Configurer les CMEK
Ce document explique comment configurer des clés de chiffrement gérées par le client (CMEK) pour Google Security Operations. Google SecOps chiffre les données client au repos par défaut à l'aide du chiffrement par défaut de Google, sans aucune action supplémentaire de votre part. Toutefois, pour un contrôle plus précis des clés de chiffrement ou lorsque cela est exigé par une organisation, les CMEK sont disponibles pour les instances Google SecOps.
Les CMEK sont des clés de chiffrement dont vous êtes propriétaire, que vous gérez et que vous stockez dans Cloud Key Management Service. L'utilisation de CMEK permet de contrôler entièrement les clés de chiffrement, y compris la gestion de leur cycle de vie, de leur rotation et de leurs règles d'accès. Lorsque vous configurez CMEK, le service chiffre automatiquement toutes les données à l'aide de la clé spécifiée. En savoir plus sur les CMEK
CMEK est disponible dans toutes les régions où Google SecOps est disponible. Pour obtenir la liste complète des régions compatibles avec Google SecOps, consultez la page Localisation des services SecOps.
Utiliser des clés CMEK dans Cloud KMS
Pour contrôler vos clés de chiffrement, vous pouvez utiliser des CMEK dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Google SecOps, comme suit :
- Vous gérez et stockez ces clés dans Cloud KMS.
- Les données du lac de données Google SecOps sont chiffrées au repos.
- Lorsque vous configurez votre instance Google SecOps avec une CMEK, elle utilise la clé Cloud KMS sélectionnée pour chiffrer les données au repos dans le lac de données.
- L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation.
En savoir plus sur les tarifs de Cloud KMS
Activer les CMEK
Les étapes suivantes décrivent le processus général d'intégration de CMEK à Google SecOps :
- Configurez un projet Google Cloud pour Google SecOps : commencez par accepter l'invitation de provisionnement. Notre équipe Google SecOps spécialisée s'occupera de la configuration et de l'intégration.
- Créez une clé Cloud KMS dans la région où vous prévoyez d'héberger votre instance.
- Créez une instance Google SecOps et sélectionnez la clé CMEK que vous avez créée à l'étape 2. Vous serez invité à accorder à Google SecOps l'accès à cette clé lors de la création de l'instance.
- Facultatif : Définissez un calendrier de rotation des clés pour chaque clé. Google recommande cette pratique de sécurité pour minimiser l'impact d'une éventuelle compromission de clé.
Une fois l'intégration terminée, vous n'avez plus besoin de fournir de clé à l'aide de l'API ou de l'UI pour cette instance.
Gestion des clés
Google vous recommande de gérer vos clés à l'aide de Cloud KMS. Google SecOps ne peut ni détecter, ni exploiter les modifications d'une clé avant que celles-ci ne soient propagées par Cloud KMS.
Google SecOps est compatible avec deux types de gestion des clés :
- Créez une clé Cloud KMS : c'est ce que Google recommande.
- Utilisez Cloud External Key Manager (Cloud EKM) : l'utilisation de clés Cloud EKM peut affecter la disponibilité en raison de la dépendance aux systèmes externes.
Gérer la rotation des clés
Vous devez détruire la clé avant de la supprimer comme suit :
- Désactivez la clé ou la version de clé. Cette étape est généralement facultative, mais certaines règles d'administration exigent que la clé soit désactivée avant sa destruction.
- Détruisez la version de clé.
- Supprimez la clé.
Accès aux données et perte définitive de données
Google vous recommande de surveiller les journaux pour détecter les clés qui sont devenues indisponibles pendant qu'il est encore temps d'éviter la perte de données.
Une fois que Google SecOps n'a plus accès aux données, celles-ci sont supprimées au bout de 30 jours.
Les équipes Google SecOps peuvent perdre l'accès aux données en raison d'une action intentionnelle d'un utilisateur (par exemple, la révocation d'une clé) ou d'une action involontaire (par exemple, une perte de connectivité EKM). Cela signifie que Google SecOps ne peut pas lire, écrire ni mettre à jour les données existantes, et qu'il ne peut pas ingérer, stocker ni traiter de nouvelles données.
Si Google SecOps retrouve l'accès aux données (par exemple, lorsque vous réactivez la clé), il commence automatiquement à ingérer et à traiter les nouvelles données. Toutefois, le système peut mettre jusqu'à deux semaines pour reprendre complètement ces opérations.
Contraintes liées aux règles d'administration CMEK
Pour appliquer l'utilisation de CMEK pour Google SecOps, vous pouvez appliquer les contraintes de règle d'administration suivantes au niveau de l'organisation, du dossier ou du projet :
constraints/gcp.restrictNonCmekServices: exige que les services utilisent CMEK. Si vous appliquezconstraints/gcp.restrictNonCmekServicesà une organisation et que vous listez Google SecOps comme service restreint, vous devez sélectionner une clé CMEK lorsque vous créez votre instance Google SecOps.constraints/gcp.restrictCmekCryptoKeyProjects: nécessite que la clé CMEK pour Google SecOps provienne d'un projet ou d'un ensemble de projets spécifiques.
Si vous appliquez les deux contraintes à l'organisation qui contiendra votre instance Google SecOps, vous devez activer CMEK à l'aide d'une clé provenant d'un projet que vous spécifiez lorsque vous appliquez les règles d'administration d'administration.
Pour savoir comment les règles d'administration sont évaluées dans la hiérarchie des ressourcesGoogle Cloud (organisations, dossiers et projets), consultez Comprendre l'évaluation hiérarchique.
Pour obtenir des informations générales sur l'utilisation des règles d'administration CMEK, consultez Règles d'administration CMEK.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.