Configurare CMEK
Questo documento descrive come configurare le chiavi di crittografia gestite dal cliente (CMEK) per Google Security Operations. Per impostazione predefinita, Google SecOps cripta i dati dei clienti a riposo utilizzando la crittografia predefinita di Google senza che tu debba eseguire ulteriori azioni. Tuttavia, per un maggiore controllo sulle chiavi di crittografia o quando richiesto da un'organizzazione, CMEK è disponibile per le istanze di Google SecOps.
Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e archivi in Cloud Key Management Service. L'utilizzo delle CMEK offre il controllo completo sulle chiavi di crittografia, inclusa la gestione del ciclo di vita, della rotazione e delle policy di accesso. Quando configuri CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Scopri di più su CMEK.
CMEK è disponibile in tutte le regioni in cui è supportato Google SecOps. Per un elenco completo delle regioni supportate da Google SecOps, consulta la pagina delle località dei servizi SecOps.
Utilizzare le CMEK in Cloud KMS
Per controllare le chiavi di crittografia, puoi utilizzare le CMEK in Cloud KMS con i servizi integrati con CMEK, tra cui Google SecOps, nel seguente modo:
- Gestisci e archivi queste chiavi in Cloud KMS.
- I dati nel data lake di Google SecOps sono criptati at-rest.
- Quando configuri l'istanza di Google SecOps con una CMEK, questa utilizza la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del data lake.
- L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei pattern di utilizzo.
Scopri di più sui prezzi di Cloud KMS.
Attivare CMEK
I seguenti passaggi descrivono il processo di onboarding di CMEK con Google SecOps:
- Configura un Google Cloud progetto per Google SecOps: accetta l'invito di provisioning per iniziare. Il nostro team di esperti di Google SecOps si occuperà della configurazione e dell'integrazione specializzate.
- Crea una chiave Cloud KMS nella regione in cui prevedi di ospitare l'istanza.
- Crea una nuova istanza di Google SecOps e seleziona la chiave CMEK creata nel passaggio 2. Ti verrà chiesto di concedere a Google SecOps l'accesso a questa chiave durante la creazione dell'istanza.
- (Facoltativo) Imposta una pianificazione della rotazione delle chiavi per ogni chiave. Google consiglia questa prassi di sicurezza per ridurre al minimo l'impatto di una potenziale compromissione delle chiavi.
Una volta completato l'onboarding, non dovrai più fornire una chiave utilizzando l'API o l'interfaccia utente per l'istanza.
Gestione delle chiavi
Google consiglia di gestire le chiavi utilizzando Cloud KMS. Google SecOps non può rilevare o agire su eventuali modifiche delle chiavi finché non vengono propagate da Cloud KMS.
Google SecOps supporta due tipi di gestione delle chiavi:
- Crea una chiave Cloud KMS: questa è la soluzione consigliata da Google.
- Utilizza Cloud External Key Manager (Cloud EKM)): l'utilizzo delle chiavi Cloud EKM può influire sulla disponibilità a causa della dipendenza da sistemi esterni.
Gestire rotazione della chiave
Devi eliminare la chiave prima di eliminarla nel seguente modo:
- Disabilita la chiave o la versione della chiave. Questo passaggio è in genere facoltativo, ma alcune policy dell'organizzazione richiedono che la chiave venga disabilitata prima dell'eliminazione.
- Elimina la versione della chiave.
- Elimina la chiave.
Accesso ai dati e perdita permanente dei dati
Google consiglia di monitorare i log per rilevare le chiavi che sono diventate non disponibili mentre è ancora possibile prevenire la perdita di dati.
Dopo che Google SecOps perde l'accesso ai dati, questi vengono eliminati dopo 30 giorni.
Google SecOps può perdere l'accesso ai dati a causa di un'azione intenzionale di un utente (ad esempio, la revoca della chiave) o di un'azione non intenzionale (ad esempio, un'interruzione della connettività EKM). Ciò significa che Google SecOps non può leggere, scrivere o aggiornare i dati esistenti e non può inserire, archiviare o trattare nuovi dati.
Se Google SecOps riacquista l'accesso ai dati (ad esempio, quando riattivi la chiave), inizia automaticamente a inserire e trattare i nuovi dati. Tuttavia, potrebbero essere necessarie fino a due settimane prima che il sistema riprenda completamente queste operazioni.
Vincoli delle policy dell'organizzazione CMEK
Per applicare l'utilizzo di CMEK per Google SecOps, puoi applicare i seguenti vincoli delle policy dell'organizzazione a livello di organizzazione, cartella o progetto:
constraints/gcp.restrictNonCmekServices: richiede che i servizi utilizzino CMEK. Se applichiconstraints/gcp.restrictNonCmekServicesa un'organizzazione ed elenchi Google SecOps come servizio con limitazioni, devi selezionare una chiave CMEK quando crei l'istanza di Google SecOps.constraints/gcp.restrictCmekCryptoKeyProjects: richiede che la chiave CMEK per Google SecOps provenga da un progetto o da un insieme di progetti specifici.
Se applichi entrambi i vincoli all'organizzazione che conterrà l'istanza di Google SecOps, devi attivare CMEK utilizzando una chiave di un progetto che specifichi quando applichi le policy dell'organizzazione.
Per informazioni su come vengono valutate le policy dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta la sezione Comprendere la valutazione della gerarchia.
Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta Policy dell'organizzazione CMEK.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.