Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK ל-Google SecOps

נתמך ב:

Google secops

במאמר הזה מוסבר איך להגדיר מפתחות הצפנה בניהול הלקוח (CMEK) ב-Google Security Operations. ‫Google SecOps מצפין את נתוני הלקוחות במצב מנוחה כברירת מחדל באמצעות ההצפנה שמוגדרת כברירת מחדל ב-Google, בלי שתצטרכו לבצע פעולות נוספות. עם זאת, אם אתם רוצים יותר שליטה במפתחות ההצפנה או אם הארגון שלכם מחייב זאת, תוכלו להשתמש ב-CMEK במכונות Google SecOps.

מפתחות CMEK הם מפתחות הצפנה שבבעלותכם, שאתם מנהלים ושאתם מאחסנים ב-Cloud Key Management Service. שימוש במפתחות CMEK מאפשר שליטה מלאה במפתחות ההצפנה, כולל ניהול מחזור החיים, הרוטציה ומדיניות הגישה שלהם. כשמגדירים CMEK, השירות מצפין באופן אוטומטי את כל הנתונים באמצעות המפתח שצוין. CMEK

‫CMEK זמין בכל האזורים שבהם יש תמיכה ב-Google SecOps. רשימה מלאה של האזורים שבהם יש תמיכה ב-Google SecOps מופיעה בדף המיקומים של שירותי SecOps.

שימוש במפתחות CMEK ב-Cloud KMS

כדי לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Google SecOps, באופן הבא:

אתם מנהלים ומאחסנים את המפתחות האלה ב-Cloud KMS.
הנתונים ב-Data Lake של Google SecOps מוצפנים במנוחה.
כשמגדירים את מופע Google SecOps עם CMEK, המערכת משתמשת במפתח Cloud KMS שנבחר כדי להצפין נתונים במנוחה ב-Data Lake.
השימוש ב-CMEK עם Cloud KMS עשוי לגרור עלויות נוספות, בהתאם לדפוסי השימוש.

מידע נוסף על תמחור ב-Cloud KMS

הפעלת CMEK

השלבים הבאים מתארים את התהליך הכללי להטמעת CMEK ב-Google SecOps:

הגדרת Google Cloud פרויקט ל-Google SecOps: כדי להתחיל, צריך לאשר את הזמנת ההקצאה. צוות המומחים שלנו ב-Google SecOps יטפל בהגדרה ובשילוב המיוחדים.
יוצרים מפתח Cloud KMS באזור שבו מתכננים לארח את המכונה.
יוצרים מכונת Google SecOps חדשה ובוחרים את מפתח ה-CMEK שיצרתם בשלב 2. במהלך יצירת המופע, תוצג לכם בקשה להעניק ל-Google SecOps גישה למפתח הזה.
אופציונלי: מגדירים לכל מפתח לוח זמנים לרוטציית מפתחות. Google ממליצה על שיטת האבטחה הזו כדי למזער את ההשפעה של פגיעה פוטנציאלית במפתח.

אחרי שתשלימו את תהליך ההצטרפות, לא תצטרכו יותר לספק מפתח באמצעות API או ממשק משתמש עבור המופע הזה.

ניהול מפתחות

‫Google ממליצה לנהל את המפתחות באמצעות Cloud KMS. ‏Google SecOps לא יכול לזהות שינויים במפתחות או לפעול בעקבותיהם עד שהם מועברים על ידי Cloud KMS.

‫Google SecOps תומך בשני סוגים של ניהול מפתחות:

יצירת מפתח Cloud KMS: זו ההמלצה של Google.
שימוש ב-Cloud External Key Manager ‏ (Cloud EKM): שימוש במפתחות Cloud EKM עלול להשפיע על הזמינות בגלל ההסתמכות על מערכות חיצוניות.

ניהול רוטציית מפתחות

כדי למחוק את המפתח, קודם צריך להשמיד אותו באופן הבא:

משביתים את המפתח או את גרסת המפתח. בדרך כלל השלב הזה הוא אופציונלי, אבל יש מדיניות ארגונית שמחייבת להשבית את המפתח לפני ההשמדה.
משמידים את גרסת המפתח.
מוחקים את המפתח.

גישה לנתונים ואובדן נתונים בלתי הפיך

‫Google ממליצה לעקוב אחרי היומנים כדי לזהות מפתחות שהפכו ללא זמינים, בזמן שעדיין אפשר למנוע אובדן נתונים.

אחרי של-Google SecOps כבר אין גישה לנתונים, הם נמחקים אחרי 30 יום.

יכול להיות ש-Google SecOps לא יוכל לגשת לנתונים בגלל פעולה מכוונת של משתמש (לדוגמה, ביטול מפתח) או פעולה לא מכוונת (לדוגמה, נפילת קישוריות EKM). המשמעות היא ש-Google SecOps לא יכול לקרוא, לכתוב או לעדכן נתונים קיימים, והוא לא יכול להטמיע, לאחסן או לעבד נתונים חדשים.

אם ל-Google SecOps תהיה שוב גישה לנתונים (לדוגמה, אם תפעילו מחדש את המפתח), המערכת תתחיל באופן אוטומטי להטמיע ולעבד נתונים חדשים. עם זאת, יכול להיות שיחלפו עד שבועיים עד שהמערכת תחזור לפעול באופן מלא.

אילוצים של מדיניות הארגון לגבי CMEK

כדי לאכוף את השימוש ב-CMEK ב-Google SecOps, אתם יכולים להחיל את האילוצים הבאים של מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט:

‫constraints/gcp.restrictNonCmekServices: נדרש שירותים שישתמשו ב-CMEK. אם אתם אוכפים את constraints/gcp.restrictNonCmekServices בארגון ומציינים את Google SecOps כשירות מוגבל, אתם צריכים לבחור מפתח CMEK כשאתם יוצרים את מופע Google SecOps.

חשוב: אם תאכפו את ההגבלה הזו באמצעות Google SecOps כשירות מוגבל, אבל לא תספקו מפתח CMEK כשתיצרו מופע, לא תתבצע הקצאת משאבים של Google SecOps.
‫constraints/gcp.restrictCmekCryptoKeyProjects: דורש שמפתח ה-CMEK של Google SecOps יגיע מפרויקט ספציפי או מקבוצה של פרויקטים.

אם תאכפו את שני האילוצים על הארגון שיכיל את מופע Google SecOps, תצטרכו להפעיל CMEK באמצעות מפתח מפרויקט שתציינו כשאתם מחילים את מדיניות הארגון.

במאמר הסבר על הערכת ההיררכיה מוסבר איך מדיניות הארגון מוערכת בGoogle Cloud היררכיית המשאבים (ארגונים, תיקיות ופרויקטים).

מידע כללי על שימוש במדיניות הארגון ל-CMEK זמין במאמר מדיניות הארגון ל-CMEK.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.