Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK per Google SecOps

Supportato in:

Google SecOps

Questo documento descrive come configurare le chiavi di crittografia gestite dal cliente (CMEK) per Google Security Operations. Google SecOps cripta i dati at-rest dei clienti per impostazione predefinita utilizzando la crittografia predefinita di Google senza ulteriori azioni da parte tua. Tuttavia, per un maggiore controllo sulle chiavi di crittografia o quando richiesto da un'organizzazione, la CMEK è disponibile per le istanze Google SecOps.

Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e memorizzi in Cloud Key Management Service. L'utilizzo delle CMEK offre il controllo completo sulle chiavi di crittografia, inclusa la gestione del ciclo di vita, della rotazione e delle norme di accesso. Quando configuri CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Scopri di più su CMEK.

La chiave di crittografia gestita dal cliente è disponibile in tutte le regioni in cui è supportato Google SecOps. Per un elenco completo delle regioni supportate da Google SecOps, consulta la pagina delle località dei servizi SecOps.

Utilizzare le chiavi CMEK in Cloud KMS

Per controllare le chiavi di crittografia, puoi utilizzare le chiavi CMEK in Cloud KMS con i servizi integrati con CMEK, tra cui Google SecOps, nel seguente modo:

Gestisci e archivi queste chiavi in Cloud KMS.
I dati nel data lake Google SecOps sono criptati at-rest.
Quando configuri l'istanza Google SecOps con una chiave CMEK, utilizza la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del Data Lake.
L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei tuoi pattern di utilizzo.

Scopri di più sui prezzi di Cloud KMS.

Attivare CMEK

I seguenti passaggi descrivono la procedura generale per l'onboarding di CMEK con Google SecOps:

Configura un progetto Google Cloud per Google SecOps: accetta l'invito al provisioning per iniziare. Il nostro team di esperti Google SecOps si occuperà della configurazione e dell'integrazione specializzate.
Crea una chiave Cloud KMS nella regione in cui prevedi di ospitare l'istanza.
Crea una nuova istanza Google SecOps e seleziona la chiave CMEK che hai creato nel passaggio 2. Ti verrà chiesto di concedere a Google SecOps l'accesso a questa chiave durante la creazione dell'istanza.
(Facoltativo) Pianifica una rotazione delle chiavi per ogni chiave. Abbiamo consigliato questa pratica di sicurezza per ridurre al minimo l'impatto di una potenziale compromissione delle chiavi.

Una volta completato l'onboarding, non è più necessario fornire una chiave utilizzando l'API o la UI per quell'istanza.

Gestione delle chiavi

Google consiglia di gestire le chiavi utilizzando Cloud KMS. Google SecOps non può rilevare o intervenire su eventuali modifiche alle chiavi finché non vengono propagate da Cloud KMS.

Google SecOps supporta due tipi di gestione delle chiavi:

Crea una chiave Cloud KMS: questa è la soluzione consigliata da Google.
Utilizza Cloud External Key Manager (Cloud EKM): l'utilizzo delle chiavi Cloud EKM potrebbe influire sulla disponibilità a causa della dipendenza da sistemi esterni.

Rotazione chiave

Sebbene le modifiche alle autorizzazioni siano in genere rapide, rotazione della chiave richiede di attendere due settimane dall'inizio della rotazione prima di poter procedere all'eliminazione o alla disattivazione della chiave precedente. Scopri di più su Cloud KMS e sugli obiettivi di livello di servizio di Cloud KMS.

Disattivazione della chiave

Quando disattivi la chiave CMEK attuale, Google SecOps perde l'accesso ai tuoi dati e non può più elaborarli. Ciò significa che Google SecOps non può leggere, scrivere o aggiornare i dati esistenti e non può importare, archiviare o trattare nuovi dati. Se non riattivi la chiave, i dati verranno eliminati dopo 30 giorni. Quando riattivi la chiave, Google SecOps inizia automaticamente a importare ed elaborare i nuovi dati. Tuttavia, il sistema potrebbe impiegare fino a due settimane per riprendere completamente queste operazioni.

Vincoli delle policy dell'organizzazione CMEK

Per applicare l'utilizzo di CMEK per Google SecOps, puoi applicare i seguenti vincoli dei criteri dell'organizzazione a livello di organizzazione, cartella o progetto:

constraints/gcp.restrictNonCmekServices: richiede che i servizi utilizzino CMEK. Se applichi constraints/gcp.restrictNonCmekServices a un'organizzazione e elenca Google SecOps come servizio con limitazioni, devi selezionare una chiave CMEK quando crei l'istanza Google SecOps.

Importante: se applichi questo vincolo con Google SecOps come servizio con limitazioni, ma non fornisci una chiave CMEK durante la creazione di un'istanza, allora Google SecOps non verrà sottoposto a provisioning.
constraints/gcp.restrictCmekCryptoKeyProjects: richiede che la chiave CMEK per Google SecOps provenga da un progetto o da un insieme di progetti specifici.

Se applichi entrambi i vincoli all'organizzazione che conterrà la tua istanza Google SecOps, devi attivare CMEK utilizzando una chiave di un progetto che specifichi quando applichi le policy dell'organizzazione.

Per informazioni su come vengono valutate le policy dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta Informazioni sulla valutazione della gerarchia.

Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta Policy dell'organizzazione CMEK.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.