Mengonfigurasi CMEK

Didukung di:

Dokumen ini menguraikan cara mengonfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk Google Security Operations. SecOps Google mengenkripsi data pelanggan dalam penyimpanan secara default menggunakan enkripsi default Google tanpa tindakan tambahan apa pun dari Anda. Namun, untuk kontrol yang lebih besar atas kunci enkripsi atau jika diwajibkan oleh organisasi, CMEK tersedia untuk instance Google SecOps.

CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service. Dengan menggunakan CMEK, Anda dapat mengontrol penuh kunci enkripsi, termasuk mengelola siklus proses, rotasi, dan kebijakan aksesnya. Saat Anda mengonfigurasi CMEK, layanan akan otomatis mengenkripsi semua data menggunakan kunci yang ditentukan. Pelajari CMEK lebih lanjut.

CMEK tersedia di semua region tempat Google SecOps didukung. Untuk mengetahui daftar lengkap region yang didukung oleh Google SecOps, lihat Halaman Lokasi Layanan SecOps.

Menggunakan CMEK di Cloud KMS

Untuk mengontrol kunci enkripsi, Anda dapat menggunakan CMEK di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Google SecOps, sebagai berikut:

  • Anda mengelola dan menyimpan kunci ini di Cloud KMS.
  • Data di Data Lake Google SecOps dienkripsi dalam penyimpanan.
  • Saat Anda mengonfigurasi instance Google SecOps dengan CMEK, instance tersebut akan menggunakan kunci Cloud KMS yang dipilih untuk mengenkripsi data dalam penyimpanan di dalam Data Lake.
  • Penggunaan CMEK dengan Cloud KMS dapat menimbulkan biaya tambahan, bergantung pada pola penggunaan Anda.

Pelajari lebih lanjut harga Cloud KMS.

Mengaktifkan CMEK

Langkah-langkah berikut menguraikan proses tingkat tinggi untuk mengaktifkan CMEK dengan Google SecOps:

  1. Mengonfigurasi project Google Cloud untuk Google SecOps: Terima undangan penyediaan untuk memulai. Tim Google SecOps ahli kami akan menangani konfigurasi dan integrasi khusus.
  2. Buat kunci Cloud KMS di region tempat Anda berencana menghosting instance.
  3. Buat instance Google SecOps baru dan pilih kunci CMEK yang Anda buat di Langkah 2. Anda akan diminta untuk memberikan akses Google SecOps ke kunci ini selama pembuatan instance.
  4. Opsional: Tetapkan jadwal rotasi kunci untuk setiap kunci. Google merekomendasikan praktik keamanan ini untuk meminimalkan dampak potensi pembobolan kunci.

Setelah menyelesaikan aktivasi, Anda tidak perlu lagi memberikan kunci menggunakan API atau UI untuk instance tersebut.

Pengelolaan kunci

Google merekomendasikan agar Anda mengelola kunci menggunakan Cloud KMS. SecOps Google tidak dapat mendeteksi atau menindaklanjuti perubahan kunci apa pun hingga perubahan tersebut diterapkan oleh Cloud KMS.

Google SecOps mendukung dua jenis pengelolaan kunci:

Mengelola rotasi kunci

Anda harus menghancurkan kunci sebelum menghapusnya sebagai berikut:

  1. Nonaktifkan kunci atau versi kunci. Langkah ini biasanya bersifat opsional, tetapi beberapa kebijakan organisasi mengharuskan kunci dinonaktifkan sebelum dihancurkan.
  2. Hancurkan versi kunci.
  3. Hapus kunci.

Akses data dan kehilangan data permanen

Google merekomendasikan agar Anda memantau log untuk mendeteksi kunci yang tidak tersedia saat masih ada waktu untuk mencegah kehilangan data.

Setelah Google SecOps kehilangan akses ke data, data akan dihapus setelah 30 hari.

Google SecOps dapat kehilangan akses ke data karena tindakan yang disengaja oleh pengguna (misalnya, pencabutan kunci) atau tindakan yang tidak disengaja (misalnya, konektivitas EKM terputus). Artinya, Google SecOps tidak dapat membaca, menulis, atau memperbarui data yang ada, dan tidak dapat menyerap, menyimpan, atau memproses data baru.

Jika Google SecOps mendapatkan kembali akses ke data (misalnya, saat Anda mengaktifkan kembali kunci), Google SecOps akan otomatis mulai menyerap dan memproses data baru. Namun, sistem mungkin memerlukan waktu hingga dua minggu untuk sepenuhnya melanjutkan operasi ini.

Batasan kebijakan organisasi CMEK

Untuk menerapkan penggunaan CMEK bagi Google SecOps, Anda dapat menerapkan batasan kebijakan organisasi berikut di tingkat organisasi, folder, atau project:

  • constraints/gcp.restrictNonCmekServices: Mewajibkan layanan menggunakan CMEK. Jika Anda menerapkan constraints/gcp.restrictNonCmekServices pada organisasi dan mencantumkan Google SecOps sebagai layanan yang dibatasi, Anda harus memilih kunci CMEK saat membuat instance Google SecOps.

  • constraints/gcp.restrictCmekCryptoKeyProjects: Mewajibkan kunci CMEK untuk Google SecOps berasal dari project atau sekumpulan project tertentu.

Jika Anda menerapkan kedua batasan pada organisasi yang akan berisi instance Google SecOps, Anda harus mengaktifkan CMEK menggunakan kunci dari project yang Anda tentukan saat menerapkan kebijakan organisasi.

Untuk mengetahui informasi tentang cara kebijakan organisasi dievaluasi di seluruh Google Cloud hierarki resource (organisasi, folder, dan project), lihat Memahami evaluasi hierarki.

Untuk mengetahui informasi umum tentang penggunaan kebijakan organisasi CMEK, lihat Kebijakan organisasi CMEK.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.