effet dans Google SecOps. En savoir plus sur Cloud KMS et les objectifs de niveau de service de Cloud KMS.

Lorsque vous désactivez votre clé CMEK, Google SecOps perd l'accès à vos données et ne peut plus les traiter. Cela signifie que Google SecOps ne peut pas lire, écrire ni mettre à jour les données existantes, et qu'il ne peut pas ingérer de nouvelles données. Si vous ne réactivez pas la clé, les données seront supprimées au bout de 30 jours. Lorsque vous réactivez l'accès à la clé KMS, Google SecOps commence automatiquement à ingérer et à traiter toutes les nouvelles données depuis la désactivation de la clé.

Google SecOps est compatible avec deux types de gestion des clés :

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.